当前位置:文档之家 › 社会工程学之网络钓鱼攻击案例分析

社会工程学之网络钓鱼攻击案例分析

  • 格式:doc
  • 大小:28.50 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

网络钓鱼_参考模板

网络钓鱼_参考模板

5
如何防范网络钓鱼
如何防范网络钓鱼
防范网络钓鱼最重要的就是培养网络安全意识,养成良好的网络使用习惯。网络安全常识 宣传能使人们更好地意识到网络钓鱼的严重后果,了解网络钓鱼的常见手段,从而在查阅 电子邮件、语音信箱、短信时保持一定的警惕和怀疑,并且设置更复杂的密码来保护账户
安全
谢谢观看
XXXXX
类似于现实中的钓鱼,攻击者伪装成可信任的发件人,向受害者发送具有欺骗性质的消息 ,设下"诱饵",诱导受害者点击恶意链接,并在攻击者仿冒的网页上提供敏感数据
利用获取到的信息,攻击者可以直接通过交易受害者的个人数据牟取经济利益,或借此发 动下一步网络攻击 攻击者也有可能在钓鱼信息中附有恶意软件 ,在受害者在打开钓鱼信息的恶意附件后, 攻击者的恶意软件就可趁虚而入,在受害者 的系统中运行
经典案例
经典案例
点击链接跳转到的页面与人力资源社会保障部官方网站的界面非常相似,但实际为不法分 子伪造的诈骗网站。如果按诈骗网站页面上的提示填写姓名、身份证号、银行卡号等信息
,则可能导致社保卡被盗刷,请大家注意甄别!!!
经典案例
案例二
2023年3月,市民吴先生接到自称某教培机构工作人员 的电话,对方称机构将关门停业,要为其办理学费清退 。因对方能准确说出学科信息、缴费情况、课程进度等 信息,吴先生没有怀疑,随后便被对方拉进一个聊天群
尽管商业电子邮件攻击相较其他的网络钓鱼手段"技术含量不高",但是仍旧可以给公司造 成巨大的经济损失
举一个例子:受害者是公司财务部的职员,有一天他收到来自公司CEO的私人邮件,要求 他对第三方"合作方"发起一笔高达千万元的汇款,并要求该职员对此保密。出于对公司高 层的信任,受害者发起转账,落入攻击者的圈套

网络钓鱼攻击案例分析与警示

网络钓鱼攻击案例分析与警示

网络钓鱼攻击案例分析与警示概述随着网络技术的迅速发展,网络钓鱼攻击也日益猖獗。

网络钓鱼攻击是指攻击者通过伪装成合法机构或个人的方式,诱使受害者泄露敏感信息或进行不安全的操作,从而获取非法利益的行为。

本文将通过分析一些网络钓鱼攻击的案例,总结出一些警示和防范措施,帮助用户更好地识别和防范网络钓鱼攻击。

案例分析案例一:银行账户欺诈攻击者通过电子邮件的方式,伪装成一个银行机构,向受害者发送邮件,声称受害者的银行账户存在异常,需要立即点击链接进行验证。

受害者一旦点击链接,将被导向一个可信的银行网站的伪造页面,要求输入账号密码和其他敏感信息。

攻击者获取到这些信息后,可以通过受害者的账户进行盗窃、转账等操作。

案例二:社交网站诱导攻击者通过社交网站,如Facebook、Twitter等,伪装成受害者的朋友或熟人的方式,向受害者发送信息,包含了一个看似有趣的、引人关注的链接。

受害者一旦点击链接,将被导向一个钓鱼网站,要求输入社交网站的账号密码。

攻击者获取到这些信息后,可以冒充受害者进行恶意操作,如发布垃圾信息、传播恶意链接等。

案例三:电子商务诈骗攻击者通过发送虚假的电子商务网站链接,诱使受害者在看似正规的网站上购买商品。

一旦受害者在该网站上进行支付并输入银行卡信息后,攻击者即可获取到受害者的银行卡信息,以此进行盗窃和非法交易。

警示和防范措施针对以上案例,我们可以采取以下一些措施来警示并防范网络钓鱼攻击。

1. 提高安全意识•不轻信邮件和社交网站中的链接和附件,特别是来自不熟悉的发件人的信息。

•注意查看邮件和网站的地址栏是否与正规机构的一致。

•关注银行、电商等机构的官方信息渠道,了解最新的钓鱼攻击信息和防范建议。

•定期更新系统和应用程序的补丁,以修复安全漏洞。

2. 确保账户安全•使用强密码,包含大小写字母、数字和特殊符号,避免使用容易被猜到的密码。

•定期更改密码,同时不要在多个网站上使用相同的密码。

•启用双因素认证,增加账户的安全性。

安全培训课件:防范社会工程学攻击

安全培训课件:防范社会工程学攻击

隐私设置
仔细设置社交媒体隐私选 项,仅向可靠的联系人公 开个人信息。
谨慎共享
不主动透露个人信息,小 心在公共场合使用无线网 络。
结论和总结
保护数据安全
社会工程学攻击是现代网络 世界中的威胁,保护个人和 机构的数据安全至关重要。
持续学习与防范
保持与时俱进,持续学习最 新的社会工程学攻击技术和 对策。
1
教育员工
提供培训课程,教授员工识别和预
多层次验证
2
防社会工程学ቤተ መጻሕፍቲ ባይዱ击。
采用多因素身份验证,如密码和指
纹识别,确保仅授权人员可以访问
敏感信息。
3
加强身份验证
使用复杂密码和定期更换密码,限 制对重要信息的访问权限。
如何识别社会工程学攻击
不寻常的请求
警惕不寻常的数据访问 请求或要求提供个人或 机密信息。
案例分析:成功的社会工程学 攻击例子
1 电子邮件钓鱼
攻击者伪装成可信源(如银 行或社交媒体平台),诱使 受害者点击恶意链接。
2 冒名顶替
攻击者假扮受害者信任的人, 通过电话、邮件或社交媒体 请求敏感信息。
3 社交工程
攻击者通过社交媒体收集受害者的个人信息,然后用于恶意目的。
如何防范社会工程学攻击
安全培训课件:防范社会 工程学攻击
社会工程学攻击是一种利用心理和社交技巧欺骗人们,以获得机密信息而不 需要技术知识的方式。本课件将深入介绍如何防范这种攻击。
社会工程学攻击是什么?
社会工程学攻击是指通过人际关系中的欺骗手段,如伪装、胁迫和滥用信任, 来获取机密信息。这种攻击方法利用了人类的天性和弱点。
感情操控
注意言语、写作风格或 情感上的操纵,这可能 是攻击者试图获得信任 的表现。

网络安全攻防技术及实用案例分析

网络安全攻防技术及实用案例分析

网络安全攻防技术及实用案例分析随着网络技术的发展,网络安全已经成为一个不可避免的话题。

在网络工程的建设、运营和管理中,网络安全攻防技术是非常重要的一个方面。

本文将就网络安全攻防技术进行探讨,并分析实际案例。

一、网络攻防技术介绍1.网络攻击技术网络攻击技术包括各种黑客攻击技术,如网络钓鱼,木马病毒,黑客入侵等。

网络钓鱼是指攻击者通过伪装成合法的实体(如银行、电子商务网站等)来获取用户的敏感信息,同时也是一种社会工程技术。

攻击者通过编写冒充网站的恶意代码或攻击站点服务的服务器,来骗取用户的密码和其他敏感信息。

木马病毒是指存在于计算机网络中,不被目标用户所知道的程序,通常利用硬件和软件漏洞来进入系统。

木马病毒破坏了系统的完整性,给攻击者留下了一个隐藏的通道,从而可以悄然地窃取有价值的数据。

黑客入侵通常是指在没有被授权的情况下访问已被保护的计算机系统的行为,这是一种非法的攻击方式。

黑客利用已知或未知的漏洞,入侵目标系统并控制它们,以满足他们的目的。

黑客入侵破坏了网络的安全性,可能导致数据泄漏、错误的数据操作甚至灾难性的后果。

2.网络防御技术网络防御技术包括各种信息安全技术、安全应用程序等。

网络安全技术包括许多防御工具,如入侵检测、防火墙、VPN、内容过滤等。

这些防御工具能够检测和分析各种网络攻击,并保护用户的网络系统免受攻击。

其中,入侵检测是一种能够检测网络入侵,并对网络入侵事件做出反应的工具。

防火墙是保护网络安全的一种可编程的软件或硬件设备,用于限制或允许特定网络流量的流动。

VPN是一种安全的网络连接,在加密通信链路中传输数据,提供了安全性和隐私性的保证。

内容过滤则是指应用软件技术来过滤不安全的网站和恶意软件。

二、网络安全攻防实例分析1.社交工程攻击实例分析一些黑客通过伪装成著名网站的网页,来骗取用户信息。

例如,黑客可以通过发送电子邮件的方式来伪装成银行官方网站,并让用户输入敏感信息。

通过使用这种方法,黑客可以轻松地获取用户的账号和密码。

社工钓鱼案例范文

社工钓鱼案例范文

社工钓鱼案例范文
社工钓鱼是指黑客通过采用虚假身份或伪装成他人的方式,欺骗受害
人提供个人信息或账户密码,从而获得目标用户的财务或个人信息。

社工
钓鱼是网络攻击的一种高级手段,其手法多样化,隐蔽性较强。

下面是一
个真实的社工钓鱼案例。

20日,小明收到一封来自银行的邮件,邮件内容称他的账户有异常,需要进行确认和核实。

小明点击邮件链接,进入一个与银行官网高度相似
的页面。

页面上要求他输入用户名、密码和动态口令。

小明以为是银行在
进行安全升级,忙碌工作的他没有多想,便按照要求输入了个人信息。

随后,他收到一条短信,提示账户密码修改成功。

这个案例中,黑客采用了一种常见的社工钓鱼手法:通过发送虚假邮件,模仿银行的方式引诱受害人点击链接,进入一个与真实银行网站高度
相似的钓鱼网站,以欺骗受害人输入个人信息。

通过该案例我们可以看出,社工钓鱼案件的危害性是非常严重的。

2.警惕虚假网站。

在输入个人信息之前,认真核实网站的真实性。


以通过核对链接的安全性、查看网站的域名、与银行官方确认等方式。

3.保护个人信息安全。

不在公共场合、不安全的Wi-Fi网络环境下登
录银行、支付宝等账户,避免个人信息被恶意获取。

4.启用多因素认证。

发布方应当引入更加强大的身份认证机制,如动
态口令、指纹识别等,提高身份信息的安全性。

总的来说,社工钓鱼案件屡见不鲜且风险较大,我们要提高安全意识,警惕相关诈骗手法,并采取相应的防范措施,以保护个人信息及财产安全。

黑客攻击案例分析

黑客攻击案例分析

黑客攻击案例分析随着互联网的普及和信息技术的发展,黑客攻击已经成为一个严重的网络安全问题。

黑客攻击不仅对个人隐私和财产造成威胁,还对企业和国家的安全造成了严重的影响。

本文将通过分析几个典型的黑客攻击案例,探讨黑客攻击的原因、影响和防范措施。

案例一:电子邮件钓鱼攻击电子邮件钓鱼攻击是黑客攻击中常见的一种手段。

黑客通过伪造电子邮件的发送者身份,诱骗用户点击恶意链接或下载恶意附件,从而获取用户的个人信息或控制用户的计算机。

一旦用户中招,黑客就可以利用用户的身份进行各种非法活动。

案例二:DDoS攻击DDoS(分布式拒绝服务)攻击是黑客攻击中的一种常见形式。

黑客通过控制大量的僵尸计算机,同时向目标服务器发送大量的请求,导致服务器无法正常工作,从而使目标网站无法访问。

DDoS攻击不仅会给目标网站带来经济损失,还会影响用户的正常使用体验。

案例三:数据泄露攻击数据泄露攻击是黑客攻击中最为严重的一种形式。

黑客通过入侵目标系统,获取用户的个人信息、企业的商业机密或国家的重要数据,并将这些数据公之于众。

数据泄露不仅会给个人和企业带来巨大的损失,还会对国家的安全造成严重的威胁。

以上三个案例只是黑客攻击的冰山一角,黑客攻击的手段和形式多种多样。

那么,为什么黑客攻击如此猖獗?首先,黑客攻击的动机主要有两个方面:经济利益和个人兴趣。

一些黑客攻击是为了获取经济利益,比如通过窃取用户的银行账号和密码来盗取财产;而另一些黑客攻击则是出于个人兴趣,比如为了显示自己的技术水平或者满足自己的好奇心。

其次,黑客攻击之所以如此猖獗,还与网络安全意识的不足有关。

很多用户对网络安全的重要性缺乏认识,容易被黑客的伪装手段所欺骗。

同时,一些企业和组织在网络安全方面的投入不足,导致网络系统的漏洞无法及时修补,给黑客攻击提供了可乘之机。

那么,如何防范黑客攻击呢?首先,用户应该提高自己的网络安全意识,不轻易点击不明链接或下载不明附件,同时定期更新操作系统和安全软件。

网络钓鱼攻击案例分析与预防

网络钓鱼攻击案例分析与预防在如今数字化时代,互联网的普及为我们的生活和工作带来了便利,但同时也增加了安全隐患。

网络钓鱼攻击作为一种常见的网络欺诈手段,给许多用户带来了不可估量的损失。

本文将通过分析几个真实的网络钓鱼攻击案例,探讨其攻击原理和影响,并提供一些预防措施,以增强大家对网络安全的认识和防范意识。

一、案例一:银行账户诈骗某用户收到一封声称是银行发送的电子邮件,内容称其账户存在异常,需要登录银行官方网站进行验证。

用户点开邮件中的链接,并在伪装的网页上输入了自己的用户名和密码,不久之后,发现银行账户内的资金被盗。

分析:这是一种典型的网络钓鱼攻击,攻击者通过模拟银行的网站诱使用户输入敏感信息,然后利用这些信息实施盗窃。

预防措施:避免点击邮件中的链接直接登录,而是手动输入官方网址。

保持警惕,注意查看网页URL是否正确,尽量使用双重认证机制来保护账户安全。

二、案例二:电子邮件欺诈某公司的财务人员收到一封电子邮件,称财务部门的账户需要紧急汇款,邮件中提供了一个链接,要求点击并登录账户进行操作。

财务人员按照指示操作后,账户内的资金被盗窃。

分析:这种钓鱼攻击利用了社交工程学和假冒身份,通过发送虚假的电子邮件来骗取用户的敏感信息。

预防措施:谨慎对待来自陌生人或不熟悉的邮件,不轻易点击邮件中的链接。

在遇到类似要求时,最好通过其他途径与对方进行核实。

三、案例三:社交媒体诱骗某用户在社交媒体上接收到一则消息,声称通过参与问卷调查可以获得一定金额的奖励。

用户点击链接后被要求提供个人信息和银行账户,结果个人信息被滥用。

分析:这种方式是通过伪装成问卷调查的形式来获取用户的个人信息,骗取用户信任并获取非法利益。

预防措施:保持警惕,避免轻易提供个人信息和银行账户等敏感信息。

在填写任何问卷或调查前,先核实发布者身份,选择信誉良好的来源。

四、预防网络钓鱼攻击的措施1. 加强网络安全教育:持续提高员工、用户对网络钓鱼攻击的识别能力和防范意识,定期进行网络安全培训。

网络安全小案例分析

网络安全小案例分析案例一:社交工程攻击某公司的员工小明收到一封电子邮件,邮件称他需要在系统中更新个人登录密码以提升安全性,并提供了一个链接。

小明点击链接后,进入一个与公司系统界面相似的页面,被要求输入个人账户和密码进行验证。

小明没有怀疑,按照要求输入了自己的账户和密码后,页面显示验证成功并自动跳转到公司正式系统界面。

当小明再次登陆系统时,发现账户被入侵并遭到不当使用。

分析:这是一种典型的社交工程攻击方式,骗取个人账户和密码信息,进而入侵系统或者进行其他非法活动。

攻击者通过仿制公司系统界面以欺骗用户,使用户掉入陷阱。

要避免成为社交工程攻击的受害者,用户应该始终警惕来自不明邮件的链接,尤其是涉及个人账户和密码的验证信息。

在接到这类邮件时,可以通过其他途径(如电话)与公司或相关部门进行核实,确保链接的真实性。

案例二:Wi-Fi劫持某咖啡馆的顾客小李连接上了该咖啡馆提供的免费Wi-Fi,开始浏览网页和使用社交媒体。

无意中,他接收到一个来自未知源的弹窗广告,广告内容涉及到各种引人注意的优惠活动。

小李无法关闭该广告,而且发现自己的浏览器和应用开始变慢,偶尔还会出现其他奇怪的弹窗。

他意识到自己极有可能遭到了Wi-Fi劫持。

分析:Wi-Fi劫持是指黑客通过篡改或劫持公共Wi-Fi网络,监控用户活动或者进行恶意操作。

顾客在使用公共Wi-Fi时,应注意确认连接的网络是否可信,并避免在使用公共Wi-Fi进行涉及个人信息和账户登录等敏感操作。

同时,安装防火墙和反间谍软件等安全工具,定期更新操作系统和应用程序,可以提高对Wi-Fi劫持的防范。

案例三:钓鱼邮件某用户收到一封看起来来自银行的电子邮件,称用户的账户遭到风险,需要点击链接进行验证。

邮件还宣称,如果用户不及时操作,可能导致账户被冻结或遭到盗用。

用户点击链接并输入账户和密码后,被引导进入一个假冒银行系统的页面,此时用户账户和密码信息被黑客窃取。

分析:这种钓鱼邮件的目的是通过虚假信息欺骗用户,骗取其个人账户和密码等敏感信息。

社会工程学与钓鱼攻击防范

使用安全浏览器
使用具备钓鱼网站拦截和恶意网址 检测功能的安全浏览器,降低访问 钓鱼网站的风险。
定期更新密码和操作系统补丁
强密码策略
设置复杂且不易猜测的密码,并 定期更换密码,避免使用弱密码 或重复使用相同密码。
及时更新操作系统
定期更新操作系统和应用程序, 以修补可能存在的安全漏洞,减 少被攻击的风险。
提高网络安全防御能力。
提高公众安全意识
加强网络安全教育和培训,提 高公众对社会工程学和钓鱼攻 击的认知和警惕性。
完善网络安全法规
建立健全网络安全法规体系, 加大对网络犯罪行为的打击力 度,为网络安全提供有力保障 。
加强国际合作与交流
加强国际间的合作与交流,共 同应对网络威胁和挑战,推动 全球网络安全治理体系的建立
CATALOG
DATE
ANALYSIS
SUMMAR Y
05
个人用户钓鱼攻击防范 建议
不轻信陌生链接和邮件附件
谨慎点击链接
不要随意点击来自陌生人或不可 信来源的链接,特别是那些包含 诱人内容的链接,如中奖通知、
特价商品等。
验证邮件来源
对于包含附件的邮件,要仔细核对 发件人的身份和邮件内容的真实性 ,避免下载和打开可疑附件。
定期更新防病毒软件
确保防病毒软件保持最新状态,以便及时检测和清除潜在的恶意 软件。
定期备份重要数据
定期备份重要文件和数据,以防万一受到攻击导致数据丢失或损坏 。
关注安全动态和警报
关注来自安全机构、厂商或社区的安全动态和警报,及时了解最新 的威胁和防护措施。
REPORT
CATALOG
DATE
ANALYSIS
REPORT
CATALOG

实验三网站钓鱼攻击 实验报告分析

南京工程学院实验报告题目网站钓鱼攻击课程名称网络与信息安全技术院(系、部、中心)计算机工程学院专业网络工程班级学生姓名学号设计地点信息楼A216 指导教师毛云贵实验时间 2014年3月20日实验成绩一实验目的1.了解钓鱼攻击的概念和实现原理2.了解钓鱼网站和正常网站的区别3.提高抵御钓鱼攻击的能力二实验环境Windows,交换网络结构,UltraEdit三实验原理3.1.什么是钓鱼网站网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息)的一种攻击方式。

最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。

这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。

受害者经常遭受严重的经济损失或个人信息被窃取。

钓鱼网站通常伪装成为银行网站,窃取访问者提交的账号和密码信息。

它一般通过电子邮件传播,此类邮件中包含一个经过伪装的链接,该链接将收件人链接到钓鱼网站。

钓鱼网站的页面与真实网站界面完全一致,要求访问者提交账号和密码。

一般来说钓鱼网站结构很简单,只是一个或几个页面,URL和真实网站有细微差别,如真实的工行网站为,针对工行的钓鱼网站则可能为。

3.2.钓鱼网站的防范措施1.启用专用域名现在的网址有好几种,是一个商业性网站,而是政府网站,则是非政府组织网站。

域名不同,代表的意思也不同。

因此可以借鉴政府网站有专用域名做法,为网上银行设置专用域名。

这种作法虽然从根本上无法杜绝钓鱼网站的存在,但确实在很大程度上打击了假冒的网银网站。

2.规范搜索引擎在网银安全问题上,银行惟一能采取的办法就是投入大量的人力物力,不间断地在网上通过人工或是自动搜索同自己域名类似的假冒网站、网络实名,甚至必须介入电子邮件搜索是否有人假借银行名义行欺骗之实,即使是几个银行联合起来打假,平摊的只是成本,技术始终是个难题。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

社会工程学之网络钓鱼攻击案例分析
社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已呈迅速上升甚至滥用的趋势。

那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。

总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。

它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。

它蕴涵了各式各样的灵活构思与各种嬗变的因素。

无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关基础知识、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。

与以往的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作,这些准备工作甚至要比其本身还更为繁重。

社会工程学陷阱通常以交谈、欺骗、假冒或口语等方式,从合法用户那里套取用户系统的秘密,例如:用户名单、用户密码及网络结构。

比如:如果抗拒不了好奇心而打开了充满诱惑字眼的邮件,邮件携带的病毒就有可能被传播。

MYDOOM与Bagle都是利用社会工程学的陷阱而传播的病毒。

随着网络的发展,社会工程学走向多元化,网络钓鱼攻击、密码心理学以及一些利用社会工程学渗入目标企业或者内部得到所需要信息的大胆手法逐步多起来。

社会工程学是一种与普通的欺骗/诈骗不同层次的手法。

系统以及程序所带来的安全往往是可以避免得,而在人性以及心理的方面来说,社会工程学往往是一种利用人性脆弱点,贪婪等等的心理进行攻击,是防不胜防的。

借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法。

一、网络钓鱼攻击手法
网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,从而创造了“Phishing”,Phishing 发音与 Fishing相同。

“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用和口令、社保编号等内容。

诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。

1.网络钓鱼特点
网络钓鱼是基于人性贪婪以及容易取信他们的心理方面来进行攻击的,存在着多个特点:
(1)存在着虚假性(欺骗性)大家都已经听说过假币,利用极度模仿的手法去伪造真实货币的样貌,不管是什么角度来看都是和真实的没有什么两样,钓鱼者可以利用自己的站点去模仿被钓网站的克隆,然后结合含有近似域名的网址来加强真实程度。

更有甚者会先入侵一台服务器,在服务器上面做相同的事情,让自己可以更好的脱离其中,逃避追踪以及调查。

(2)存在针对性,我们可以在APWG(Anti-Phishing Working Group)的钓鱼报告看出,通常与钓鱼者紧紧相关的网站都是一些银行、商业机构等,随着互联网飞速的发展,电子商务、网上购物已经成为了和网民息息相关的服务。

庞大的网络资金流动,带动了很多的新兴行业,也带来了潜在的安全隐患。

网络钓鱼就是潜在当中最严重最令人头痛的安全隐患。

反钓鱼攻击工作组(APWG)成立于2003年,致力于对付网络上的各种身份盗窃和邮件诱骗。

该工作组在信息安全业界是一个优秀的工会,拥有超过1700个成员,分别来自世界各地1000多家金融服务企业、网络服务提供商、安全解决方案提供商、法律执行机构、法庭、规章机构和消费者组织。

APWG的网站是。

(3)存在着多样性,网络钓鱼一种针对人性弱点的攻击手法,钓鱼者不会千篇一律的去进行攻击,不管是网络、现实到处都存在着钓鱼式攻击的影子。

钓鱼者不会局限于常用的伪造网站,虚假邮件等等的手法,钓鱼者会结合更多的便民服务,人性的贪婪去想象更多令人容易心动,容易受骗的形式去骗被钓者,从而在更短的时间内得到最好的效果。

(4)存在可识别性,网络钓鱼并不是无懈可击,更加不是说可以完完全全的没有破绽。

从钓鱼者的角度出发,钓鱼者本身会利用最少的资源去构造自己的钓鱼网站,因为无法去利用真实网站一些独有的资源(例如:域名,USBKEY,数字验证等等)。

所以,在伪造网站的方面,会利用近似或者类似的方法来进行欺骗,通常我们可以查看伪造网站以及根据经验去识别其真实性,当我们查看HTML源码或者是一些独有的资源时,我们就可以很容易看出虚假网站的真实性了。

数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决“我是谁”的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。

数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。

数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。

每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。

当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由
于没有相应的私钥,也无法进行解密。

通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。

在公开密钥密码体制中,常用的一种是RSA体制。

(5)存在结合性,我们正在使用的操作系统以及程序都会出现很多的安全隐患以及漏洞,钓鱼者会利用这些漏洞从而来进行攻击,例如:利用Internet Explorer的一些漏洞去构造连接地址,或者利用漏洞去种植间谍软件或者键盘木马等等。

2.网络钓鱼攻击剖析
(1)利用虚假的网站进行网络钓鱼式攻击
反网络钓鱼组织APWG(Anti-Phishing Working Group)最新统计指出,约有70.8%的网络欺诈是针对金融机构而来。

从国内前几年的情况看大多Phishing 只是被用来骗取QQ密码与游戏点卡与装备,但今年国内的众多银行已经多次被Phishing过了。

我们就分析分析国内如何利用虚假网站钓鱼进行骗取QQ密码或者银行帐号信息的。

最近QQ对战平台出现了一群钓鱼“高手”,利用对战平台的悄悄话发布虚假中奖信息,致使被钓者访问虚假网站留下相关的敏感信息。

我们来看看他们如何进行钓鱼攻击的,如图2-252、图2-253所示。