垃圾邮件
网络钓鱼攻击是21世纪以来最为流行的一种网络犯罪行为。媒体总会定期报道一批其客户深受网络钓鱼攻击之害的公司。每天,网络钓鱼欺诈无论是在数量还是质量上都在不断地提升。尽管垃圾邮件只会让人感到心烦,但网络钓鱼却能实实在在地让受害者遭受资金的损失。既然此类威胁的危害程度如此之大,我们没有理由不学习一些防范措施?
网络钓鱼为何屡屡得手
要利用用户的信任,方法有很多
网络钓鱼屡屡得手的原因不胜枚举,网络骗子有各种招数骗取受害者的信任,从而将他们推向”无尽的深渊”。网络钓鱼者往往会提供一些极具诱惑力的条件,比如提供免费赠品以让用户上钩。然而这的确是一种行之有效的方法,因为人们往往都会贪图免费的东西。
网络骗子还会充分利用某一热点话题或热门活动来大做文章–例如,在世界杯足球赛后就发生了大规模的网络欺诈案件。就在今年夏天,有一家模仿FIFA官方网页的网络钓鱼网站,鼓励用户在保卫苏亚雷斯(乌拉圭国家队明星前锋)的”请愿书”上签字。在签字之前,每一名用户必须在线填写一份表格,内容包括:用户的真实姓名、国籍、手机号码以及电子邮箱。
另一家欺诈网站则为访客提供下载世界杯电子门票的机会,一旦点击链接即会自动下载木马程序,从而盗取受害者重要的个人和资金数据。
为了让那些对网络钓鱼有所警觉的用户上当,网络犯罪分子采用另一种有效的工具,即利用受害者朋友的账户到达不法目的 – 例如,社交网络。
据卡巴斯基实验室统计,在2013年一整年,针对伪装成社交媒体网络的网络钓鱼网站的警报占所有反网络钓鱼组件警报的35%之多。在我们总共检测出的超过6亿次试图访问网络钓鱼网站中,其中有22%伪装成了Facebook网页。
另一种富有成效的欺骗受害者点击网络钓鱼链接的方法是故意营造一种紧张和恐慌的气氛。比如,网络骗子威胁受害者即将封闭其用户预置文件甚至冻结银行账号。为了使该种方法更加有效,网络犯罪分子还会依靠所谓的’语音钓鱼’(在电话中实施诈骗)。并非所有人都会始终对诸如此类的’微妙’处境小心谨慎,为了防止自己的账户遭到冻结,有些人会听从那些专横的’银行安全人员’要求,乖乖地将自己的信用卡数据交给对方。
在我们总共检测出超过6亿次的试图访问网络钓鱼网站中,其中有22%伪装成了Facebook网页。
网络钓鱼技术持续改进
网络钓鱼屡屡得手的一个主要原因,是其网络钓鱼工具的技术不断改进,正日渐趋于精密和复杂。
从外观上看,虚假网站与合法网站很容易区分;然而,许多虚假网站都有正当的域名,并在有些情况下,还采用了带真实证书的安全HTTPS链接。
手机网络钓鱼问题同样日益突出。由于智能手机和平台电脑在技术上的独特性(比如,屏幕尺寸较小),因此相对来说更难以分辨网络钓鱼网站与合法网站。
请记住,在实施网络钓鱼攻击时,网络犯罪分子根本无需入侵用户的系统。这也是为什么说目前没有任何平台有能力完全防范网络钓鱼攻击,从而使之通用化。
网络犯罪分子的”金矿”
网络钓鱼在短期内无法”消退”的原因是能为网络犯罪分子带来巨额的经济收益。网络钓鱼工具在互联网上随处可见,易于获取,并且社交网络拥有庞大的用户数量(有6亿用户,还记得吗?)。此外,发动网络钓鱼攻击对于犯罪分子而言易于反掌,因为大多数工具都能自动开展攻击。
因此,具备了这些优势,网络犯罪分子就能轻轻松松地赚取相当可观的收益。在多数情况下,网络钓鱼者只对资金数据有兴趣。在无需任何周密计划的情况下,就能轻松获益。
此外,网络钓鱼更倾向于和其他犯罪方法一同使用,从而形成有效的协同效应。打个比方,你通过垃圾邮件遭到网络钓鱼邮件攻击,一旦犯罪分子掌握你的所有联系人后,网络钓鱼邮件即会继续转发给所有这些联系人。在形成一个有效联系人的庞大数据库后,黑客们就能批量发送恶意软件并进一步使用所产生的僵尸网络(认为合适的)。
最后需要提醒的是,不要想当然地以为网络骗子只对你的信用卡或资金数据感兴趣。对于你的电子邮件服务或社交网络的用户登录凭证,许多网络钓鱼者也同样”垂涎欲滴”。
如何避免遭受网络钓鱼?
用户能用于”武装”自己的安全小贴士和技巧又有哪些?首先,使用一些基本的常识。
始终保持冷静,不要轻易掉入在线欺诈和”语音钓鱼”的圈套。仔细检查引导你点击的链接和网站。在收到发自朋友或同事的可疑链接后,在与对方确认后,方能点击链接。在面对’语音钓鱼’攻击时,需要牢记的是没有一家银行的员工会急迫地要求你提供信用卡详细资料。
最好不要通过点击链接访问网站:尽量手动输入网址。不必再多说,在访问所有网站时使用强大的安全保护程序和安全网络。切记定期更新你的反病毒软件,尤其是那些具有反钓鱼功能的软件。例如,卡巴斯基安全软件内置反钓鱼组件可以运行网站检测功能,以防范一系列的未知欺诈网站。同时,还能通过超过200项安全标准的评估,检测可能的危险网页。
提示