謹防網絡釣魚的最新陰謀
互聯網在飛速發展,各種基于互聯網的互聯網應用技術和安全技術也在飛速發展,同樣的互聯網犯罪也是發展到了極致。在過去十來年,網絡釣魚不斷滲透,在世界各地每日的網絡釣魚攻擊大約為800萬次數,網絡釣魚已經逐漸成為了互聯網安全的最大威脅。
網絡釣魚無界限
網絡釣魚——引誘電腦用戶提供敏感信息盜取身份和商業數據——對企業和普通消費者都構成極大威脅。
反網絡釣魚工作組(APWG)報道說,在2008年第二季度,光網絡釣魚攻擊就上升了13%,超過28000次數。它還報道稱,在同樣的時期內,被感染了電腦密碼竊取代碼、可用來惡意軟件傳播的網站就已經突破了9500個——與2007年同期相比,增長了258%。圖一顯示了網絡釣魚——魚叉式網路網絡釣魚在16個月內的增長情況。
提防最新網絡釣魚陰謀
Spear phishing(魚叉式網路網絡釣魚)
魚叉式網路網絡釣魚 只針對特定目標進行攻擊,通常鎖定的對象并非一般個人,而是特定公司、組織成員,比如著名的銀行、金融公司及其高管等。
消費者并不是魚叉式網絡釣魚攻擊的唯一目標。越來越多的企業員工被狡猾的犯罪分子盯上。他們的目標是要獲取銀行信息、客戶數據和其他資料,以資助他們的網絡犯罪行徑。
根據VeriSign iDefense,魚叉式網絡釣魚攻擊在2008年4月至五月期間對企業發起的攻擊,達到了前所未有的水平。這些攻擊的目標主要是高級管理人員和公司其他重要人物。在15個月內,受害者企業用戶數量達到了驚人的15000之多。這些受害者包括全球500強公司、政府機構、金融機構和律師事務所。
商業服務網絡網絡釣魚
除了魚叉式網絡網絡釣魚之外,網絡釣魚新陰謀還包括有針對商業服務的網絡釣魚攻擊。比如,利用Yahoo !推出的關系和谷歌的AdWords進行網絡釣魚。據PhishTank報告稱,AdWords用戶會受到一封電子郵件,提醒他們賬戶需要更新。之后,用戶就會被要求登陸一個假冒的AdWords界面并提供信用卡信息。由于很多中小型企業依賴在線廣告來提供網站流量,他們的市場管理者很容易受到網絡釣魚者盯上。
利用經濟恫嚇發起網絡釣魚攻擊
當前低迷的經濟形勢,為犯罪分子發起網絡釣魚攻擊提供了便利條件。比如,利用電子郵件假扮成來自某個金融機構需要獲取受害者銀行卡、存貸款等財務信息,以幫助處理企業破產或者合并、收購等事宜。大量的合并和收購信息,讓廣大消費者感到迷茫。更糟糕的是,缺乏統一通信,更是讓欺詐者有恃無恐。
混合式網絡釣魚/惡意軟件威脅
為了提高成功率,一些網絡釣魚攻擊會與惡意軟件相結合的方式進行。例如,某個潛在的受害者收到發來網絡釣魚電子賀卡的郵件,通過點擊該賀卡,用戶就會在不知情的條件下進入一個偽造的網站上,并感染網站上自動下載過來的木馬程序。另外,受害者可能會看到一條消息,在查看賀卡的之前需要下載更新軟件(比如Flash)。當用戶該軟件的時候,其實它就是一個鍵盤記錄軟件。
基于網絡釣魚的鍵盤記錄軟件,會跟蹤用戶的每一個上網記錄,并監視其中有用的信息,比如在線購物、銀行卡賬戶和密碼等敏感信息。
另外一種會讓網絡釣魚攻擊者捕獲敏感信息的木馬,則是重定向。重定向會讓用戶進入不是其本意的網站。目前,基于網絡釣魚的鍵盤記錄軟件和重定向正大肆流行。
中間人SSL滲透攻擊
2008年,出現了一種新型的可以讓犯罪分子欺騙加密會話的惡意軟件。這種標準的中間人攻擊的變種,可以讓罪犯訪問網絡傳輸上不受保護的密碼和其他敏感信息。
短信和手機網絡網絡釣魚詐騙
網絡釣魚攻擊者可能會使用短信來取代電子郵件,以冒充某個金融機構并獲得機密賬戶信息。被稱為smishing(通過短消息的網絡網絡釣魚攻擊),屬于一種典型的手機詐騙,它會通知用戶銀行賬戶失密或者銀行卡被停用,并要求撥打某個電話來恢復銀行服務。手機用戶一旦登陸網站或者通過自動電話系統,就會被騙取透露銀行財務信息和PIN號碼。
【編輯推薦】
