随着钓鱼网站的日渐猖獗,钓鱼网站的数量也逐渐激增。目前,钓鱼网站带来的危害已经超过了以往的挂马网站。那么,钓鱼网站究竟怎么来钓鱼?它们的危害有哪些?作为用户又该怎么来防范呢?
网络钓鱼攻击行为指网络不法分子通过钓鱼网站实施的一种网络欺诈行为。据瑞星“云安全”系统拦截数据显示,通过恶意钓鱼网站等套取用户个人信息,诱骗用户进行转账交易的现象目前呈现出明显上升趋势,其危害已经超过此前肆虐的挂马网站,位居网民安全隐患的前列。据国家计算机网络应急中心2009年估算,国内“网络钓鱼”已给网民带来高达76亿元的损失,也就是说,全国网民平均每人约损失24元,若按其中8788万的活跃网购用户来计算,则平均每人损失86.5元。
网络不法分子通常将自己的网站伪装成银行、电子商务及其他一些影响力较大的网站,并经过进行精心设计和编码,仿冒真实网站的URL地址和页面内容信息,或利用技术手段挖掘真实网站服务器程序上的漏洞在网页中插入危险的HTML代码,以此来窃取用户提交的银行账号、网络游戏账号和密码等私密信息。这种伪装后的网站,即是钓鱼网站。
网络钓鱼攻击最早出现在中国是在2004年,主要是通过垃圾邮件、即时聊天工具、手机短信和网页发送虚假广告,意图引诱用户给出诸如用户名、口令、账号或信用卡状况等在内的敏感私密信息。最典型的网络钓鱼攻击方式,是将用户引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取用户在此网站上输入的个人敏感信息。
常见钓鱼网站之假冒“非常6+1”中奖网站
目前,在我国互联网环境中,钓鱼网站主要集中在两大类型:一种是模仿央视、腾讯等假冒抽奖网站,如仿冒央视“非常6+1”节目中奖信息骗取网民钱财的网络诈骗等,该类型钓鱼网站的主要特征是以中奖为诱饵,欺骗用户填写真实的身份信息和银行账户信息等。下面我们用一个真实的钓鱼网站来分析一下这类钓鱼网站的欺骗流程。
首先,在访问钓鱼网站http://www.qq10068.com/的时候,会提示用户中奖,并给出获奖验证码,如图1所示。
图1:假冒“非常6+1”中奖钓鱼网站钓鱼步骤第一步:提示用户记住获奖验证码
常见钓鱼网站之假冒网上银行网站
另一种常见的钓鱼网站类型则是模仿淘宝、各类网上银行等在线支付页面,直接骗取用户网银账号信息和支付宝账号密码等。由于这类网站直接涉及到用户的金钱利益,所以目前该类型钓鱼网站的数量有明显增加的趋势,目前已经出现了各类盗取网银账号的钓鱼网站程序。
当用户浏览该类型钓鱼网站页面时,如果用户将网银账号和密码信息输入到页面并提交,则钓鱼网站程序就会将用户输入的相关信息发送至不法分子的数据库中,而后不法分子就可以利用该信息进行进一步的私密信息和金钱的窃取等不法行为。
钓鱼网站制作日渐简单
从网络技术角度来讲,网络钓鱼攻击没有太多的技术含量。不法分子主要是利用网民的心理来实现欺骗,他们甚至可以不需要任何的网络技术,只要懂得基本的电脑操作,就可以通过网上提供的钓鱼网站程序定制服务及网站服务器架设服务等在短时间内炮制出一个钓鱼网站。目前网络中已有提供定制钓鱼网站的程序,如下图9所示。
防范钓鱼网站的几点方法
从安全角度来考虑,钓鱼网站页面其实不难判别。钓鱼网站很多是以大奖诱惑用户,因此用户要对网络中奖活动提高防范意识。此外,用户在网络支付时也要小心谨慎,可以通过域名注册信息、第三方权威认证服务等多种手法来验证网站真实性。同时,网民一定要重视个人信息的保护,包括个人联系方式、身份证号码、银行卡信息等。具体可以做到以下几点:
1. 执行相关操作时,切记仔细检查网站相关域名信息。如真正的中国工商银行网站的域名是http://www.icbc.com.cn,而仿冒中国工商银行的钓鱼网站则有http://www.1cbc.com.cn。二者的差别,仅仅是小写字母i和数字1的不同,不法分子正是利用这种障眼法来欺骗用户。
2. 除了仔细比对域名信息外还可以比对网页内容信息。通过对以下两个登录页面的对比,我们可以发现,钓鱼网站程序模仿的相对粗糙,且相关链接信息少。
4. 查询网站的ICP网站备案信息,通过ICP备案可以查询网站的基本情况、网站拥有者的情况等,用户可以通过工业与信息化部的网站备案管理网站(http://www.miibeian.gov.cn/)查询该信息进行网站信息并加以确认。
文章点评