網絡釣魚什么意思(互聯網中網絡釣魚指的是什么意思)

網絡釣魚其實就是網絡上眾多誘騙手法之中的一種,由于它的手段基本就是通過網絡用一些誘餌(比如假冒的網站、郵件)等使用者上當,很像現實生活中的釣魚過程,所以就被稱之為“網絡上的釣魚”。它的最大危害就是會竊取用戶銀行卡的帳號、密碼等重要信息,使用戶受到經濟上的損失。

多數情況下,這些假冒的網站、件是釣魚騙局,只要點擊了其中的鏈接就會進入到以獲取個人信息為目的的假冒網站。很多人已熟知“網絡釣魚”這個詞語。這是一種網絡詐騙,網絡犯罪分子進行釣魚的目的是誘騙用戶提供自己的敏感信息。通常,網絡釣魚騙局旨在搜集信用卡號、賬戶密碼和社保號以進行虛假交易。而諸如姓名、出生日期和地址之類的其他信息則是用于冒用身份。網絡釣魚形式繁多,可通過多種工具和技術實現。下面將重點介紹用于實施網絡釣魚的最常用工具和技術。

一、鏈接操控

鏈接操控是網絡釣魚中廣泛使用的技術,具體做法是誘騙用戶點擊鏈接,進入到假冒網站。一般說來,許多用戶都不會輕易點擊一眼看去就很可疑的鏈接。所以,黑客要想方設法操控用戶點擊鏈接。他們一般使用如下方法進行鏈接操控:

1. 使用子域

對于不熟悉子域概念的非技術用戶,這個方法百試不爽。假設你收到知名銀行 xyz 的郵件,要求你提供憑證并點擊 www.xyzbank.user.com。若沒有技術背景,你會認為這個鏈接指向的是 xyz 銀行的“user”版塊。實際上,它指向的是 www.user.com 的“xyzbank”版塊。雖然域名唯一,子域名卻不唯一,所以域名擁有者無法阻止他人將自己的域名用作其他域名的子域。無論懂不懂技術,用戶都應該時刻牢記,URL 層級結構總是從右到左排列的。因此,mail.yahoo.com 鏈接指向的是雅虎的郵件子域,而 yahoo.mail.com 指向的卻是 mail.com 的雅虎子域。

2. 隱藏 URL

另一種常用的鏈接操控技術是將實際的 URL 隱藏于純文本下。也就是說,顯示的并不是實際的 URL,而是諸如“點擊這里”或“訂閱”這樣的字眼,點擊這些文字就會進入釣魚網站。但有些郵件會顯示實際的 URL 鏈接,如 www.americanexpress.com,以便看起來更為可信。點擊這個鏈接進入的實際上是其他網站。還有一種隱藏 URL 的方法就是使用 tinyurl 或 bit.ly 等 URL 簡化工具。

如今,越來越多的用戶使用社交媒體網絡,使釣魚者可以“廣撒網,多斂魚”。利用社交媒體,釣魚者能夠輕而易舉地獲取信任,這在以前是要花費大力氣的。人們會關注自己信任的人和服務并接收他們的消息。疑心重的用戶可能很容易辨識欺騙性消息,但是多數情況下,這些消息會蒙混過關,欺騙用戶進行點擊。

僅通過一個惡意鏈接,黑客便能一蹴而就,捕獲一大批用戶。社交媒體中大量使用簡化 URL,很難預知鏈接指向的實際地址。要避免點擊人為操縱的隱藏 URL,時刻謹記將鼠標懸停在鏈接上,查看實際所鏈接到的網站。若鏈接看起來像是在“釣魚”,絕不要點擊。

3. 錯誤拼寫的 URL

第三種鏈接操控技術是黑客使用常用域名的拼寫變體申請域名,例如 facebok.com、googlle.com、yahooo.com 等,然后搭建類似網站,欺騙用戶訪問并提供個人信息。這種技術也被稱為URL劫持或誤植域名。它的優勢在于惡意用戶無需通過郵件誘騙用戶訪問,只需要小小的一個輸入錯誤就能夠吸引大把的用戶。

二、國際域名(IDN)同形異義字欺騙攻擊

使用該技術,惡意用戶利用相似字符誤導用戶點擊鏈接。例如,經常訪問 Citibank.com 網站的用戶可能會進入另一個用西里爾字母 С 代替拉丁字母 C 的同名網站。此外,相似字符也可能被用來欺騙用戶。例如,大寫的 i(I)和小寫的 L(l)看起來差不多,零(0)和大寫字母 o(O)更是一模一樣。

1. 網站偽造

網站偽造這種釣魚技術模仿真實網站搭建惡意網站,誘騙訪問用戶提供賬戶詳細信息、密碼、信用卡號碼等敏感信息。這種技術有兩種實現方式:跨站腳本執行與網站欺騙。

2. 跨站腳本執行

跨站腳本執行(XSS)指黑客在合法 Web 應用或網站中執行惡意腳本或內容。這種技術很常見,被廣泛使用。攻擊者并不直接針對特定受害者,而是利用用戶所訪問的Web 應用或網站中的漏洞,最終將惡意腳本發送到受害者瀏覽器中。

雖然黑客也可以在 ActiveX 或 VBScript 中利用 XSS,最常使用的還是 JavaScript,因為當今幾乎所有的網站都使用 JavaScript。要讓詭計得逞,攻擊者需要在受害者訪問的網頁中注入內容。而要讓用戶訪問網頁,攻擊者需要利用社會工程或鏈接操控技術。下一步,需要用戶在偽造網頁上直接輸入數據。

之后,攻擊者可以在網頁中插入字符串,用戶的瀏覽器會將該字符串識別為代碼。瀏覽器一旦加載網頁,惡意腳本就會執行,觸發攻擊,而受害者對此一無所知。

雖然無法完全避免 XSS,但防護也不是沒有可能。有些瀏覽器內置 XSS 防護,因此,推薦做法是查看瀏覽器的安全選項并將瀏覽器更新至最新版本。有些擴展如火狐瀏覽器的NoScript 提供了“允許”和“拒絕”權限選項,還允許用戶拒絕打開非指定網站。

3. 網站欺騙

網站欺騙是另一種網站偽造技術,指建立與合法網站相似的虛假網站,誤導用戶訪問。欺騙性網站與合法網站在用戶界面和設計方面都很相似,連 URL 都看似相同。匆忙之間,用戶一不小心就會誤將這樣的網站當做合法網站訪問。若沒有手動輸入 URL、而是通過點擊某個鏈接打開網頁,須特別謹慎。在“鏈接操控”一節,我們已建議用戶留意隱藏 URL,將鼠標懸停在鏈接上檢查鏈接地址是否為實際 URL,以防萬一。

三、彈出窗口

彈出消息是最簡單的技術,但對于網絡釣魚來說卻頗為有效。使用這種技術,黑客向用戶發送彈出消息,引導用戶訪問偽造網站,以此竊取登錄信息。有一種被稱為“在線釣魚”(In-Session Phishing)的網絡釣魚攻擊就是這樣實施的:在在線銀行會話期間,彈出窗口,偽裝成銀行發送的消息。

典型的在線釣魚場景如下:

• 用戶登錄在線銀行賬戶;
• 不關閉當前頁面,打開另一個窗口查看其它網站;
• 一會兒之后,有看似來自銀行的消息彈出,要求用戶重新輸入用戶名和密碼,因為之前的會話已過期;
• 用戶之前登錄過銀行網站,所以信以為真,直接輸入信息。近來還有一種彈窗釣魚大行其道,叫“彈窗技術支持”(Popup Tech Support)。用戶在上網時會突然接到彈窗消息,通知系統被感染,要求用戶聯系廠商獲得技術支持。

下圖就是這樣一個例子。

為了避免這種釣魚,在沒有點擊任何超鏈接的情況下,盡量不要回復自動彈出的消息。此外,在瀏覽器設置中阻止彈出窗口,完成業務處理后,立即退出銀行會話以及其他的敏感賬戶。最佳防御工具—SecurityIQ 及 PhishSimSecurity IQ 的 PhishSim 工具提供許多模板。借助這些模板,用戶可深入了解實際的網絡釣魚技術如鏈接操控和網站偽造。

如下圖所示,PhishSim 工具展示了利用隱藏 URL 技術進行的鏈接操控。

下圖所示的 Facebook 邀請模板經過精心設計,與真實的邀請并無二致,專門提供給PhishSim 用戶使用。

四、結論

事實是,對于大多數人來說,獲取知識最有效的方式是“做”而不是“學”。要了解網絡釣魚方法和技術,最好的方法是在安全可控的環境中親身體驗。SecurityIQ 的PhishSim 軟件為用戶提供工具創建自己的網絡釣魚任務,向親友或員工發動攻擊,追蹤這種攻擊的有效性,并及時調整攻擊方法。通過為他人提供網絡釣魚安全教育,用戶可更深入地了解釣魚者誘人上鉤的各種惡意方法。釣魚技術持續改進,防御措施須不斷更新以積極應對。