一段時間來,假冒網站和木馬病毒盜取持卡人銀行卡的密碼和資金事件頻繁發生。相關人士稱,識破這些假網站其實并不難。
遼寧科技學院信息工程系劉慧宇老師介紹,犯罪分子的手段并不高明,他們往往是冒充知名公司,特別是銀行寄來的電子郵件,誘騙不知情的使用者連上假造的網站,要他們輸入使用者名稱、密碼,或是銀行賬號等機密信息。
網絡釣魚伎倆不外乎下面幾種:
URL欺騙最普遍
劉慧宇老師說,URL欺騙是網絡釣魚最普遍的一種形式,即通過一定的技術手段構建虛假的URL地址,給用戶造成錯覺以為是在正確的網站上。目前常見的構建虛假URL的方式有三種。
1、顯示文字和鏈接地址不同
例子:百度
以上代碼的作用是使得用戶在網頁或郵件中看到顯示的是“百度”,實際上是鏈接到Google的網站上。識別這類欺騙還是比較簡單的,只要將鼠標移動到鏈接上,就可以在狀態欄中看到實際的鏈接地址。
2、把兩個URL和一個表格插入到HTML的href標記中
例子:Google
這類欺騙很難識別,你在網頁中看到的網址是Google,即使你把鼠標移動到鏈接上,在狀態欄上看起來依然鏈接到www.google.com的網站上,可是一旦你單擊該鏈接你才發現,你鏈接到的是百度的站點。
用戶在上網過程中要時常注意地址欄上的URL變化,一旦發現地址欄上的域名發生變化就要提高警惕,只有這樣才能有效避免被釣。
3、利用IE的語法錯誤
例子:百度
在許多沒有打過補丁的計算機中,如果把URL地址寫成“http://www.baidu.com@www.redhat.com/”或者“http://www.baidu.com@3633633987/”,通過鏈接欄和地址欄都將看到你鏈接的是http://www.baidu.com,可實際上顯示的頁面內容是http://www.redhat.com,很難想像用戶遇到這樣的鏈接會不上當。目前用戶能做的就是盡快地給升級系統或打上補丁。
利用跨站腳本漏洞竊取信息
所謂的跨站腳本就是攻擊者利用合法網站服務器程序上的漏洞,在站點的某些網頁中插入危險的HTML代碼,竊取用戶信息。
克隆網站成騙錢捷徑
由于制作一個網站的成本很低,造假者使用假身份證花幾百元很容易申請到一個域名,并租到服務器空間。
1、URL地址克隆
使用和真實網址非常相似的域名,如:中國農業銀行的互聯網地址是“www.95599.cn”、“easyabc.95599.cn”、“www.abc95599.com”、“www.e95599.com”。近日出現的www.95569.cn(該網站已被查封)和www.95599.cn只有一字之差,然而卻是天壤之別。
2、頁面形式內容克隆
在假冒網站上使用正規網站的LOGO、圖表、新聞內容和鏈接,惟一區別之處是輸入的賬號的位置,一旦用戶登陸網站,很難通過一般的常識來區別哪個是正規的網站,哪個是假冒網站。
做好預防避免上當
其實最好的自我保護方式不需要多少技術,可從鏈接來源和使用場合等方面來預防。
1、鏈接來源
1) 對于銀行發來的手機短信,應認真核實短信的來源,如涉及到賬號問題要和銀行進行電話確認。
2) 對要求重新輸入賬號信息,否則將停掉信用卡賬號之類的郵件不予理睬。
3) 不要回復或者點擊郵件的鏈接,如果你想核實電子郵件的信息,可以使用電話聯系。
4) 若想訪問某個公司的網站,使用瀏覽器直接訪問,輸入網址前,有必要確認網址的來源。點擊郵件中的鏈接、短信即時通信工具如QQ、MSN都是不可取的。
5)如果一個網址中含有“@”符號,應該意識到,一般網址是完全沒有必要使用“@”符號的,因此不要使用這個網址。
2、網上銀行安全使用技巧
一個簡便的方法可幫你安全地使用網上銀行,現以中國工商銀行的網站為例進行介紹。
進入網上銀行后,在看到輸入框時,不要急于輸入信息,此時要檢查IE是否啟用加密鏈接(看看是不是有小鎖的圖標),并檢查證書是否有效(雙擊小鎖圖標,打開“證書”界面,查看其有效期),最好還要檢查證書是否與地址欄的地址相匹配(在“證書”界面中選擇“證書路徑”,并查看“證書路徑”最后一項是不是與地址欄中的地址一致)。如果其中一項不符合,那么就要小心了。
接下來,為了防止計算機中可能有木馬竊取重要的信息,建議輸入卡號與密碼時采取如下方式:如卡號為“123456789”,密碼為“654321”,輸入卡號時先輸入“567891234”,再利用剪切/復制功能改為正確的卡號。這樣一來,記錄鍵盤操作的木馬也無法取得正確的卡號。
提示:有的銀行登錄密碼和取款密碼可以設置為不同的密碼,如果銀行有這樣的服務,請一定將取款密碼與查詢/登錄密碼設為不同密碼,這樣即使查詢/登錄密碼泄漏,也不會影響資金安全。
為什么要輸入錯誤密碼呢?一是為了防止木馬記錄鍵盤操作,二是防止克隆網站。我們輸入錯誤密碼并點擊登錄后,應該給出明確的錯誤信息。而一些克隆網站會給出一些似是而非的信息,比如“系統忙”、“服務器出錯”等等。如果發現網站能夠給出正確的錯誤信息,我們再用正確密碼登錄不遲。如果使用正確密碼登錄出錯,無論什么原因,都應該立刻修改密碼。
