小杰酷爱网络技术,对“网络钓鱼”早有耳闻,一次偶然的机会,他在某游戏平台进行游戏时收到了一条“网络钓鱼”信息,为了找出真相,他扮演了“上钩者”,对这次“钓鱼攻击”进行刺探,直到完全揭穿“钓鱼者”的阴谋。收到“幸运”信息 引诱用户上钩小杰在某游戏平台进行游戏时,平台信息窗口中出现了一条“诱人”的信息:“尊敬的××游戏平台用户,您好,您已被系统选中,成为了当日的幸运大玩家,请联系客服QQ:(××××××××)咨询领取您的奖品”(图1)。这是一条很明显的“网络钓鱼”信息,小杰在其他地方多次收到过类似的信息,所以并不会相信所谓的中奖信息,而且从中也可以找到“钓鱼者”的破绽,为找出“钓鱼者”的真实目的,小杰随着“钓鱼者”的思路扮演了一次“上钩者”。高手支招:在很多类似的游戏平台或游戏中,对用户发出通知消息的系统账户通常显示为“客服”、“系统”等词汇,因此当用户看到带有以上词汇的用户发布消息时,往往会以为是系统发出的消息,其实要注册一个这样的账户是很容易的。使用这样的账户进行钓鱼攻击更容易使用户上钩。其实我们平时只要多注意一下真正的系统客服账户和伪造的账户之间的区别,就可以很容易地识破“钓鱼者”的骗局。如果还不能确认,可以查询一下对方的账户资料,一般都有漏洞可寻。精美“钓鱼”页面 破绽降到最低收到的“钓鱼”信息没有直接给出领奖地址,而是提供了一个所谓的“客服”QQ号码,这很明显是“钓鱼者”的QQ号码。Tw.wINGwIT.Com加该QQ为好友后,“客服”提供了一个领奖地址,打开该页面后出现一个活动页面——战队赛基金,页面做得很漂亮也很整齐,不像一般“钓鱼”页面粗制滥造。内容无非是为了感谢广大玩家的支持,将进行抽奖活动,而奖品也十分诱人“人民币5888元和价值4577元的诺基亚手机一部”。高手支招:“网络钓鱼”页面的地址往往很长,这也是一眼就可以识破的破绽。例如“战队赛”基金的页面地址为“http://free6.savalo.com/woqq/***.htm”(图2),将网址子域名和后面的部分去掉,只剩下“http://savalo.com/”,打开后出现的是一个其他的网站。很明显,页面是放在免费空间上的。试想一下,诺大的腾讯公司举办活动怎会把网页放在免费空间上?如果“钓鱼者”的目的不在于获取你的重要信息,而是在页面中加入网页木马,那么危害性将更为巨大。其二,上文中提到的“客服”QQ号码是一个9位数的普通QQ,作为一个腾讯公司举办的活动,其客服QQ应该是10000才对。填写无关个人资料 减少用户警惕如果没有从上面的现象中得知这是一次钓鱼攻击,那么“钓鱼者”就已经成功了一半。点击页面最下方的“点击进入专区”,会出现一个填写个人资料的页面,填写正确后才能进入到下一步,如果填写错误则会弹出“您填写的资料有误,请正确填写”的对话框。在这个页面中没有要求填写密码类的资料,由此可见“钓鱼者”为了降低“上钩者”的警惕度,故意设置了这样的一个页面。可见“钓鱼者”的真实目的并不在于获取“上钩者”者的信用卡密码等信息。高手支招:一般的“钓鱼攻击”在这一步就会露出真面目,会要求你填写自己的信用卡密码或其他的重要信息。但是随着网友安全意识的普遍提高,对于填写信用卡之类的信息比较谨慎,因此想用“钓鱼”攻击来获取信用卡资料比较困难,反而容易引起怀疑。奖品邮寄要邮费 真实目的显现填写完所有的资料后进入下一步,这时会弹出一个对话框“恭喜您,您填写的资料已被系统记录在电脑里”(图3),然后就跳转到一个获奖界面,提示已经获得了上面提到的两项奖品。接下去就出现了“钓鱼者”的真实目的。页面中提示奖品的邮寄和奖品的税费共需要488元,而必须先交清这笔所谓的“邮费”才能得到以上奖品。因此小杰找到了“客服”,对邮寄费用进行了咨询,提出邮费可否从奖品中扣除的要求,结果被告知如果想要得到以上奖品,必须先付清邮费。高手支招:至此,“钓鱼者”的真实目的已经完全暴露,利用人们喜欢贪小便宜的心理,从而骗取所谓的“邮费”。而奖品只是一个诱饵,使“上钩者”者真的以为自己中了大奖,从而心甘情愿地付出这488元的邮费,奖品在这里扮演了一个“鱼饵”的角色。如果对“网络钓鱼”稍有认识,就应该在这一步中了解到“钓鱼者”的目的,中奖后需要你交纳不菲的邮费这一点是相当不合理的,也极少有正规公司举办活动会这样做。简单防范 把“网络钓鱼”拒之门外通过网络传播看似权威或者官方的信息,骗取上网者的敏感资料如银行账号、密码等行为称之为“网络钓鱼”。“网络钓鱼”虽然是最近几年才出现的一种新的攻击方式,但是使用的技术并不深奥,只是使用了社会工程学原理,利用人们的心理弱点进行欺骗。因此只要了解了这方面的知识,提高自己的安全意识,就可以完全避免“钓鱼攻击”。“网络钓鱼”的目的已经不再注重获取敏感信息,而是向着骗取现金的方向发展,或者在“钓鱼”页面插入网页木马,使“上钩者”的电脑成为 “肉鸡”。因此,防范“网络钓鱼”攻击可以从以下几点入手:一、中大奖的概率是很小的,如果真中了奖,应该多查询一下该活动的资料,确认无误后再进行下一步操作。二、域名是不可信的,因为“钓鱼者”很可能使用域名劫持技术,当你在着名门户网站填下自己的重要密码信息时,你的信息已经落在了“钓鱼者”的手中。因此尽量在浏览器中直接输入该网站地址,而不要点击别处的链接。三、在不能完全确认网站安全的情况下,应该多查看一下网站的源文件,也许会在其中找到破绽。同时千万不能将自己的信用卡密码和其他密码填在网站上,因为很少有网站需要你的密码信息。
