网络钓鱼一词最早出现于1996年,起因于黑客始祖们利用电话线犯案,因而结合fishing与phone创造phishing一词。
网络钓鱼蕴含着“姜太公钓鱼,愿者上钩”的典故。这是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID、ATM PIN 码或信用卡详细信息)的一种攻击方式。
This term refers to the activity of using social engineering techniques to fraudulently acquire sensitive information, such as passwords and credit card details, in an electronic communication. Phishing is usually carried out by using email, fake Websites, copy-cat Web pages or an instant message.
例如:去年,我国有超九成网民碰到过网络钓鱼网站,遭遇网络安全事件的网民中77.5%是在网络下载或浏览时遭遇病毒或木马攻击。
More than 90 percent of netizens have encountered a phishing Web site, while 77.5 percent responded that they have received a computer virus while surfing or downloading material online.
—— 摘自双语新闻《CNNIC发布报告:去年网民为“安全”花费153亿》
网络钓鱼的诱饵千百种,包括数据过期、无效需要更新,或者是基于安全理由进行身分验证,骗取个人账号与密码。这类网络骗局对于使用者而言,很难判别真伪。比如伪造的银行网页,诈骗者所捏造的电子邮件与网站几乎与官方的一模一样。更可怕的是,现在的反病毒或者网页过滤软件对此已经无能为力,即便有对URL做应对,也由于钓鱼网站的短暂的存活周期(一般为15天)而显得防不胜防。SenderID和Domainkeys也许会有点用,但这个也是未来的事了。
到目前为止,如何有效防范钓鱼网站还没有行之有效的手段,不过由于钓鱼网站的连接主要是通过垃圾邮件来发送,所以对于邮件中的链接注意的话,还是可以识别出大部分的欺诈行为的。特别是一些来自“银行”“电信”的邮件,不确信的话可以通过搜索引擎来确定官方身份。
最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。
随着phishing site(钓鱼网站)日益猖獗,phishing e-mail(诈骗邮件)日益泛滥, anti-phishing(反网络钓鱼)软件也应运而生,比如微软就在IE7.0中加入了phishing filter(网络钓鱼过滤器)。但要想防止被骗,还需要我们平时多加小心。
(来源:Global Times) |