-網路釣魚-
(Phishing,與釣魚的英語fishing發音一樣,又名「網釣法」或「網路網釣」,意味著放線釣魚以「釣」取受害人財務資料和密碼。)
是一種企圖從電子通訊中,透過偽裝成信譽卓著的法人媒體(EX:Youtube、Facebook、Myspace、eBay等)以獲得如用戶名、密碼和信用卡明細等個人敏感資訊的犯罪詐騙過程。通常是透過e-mail或者即時通訊進行。它常常導引用戶到URL與介面外觀與真正網站幾無二致的假冒網站輸入個人資料。就算使用強式加密的SSL伺服器認證,要偵測網站是否仿冒實際上仍很困難。
連接操控
大多數的網釣方法使用某種形式的技術欺騙,旨在使一個位於一封電子郵件中的連接(和其連到的欺騙性網站)似乎屬於真正合法的組織。
2.使用含有'@'符號的欺騙連接。
例如,連接http://www.google.com@members.tripod.com/可能欺騙偶然造訪的使用者,讓他認為這將打開 www.google.com上的一個網頁,而它實際上導引瀏覽器指向members.tripod.com上的某頁,以用戶名 www.google.com。
*但這種網址在Internet Explorer中被禁用,而Mozilla Firefox與Opera會顯示警告訊息,並讓用戶選擇繼續到該站瀏覽或取消。3. IDN欺騙(同形異義字攻擊的漏洞)
網頁瀏覽器處理國際化域名(International Domain Names,下稱IDN),這可能使外觀相同的網址,連到不同的、可能是惡意的網站上。
過濾器規避
網釣者使用圖像代替文字,使反網釣過濾器更難偵測網釣電子郵件中常用的文字。
網站偽造
一些網釣詐騙使用JavaScript命令以改變位址欄。這由放一個合法網址的網址欄圖片以蓋住位址欄,或者關閉原來的網址欄並重開一個新的合法的URL達成。
-反網釣-
1.設立專門的技術和立法
2.改變瀏覽習慣
當接觸某要求您「核對身分」(或任何其他網釣所使用的信件要旨)的信件或帳號時,明智之舉是與該信件明顯來源公司聯絡以檢查該電子郵件是否合法。
另外,個人所知道網址是該公司的真正的網站,可透過在瀏覽器網址欄輸入拜訪,而不是盲目相信任何涉嫌詐騙郵件裡的超連結。
參考資料:http://zh.wikipedia.org/wiki/Wikipedia:%E9%A6%96%E9%A1%B5
沒有留言:
張貼留言