反网络钓鱼技巧的假面具
目前,每一个在线的银行站点都把“反网络钓鱼技巧”作为他们站点的一项活动,来教给普通电脑用户如何对付那些想收集他们私人信息的讨厌的电子邮件。当这项教育活动刚刚有些起色的时候,这些技巧中的许多、甚至有些还是来自安全专家的建议,事实上是很可疑的、不正确的或者容易对用户产生误导的。本文揭穿了大多数的谣传。并且,在本文的后半部分,我们还给出了一些提示,可以帮助你识别正当的和冒牌的web站点。
陷阱1:安全的、加密的web页面是一个正当web站点的象征。
与常规的建议相反,决不要仅仅依靠“https//”前缀或者一个挂锁的图标就认为那是一个“安全”的页面。对于一个钓鱼站点来讲,拥有一个有效的SSL认证是完全可以做到的。你应该检查一下认证的详细信息,来查看一下对“用户名”字段的认证是否能够匹配该组织网站的主机名,但是这可能需要掌握一些专门的技术。
陷阱2:通过“输入授权的用户名”进行安全保护,单击这里进行认证。
你曾经看到过这个吗?知道吗,它们是没有用的。这个提示通常出现在splash窗口上,点击要求进行认证的链接并不能够保证你就能够连接到一个合法的web站点上。
陷阱3:地址栏总是显示正确的URL。
另一个有缺陷的建议就是说要查看地址栏,看是否是一个正确的URL。这并不足以确定一个web站点就是合法的。网络钓鱼者能够利用浏览器软件中的漏洞在地址栏中使用欺骗的信息。另一种类型的攻击(DNS欺骗)也能够欺骗你让你相信你所访问的是一个合法的web站点。
陷阱4:把鼠标移动到链接上你就会在状态栏上看到真实的URL。
状态栏的显示的文本很容易就可以改变的。事实上,它甚至比在地址栏进行欺骗更容易。
陷阱5:反钓鱼软件能够防止欺骗发生。
与防病毒软件类似,它对新的恶意代码是无能为力的,你的反钓鱼浏览器插件(通常是在互联网上可以免费下载的)是不能够发现所有的钓鱼企图的。相反的是,这样会在你的浏览器中增加软件(通常是可疑的软件)让你容易受到特定软件的攻击。
陷阱6:一封包含你个人信息的电子邮件合法的。
如果你收到一封来自银行的电子邮件,其中包含你的姓名和你的帐户信息(或者一部分信息),这可能就是一封进行欺骗的电子邮件。网络钓鱼者能够通过一些组织的公共数据库或者数据漏洞获得一些你的个人信息。
陷阱7:登录你曾经知道是合法的web站点就是安全的。
不,千万不要这样认为。网站的漏洞(称作Cross-Site Scripting漏洞)能够让一个老练的攻击者使用表单在公司的站点上进行重定向,把你重定向到攻击者的web站点上,一旦你点击了“Login”或者“Enter”按钮它就会捕捉到你的认证信息。
阅读下面的建议能够防止这样的事情发生。
你应该怎么做才能够避免被欺骗:
提示1:不要点击你的电子邮件中的链接。
如果你收到了一封银行的邮件向你询问一些事情,不要点击电子邮件中的链接,也不要使用电子邮件中的表单进行登录。取而代之的是,打开你的浏览器,直接打开该银行的web页面,在那里进行登录,然后再做你要做的事情。即使这封邮件来自你知道的某人,也不要点击这个链接。
提示2:无效的认证信息通常在假扮的web站点上起作用。
如果你感觉到一个站点有些可疑,就使用虚构的用户名和密码进行登录。如果这个站点出现“登录失败”的页面,只能说明你可能是在一个合法的站点上。它不可能总是使用模拟的登陆失败来仔细检查用户的输入的,在收集了认证信息后它就会重定向到合法的站点上了。如果你用虚构的认证信息通过了认证,那很显然,这是一个钓鱼陷阱了。
提示3:使用电子邮件向你怀疑的公司报告信息。
大多数财政机关都设立专门的电子邮箱来接收安全问题报告。如果你怀疑一个消息有钓鱼企图,就把这个消息转发给那个机关。你应该包含完整的电子邮件头部信息。不要期望得到它们的回复,因为他们收到了数以千计这样的报告。
(T111)
