反網絡釣魚技巧的假面具
目前,每一個在線的銀行站點都把“反網絡釣魚技巧”作為他們站點的一項活動,來教給普通電腦用戶如何對付那些想收集他們私人信息的討厭的電子郵件。當這項教育活動剛剛有些起色的時候,這些技巧中的許多、甚至有些還是來自安全專家的建議,事實上是很可疑的、不正確的或者容易對用戶產生誤導的。本文揭穿了大多數的謠傳。並且,在本文的後半部分,我們還給出了一些提示,可以幫助你識別正當的和冒牌的web站點。
陷阱1:安全的、加密的web頁面是一個正當web站點的象征。
與常規的建議相反,決不要僅僅依靠“https//”前綴或者一個掛鎖的圖標就認為那是一個“安全”的頁面。對於一個釣魚站點來講,擁有一個有效的SSL認證是完全可以做到的。你應該檢查一下認證的詳細信息,來查看一下對“用戶名”字段的認證是否能夠匹配該組織網站的主機名,但是這可能需要掌握一些專門的技術。
陷阱2:通過“輸入授權的用戶名”進行安全保護,單擊這裡進行認證。
你曾經看到過這個嗎?知道嗎,它們是沒有用的。這個提示通常出現在splash窗口上,點擊要求進行認證的鏈接並不能夠保證你就能夠連接到一個合法的web站點上。
陷阱3:地址欄總是顯示正確的URL。
另一個有缺陷的建議就是說要查看地址欄,看是否是一個正確的URL。這並不足以確定一個web站點就是合法的。網絡釣魚者能夠利用浏覽器軟件中的漏洞在地址欄中使用欺騙的信息。另一種類型的攻擊(DNS欺騙)也能夠欺騙你讓你相信你所訪問的是一個合法的web站點。
陷阱4:把鼠標移動到鏈接上你就會在狀態欄上看到真實的URL。
狀態欄的顯示的文本很容易就可以改變的。事實上,它甚至比在地址欄進行欺騙更容易。
陷阱5:反釣魚軟件能夠防止欺騙發生。
與防病毒軟件類似,它對新的惡意代碼是無能為力的,你的反釣魚浏覽器插件(通常是在互聯網上可以免費下載的)是不能夠發現所有的釣魚企圖的。相反的是,這樣會在你的浏覽器中增加軟件(通常是可疑的軟件)讓你容易受到特定軟件的攻擊。
陷阱6:一封包含你個人信息的電子郵件合法的。
如果你收到一封來自銀行的電子郵件,其中包含你的姓名和你的帳戶信息(或者一部分信息),這可能就是一封進行欺騙的電子郵件。網絡釣魚者能夠通過一些組織的公共數據庫或者數據漏洞獲得一些你的個人信息。
陷阱7:登錄你曾經知道是合法的web站點就是安全的。
不,千萬不要這樣認為。網站的漏洞(稱作Cross-Site Scripting漏洞)能夠讓一個老練的攻擊者使用表單在公司的站點上進行重定向,把你重定向到攻擊者的web站點上,一旦你點擊了“Login”或者“Enter”按鈕它就會捕捉到你的認證信息。
閱讀下面的建議能夠防止這樣的事情發生。
你應該怎麼做才能夠避免被欺騙:
提示1:不要點擊你的電子郵件中的鏈接。
如果你收到了一封銀行的郵件向你詢問一些事情,不要點擊電子郵件中的鏈接,也不要使用電子郵件中的表單進行登錄。取而代之的是,打開你的浏覽器,,直接打開該銀行的web頁面,在那裡進行登錄,然後再做你要做的事情。即使這封郵件來自你知道的某人,也不要點擊這個鏈接。
提示2:無效的認證信息通常在假扮的web站點上起作用。
如果你感覺到一個站點有些可疑,就使用虛構的用戶名和密碼進行登錄。如果這個站點出現“登錄失敗”的頁面,只能說明你可能是在一個合法的站點上。它不可能總是使用模擬的登陸失敗來仔細檢查用戶的輸入的,在收集了認證信息後它就會重定向到合法的站點上了。如果你用虛構的認證信息通過了認證,那很顯然,這是一個釣魚陷阱了。
提示3:使用電子郵件向你懷疑的公司報告信息。
大多數財政機關都設立專門的電子郵箱來接收安全問題報告。如果你懷疑一個消息有釣魚企圖,就把這個消息轉發給那個機關。你應該包含完整的電子郵件頭部信息。不要期望得到它們的回復,因為他們收到了數以千計這樣的報告。