当前位置:首页 > 资讯

网络钓鱼,从希拉里总统选举谈起......

2018-12-06 16:45 | 互联网 |
我要分享

2016年3月,时任下届总统竞选大热门的希拉里团队主席波德斯塔(John Podesta)的一名贴身助理Billy Rinehart在前者的邮箱里看到了一封警告邮件。这封自称来自谷歌官方的邮件说,波德斯塔需要立即更改自己的谷歌邮箱密码。

毫无疑问,这是黑客发来的钓鱼邮件,点进去,不仅仅是密码,邮箱的所有内容都被黑客翻了个遍。然后,黑客就把这些邮件交给了维基解密,从当年10月开始,维基解密逐渐公布着Podesta的这些邮件。

随后发生的事情,是希拉里的竞选形式急转直下,这也成为当年美国大选后期的转折点。

在这个事件里,整个希拉里竞选团队都像是“鱼”,而有鱼必有“渔”,那到底什么是“网络钓鱼”呢?

网络钓鱼(Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。

最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。网络钓鱼是一种在线身份盗窃方式。

“网络钓鱼”并不像其他的病毒或黑客袭击会对用户计算机造成破坏,更多的是利用人心理上的弱点来欺骗用户的敏感数据。其主要欺骗方式如下:

1、发送电子邮件,以虚假信息引诱用户中圈套。

诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。

2、建立假冒网上银行、网上证券网站,或者发送假链接,骗取用户账号密码实施盗窃。

犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意html代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用cookies窃取用户信息。

3、利用虚假的电子商务进行诈骗。

此类犯罪活动往往是建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就销声匿迹。如2003年,罪犯佘某建立“奇特器材网”网站,发布出售间谍器材、黑客工具等虚假信息,诱骗顾主将购货款汇入其用虚假身份在多个银行开立的账户,然后转移钱款的案件。

4、利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。

木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。

5、利用用户弱口令等漏洞破解、猜测用户账号和密码。

不法分子利用部分用户贪图方便设置弱口令的漏洞,对银行卡密码进行破解。如2004年10月,三名犯罪分子从网上搜寻某银行储蓄卡号,然后登录该银行网上银行网站,尝试破解弱口令,并屡屡得手。

6、pharming 攻击。

pharming 最早出现在2004年,它由入侵dns(doman name server)的方式,将使用者导引到伪造的网站上,因此又称为dns下毒(dns poisoning)。domain name server的功能是将网站的网址(例如:www.google.com),转换成ip位址(例如:125.13.213.1),一旦dns被入侵,使用者便经dns的ip转换,不知不觉地被“导引”到一个伪造的网站,并让黑客有机会窃取个人的机密资料。

所有数据泄露事件中,有91%从网络钓鱼攻击开始,每个月都有几百万次网络钓鱼攻击试图引诱用户上钩,网络钓鱼每年造成的直接损失达到几十亿美元。

防御网络钓鱼,最主要的途径就是是培训您的员工,提高员工信息安全意识水平。

人是最关键的因素,人是最薄弱的环节,习惯是最难改变的。 员工是公司、政府机构等组织的信息安全的最后一道防线,他们需要接受信息安全意识培训,并保持头脑清醒,只有这样,员工、职员才变成公司、政府机构信息安全的最后一道坚固防线。

首联信通是国内第一家集成模拟网络钓鱼和信息安全意识培训SAAS平台.首创了情景式的、即时互动的信息安全意识教育模式。

1)我们通过SAAS平台帮助所有的企业、政府、机构进行评估、培训全体员工的信息安全意识。

2)我们提供信息安全意识评估、良性模拟钓鱼攻击、在线培训、再评估的循环一体化持续提升的服务。

3)我们既提供线上的服务,也提供线下现场式、行业定制化、托管式的信息安全意识培训服务。

4)我们帮助客户企业、政府机构提高全员信息安全意识,降低被网络钓鱼、恶意软件感染、被恶意勒索、信息泄密的风险。

5)独创的SAAS平台服务,使我们的客户进行信息安全意识培训计划启动快,部署更简单、快捷、安全、高效。

(责任编辑:徐冉)
网友评论