触宝安全信息讲堂：钓鱼攻击

上次给大家科普了一下网络安全主要的攻击手段——暴力破解，不知道大家还有没有印象呢？如果说暴力破解是最简单粗暴的一种攻击手法，那么今天给大家介绍的钓鱼攻击就是目前最常见的一种攻击手法。

相信不少人都经常收到一些上图这样的中奖短信。一笑了之之余，你知道每天有多少人会被它迷惑并点击么？又是否从背后真正了解过或者研究过它呢？

据中国互联网络信息中心联合国家互联网应急中心发布的《2009年中国网民网络信息安全状况调查报告》显示，2009年有超过九成网民遇到过网络钓鱼，网络钓鱼给网民造成的损失已达76亿元。而360互联网安全中心刚刚发布的《2018年上半年中国互联网安全报告》中指出2018年上半年，360互联网安全中心共截获各类新增钓鱼网站1622.6万个，同比2017年上半年（201.5万个）上升7.1倍，钓鱼网站的攻势愈来愈猛烈。

随着网络的普及，各种新型钓鱼花样层出不穷。在日常生活中，我们遇到的钓鱼攻击主要有以下几种：

1

网页钓鱼指不法分子利用如下网页相关的手段来骗取用户银行、信用卡账号或密码等私人资料的一种钓鱼手段。

2

邮件钓鱼指利用伪装的电子邮件，欺骗收件人将敏感信息回复给指定的接收者，或引导收件人连接到特制的网页的一种钓鱼手段。这些网页通常会伪装成真实网站，登录者信以为真之后会输入隐私数据，隐私数据就这样被钓鱼者盗取。如下图邮件（该邮件为一丢失苹果手机的同事收到的钓鱼邮件，期望获得苹果账号等信息）。

3

短信钓鱼是指不法分子使用手机卡或者利用伪基站将虚假短信发送至当事人手机，再配合配套的骗局（如银行转账，钓鱼网站等）进行诈骗和不法行为的一种钓鱼手段。本文开头的中奖短信就是一种典型的短信钓鱼。除此之外，常见的还有技术支持、熟人转账等形式的短信钓鱼。

下图展示了两种典型的例子：

4

WIFI钓鱼主要有两种方式：

用户连接到此类WIFI热点后，设备的敏感信息将会被盗取，用户的浏览器访问将会被重定向到相关的钓鱼网站。

央视的“315”晚会曾现场展示过黑客如何利用虚假WIFI获取观众手机系统、品牌型号、自拍照片、邮件账号密码等隐私数据。因此应谨慎连接到公众场合的WIFI热点。

5

电话钓鱼是以人工或者电脑语音，通过电话形式进行的诈骗钓鱼行为。目前最常见的是：冒充如淘宝、京东等知名购物网站的客服人员诱骗消费者提供银行卡、支付密码等信息。

笔者曾遭遇过一次自称淘宝客服的电话，“客服”能够准确说出笔者最近的一次购物记录和快递信息。在取得笔者的部分信任之后，”客服”声称由于误操作将笔者升级到淘宝VIP会员，而这每年将会产生大额费用。“客服”随后要求笔者提供银行卡、身份证卡号、支付密码等敏感信息以进行消除。

6

如二维码钓鱼、QQ微信支付宝好友钓鱼等相类似手法的钓鱼手段。

说了这么多钓鱼手法，估计大家会觉得非常不安全，好像一不小心就会掉入陷阱。那么如何防范呢？笔者整理了一些常用的防范手段帮助大家提高防备。

以上，就是本次关于钓鱼攻击的主要内容。

随着人们网络安全意识的提升，网络钓鱼的手法也变得越来越高明。作为企业，触宝通过技术手段似乎在一定程度上能保护员工免受大型钓鱼攻击的威胁。但这并不是解决问题的根本，更关键的是员工安全意识的加强和培养。这也是本次网络安全课程的主要目的。未来我们将继续为大家带来更多的网络安全知识，请拭目以待。