触宝安全信息讲堂:钓鱼攻击
7123Hello 大家好,触宝安全课堂又开讲啦。
上次给大家科普了一下网络安全主要的攻击手段——暴力破解,不知道大家还有没有印象呢?如果说暴力破解是最简单粗暴的一种攻击手法,那么今天给大家介绍的钓鱼攻击就是目前最常见的一种攻击手法。
>>>什么是钓鱼攻击<<<
相信不少人都经常收到一些上图这样的中奖短信。一笑了之之余,你知道每天有多少人会被它迷惑并点击么?又是否从背后真正了解过或者研究过它呢?
钓鱼式攻击是一种企图通过在电子通讯中伪装成有一定知名度的人物、企业、媒体等角色来获得个人敏感信息的犯罪诈骗过程。网络钓鱼Phishing一词,是“Fishing”和“Phone”的综合体。黑客始祖起初是以电话作为工具进行钓鱼攻击,所以用“Ph”来取代“F”,由此创造了”Phishing”一词。图示短信中的链接就是一个钓鱼网站,这条短信就是一条钓鱼攻击短信。
据中国互联网络信息中心联合国家互联网应急中心发布的《2009年中国网民网络信息安全状况调查报告》显示,2009年有超过九成网民遇到过网络钓鱼,网络钓鱼给网民造成的损失已达76亿元。而360互联网安全中心刚刚发布的《2018年上半年中国互联网安全报告》中指出2018年上半年,360互联网安全中心共截获各类新增钓鱼网站1622.6万个,同比2017年上半年(201.5万个)上升7.1倍,钓鱼网站的攻势愈来愈猛烈。
>>>常见的钓鱼攻击手段<<<
随着网络的普及,各种新型钓鱼花样层出不穷。在日常生活中,我们遇到的钓鱼攻击主要有以下几种:
1
网页钓鱼
网页钓鱼指不法分子利用如下网页相关的手段来骗取用户银行、信用卡账号或密码等私人资料的一种钓鱼手段。
1
仿冒真实网站的URL访问地址及页面内容。
2
利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码。
3
对真实网站添加某个危险子页面。
给大家出个小测试吧
请问下面那个网址是苹果的官网呢?
A:www.app1e.com
B:www.apple.net
C:www.aqqle.com
D:www.appIe.com
E:www.apple-pingguo.com
我们将在文末为大家揭晓答案。
2
邮件钓鱼
邮件钓鱼指利用伪装的电子邮件,欺骗收件人将敏感信息回复给指定的接收者,或引导收件人连接到特制的网页的一种钓鱼手段。这些网页通常会伪装成真实网站,登录者信以为真之后会输入隐私数据,隐私数据就这样被钓鱼者盗取。如下图邮件(该邮件为一丢失苹果手机的同事收到的钓鱼邮件,期望获得苹果账号等信息)。
又或者如下图所示:伪装成工作相关的邮件并附件一个包含木马病毒的文件。
3
短信钓鱼
短信钓鱼是指不法分子使用手机卡或者利用伪基站将虚假短信发送至当事人手机,再配合配套的骗局(如银行转账,钓鱼网站等)进行诈骗和不法行为的一种钓鱼手段。本文开头的中奖短信就是一种典型的短信钓鱼。除此之外,常见的还有技术支持、熟人转账等形式的短信钓鱼。
下图展示了两种典型的例子:
4
WIFI钓鱼
WIFI钓鱼主要有两种方式:
1
在公众场合建立未加密的WIFI热点,通过诱导或者用户主动的方式进行连接。
2
建立一个和已存在的WIFI热点名称相同的热点名称,同时攻击正常的WIFI热点,使正常热点拒绝连接,这样用户会连接至恶意热点。
用户连接到此类WIFI热点后,设备的敏感信息将会被盗取,用户的浏览器访问将会被重定向到相关的钓鱼网站。
央视的“315”晚会曾现场展示过黑客如何利用虚假WIFI获取观众手机系统、品牌型号、自拍照片、邮件账号密码等隐私数据。因此应谨慎连接到公众场合的WIFI热点。
5
电话钓鱼
电话钓鱼是以人工或者电脑语音,通过电话形式进行的诈骗钓鱼行为。目前最常见的是:冒充如淘宝、京东等知名购物网站的客服人员诱骗消费者提供银行卡、支付密码等信息。
笔者曾遭遇过一次自称淘宝客服的电话,“客服”能够准确说出笔者最近的一次购物记录和快递信息。在取得笔者的部分信任之后,”客服”声称由于误操作将笔者升级到淘宝VIP会员,而这每年将会产生大额费用。“客服”随后要求笔者提供银行卡、身份证卡号、支付密码等敏感信息以进行消除。
6
其他类型钓鱼
如二维码钓鱼、QQ微信支付宝好友钓鱼等相类似手法的钓鱼手段。
>>>如何提高防备<<<
说了这么多钓鱼手法,估计大家会觉得非常不安全,好像一不小心就会掉入陷阱。那么如何防范呢?笔者整理了一些常用的防范手段帮助大家提高防备。
1
在点击任何链接之前,检查下网站域名,如果是不熟悉的地址,建议不要点击。
2
目前我们经常访问的银行、购物等网站都是用https开头,遇到不是https开头的网站,谨慎访问。
3
对于邮件附件信息,按耐住自己的好奇心。先判断邮件内容,确定是正常工作邮件之后再选择打开附件。
4
勿轻信中奖信息,要相信“天上不会掉馅饼”。
5
及时安装杀毒软件、升级相关病毒库、给操作系统打补丁。
6
谨慎使用公共场合的WIFI热点。在使用公共WIFI热点时,尽量不要进行购物或网银等敏感操作。
7
遇到来电涉及钱款交易时先判断来电号码是否为官方号码,如要求提供银行卡等敏感信息应提高警惕,拒绝提供。并自己拨打官方号码进行核实。
以上,就是本次关于钓鱼攻击的主要内容。
随着人们网络安全意识的提升,网络钓鱼的手法也变得越来越高明。作为企业,触宝通过技术手段似乎在一定程度上能保护员工免受大型钓鱼攻击的威胁。但这并不是解决问题的根本,更关键的是员工安全意识的加强和培养。这也是本次网络安全课程的主要目的。未来我们将继续为大家带来更多的网络安全知识,请拭目以待。
Hello 大家好,触宝安全课堂又开讲啦。
上次给大家科普了一下网络安全主要的攻击手段——暴力破解,不知道大家还有没有印象呢?如果说暴力破解是最简单粗暴的一种攻击手法,那么今天给大家介绍的钓鱼攻击就是目前最常见的一种攻击手法。
>>>什么是钓鱼攻击<<<
相信不少人都经常收到一些上图这样的中奖短信。一笑了之之余,你知道每天有多少人会被它迷惑并点击么?又是否从背后真正了解过或者研究过它呢?
钓鱼式攻击是一种企图通过在电子通讯中伪装成有一定知名度的人物、企业、媒体等角色来获得个人敏感信息的犯罪诈骗过程。网络钓鱼Phishing一词,是“Fishing”和“Phone”的综合体。黑客始祖起初是以电话作为工具进行钓鱼攻击,所以用“Ph”来取代“F”,由此创造了”Phishing”一词。图示短信中的链接就是一个钓鱼网站,这条短信就是一条钓鱼攻击短信。
据中国互联网络信息中心联合国家互联网应急中心发布的《2009年中国网民网络信息安全状况调查报告》显示,2009年有超过九成网民遇到过网络钓鱼,网络钓鱼给网民造成的损失已达76亿元。而360互联网安全中心刚刚发布的《2018年上半年中国互联网安全报告》中指出2018年上半年,360互联网安全中心共截获各类新增钓鱼网站1622.6万个,同比2017年上半年(201.5万个)上升7.1倍,钓鱼网站的攻势愈来愈猛烈。
>>>常见的钓鱼攻击手段<<<
随着网络的普及,各种新型钓鱼花样层出不穷。在日常生活中,我们遇到的钓鱼攻击主要有以下几种:
1
网页钓鱼
网页钓鱼指不法分子利用如下网页相关的手段来骗取用户银行、信用卡账号或密码等私人资料的一种钓鱼手段。
1
仿冒真实网站的URL访问地址及页面内容。
2
利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码。
3
对真实网站添加某个危险子页面。
给大家出个小测试吧
请问下面那个网址是苹果的官网呢?
A:www.app1e.com
B:www.apple.net
C:www.aqqle.com
D:www.appIe.com
E:www.apple-pingguo.com
我们将在文末为大家揭晓答案。
2
邮件钓鱼
邮件钓鱼指利用伪装的电子邮件,欺骗收件人将敏感信息回复给指定的接收者,或引导收件人连接到特制的网页的一种钓鱼手段。这些网页通常会伪装成真实网站,登录者信以为真之后会输入隐私数据,隐私数据就这样被钓鱼者盗取。如下图邮件(该邮件为一丢失苹果手机的同事收到的钓鱼邮件,期望获得苹果账号等信息)。
又或者如下图所示:伪装成工作相关的邮件并附件一个包含木马病毒的文件。
3
短信钓鱼
短信钓鱼是指不法分子使用手机卡或者利用伪基站将虚假短信发送至当事人手机,再配合配套的骗局(如银行转账,钓鱼网站等)进行诈骗和不法行为的一种钓鱼手段。本文开头的中奖短信就是一种典型的短信钓鱼。除此之外,常见的还有技术支持、熟人转账等形式的短信钓鱼。
下图展示了两种典型的例子:
4
WIFI钓鱼
WIFI钓鱼主要有两种方式:
1
在公众场合建立未加密的WIFI热点,通过诱导或者用户主动的方式进行连接。
2
建立一个和已存在的WIFI热点名称相同的热点名称,同时攻击正常的WIFI热点,使正常热点拒绝连接,这样用户会连接至恶意热点。
用户连接到此类WIFI热点后,设备的敏感信息将会被盗取,用户的浏览器访问将会被重定向到相关的钓鱼网站。
央视的“315”晚会曾现场展示过黑客如何利用虚假WIFI获取观众手机系统、品牌型号、自拍照片、邮件账号密码等隐私数据。因此应谨慎连接到公众场合的WIFI热点。
5
电话钓鱼
电话钓鱼是以人工或者电脑语音,通过电话形式进行的诈骗钓鱼行为。目前最常见的是:冒充如淘宝、京东等知名购物网站的客服人员诱骗消费者提供银行卡、支付密码等信息。
笔者曾遭遇过一次自称淘宝客服的电话,“客服”能够准确说出笔者最近的一次购物记录和快递信息。在取得笔者的部分信任之后,”客服”声称由于误操作将笔者升级到淘宝VIP会员,而这每年将会产生大额费用。“客服”随后要求笔者提供银行卡、身份证卡号、支付密码等敏感信息以进行消除。
6
其他类型钓鱼
如二维码钓鱼、QQ微信支付宝好友钓鱼等相类似手法的钓鱼手段。
>>>如何提高防备<<<
说了这么多钓鱼手法,估计大家会觉得非常不安全,好像一不小心就会掉入陷阱。那么如何防范呢?笔者整理了一些常用的防范手段帮助大家提高防备。
1
在点击任何链接之前,检查下网站域名,如果是不熟悉的地址,建议不要点击。
2
目前我们经常访问的银行、购物等网站都是用https开头,遇到不是https开头的网站,谨慎访问。
3
对于邮件附件信息,按耐住自己的好奇心。先判断邮件内容,确定是正常工作邮件之后再选择打开附件。
4
勿轻信中奖信息,要相信“天上不会掉馅饼”。
5
及时安装杀毒软件、升级相关病毒库、给操作系统打补丁。
6
谨慎使用公共场合的WIFI热点。在使用公共WIFI热点时,尽量不要进行购物或网银等敏感操作。
7
遇到来电涉及钱款交易时先判断来电号码是否为官方号码,如要求提供银行卡等敏感信息应提高警惕,拒绝提供。并自己拨打官方号码进行核实。
以上,就是本次关于钓鱼攻击的主要内容。
随着人们网络安全意识的提升,网络钓鱼的手法也变得越来越高明。作为企业,触宝通过技术手段似乎在一定程度上能保护员工免受大型钓鱼攻击的威胁。但这并不是解决问题的根本,更关键的是员工安全意识的加强和培养。这也是本次网络安全课程的主要目的。未来我们将继续为大家带来更多的网络安全知识,请拭目以待。
热门活动 
其他
04-09 周四
热门报告 
