中PSX？警惕网络欺诈新伎俩“phishing”

“你中了一台PSX！请马上登录到以下网站，输入你的居住地址”、“未交纳系统使用费。请在以下网页上输入用户ID与口令察看详细说明”。 通过类似的邮件将用户诱导到假冒网站上输入个人信息，日本国内也开始面临这样的网络欺诈问题了。这种网络诈骗活动被称作是“phishing”。开头的两个邮件分别冒充索尼（http://www.sony.co.jp/SonyInfo/News/ServiceArea/040618/）与日本雅虎（http://docs.yahoo.co.jp/info/notice10.html），将用户诱导到某个网站，都完全是冒牌的。邮件所链接的网站当然也冒牌的，输入的个人信息将落入不怀好意的人手里…。通过假冒邮件“引诱”用户自2003年以来，phishing在美国已经成为一项大问题。phishing的目的是盗取信用卡号码和密码等用户个人信息。被盗的个人信息不可避免地遭到恶意使用。phishing的基本手法如下：试图进行phishing的人（被称作“phisher”）
首先向
大量非特定用户发送看起来像是来自著名企业的邮件。邮件正文含有诱导用户登录到某一指定网站的内容。在美国，phishing邮件大多采用“如果不立即登记，你的帐户很快就会失效。失效后将无法利用在线服务”等威胁性词句（见左下画面）。用户赶忙点击邮件中的链接，出现一个与著名企业非常相似的假冒网页（见右下画面）。为了让用户深信不疑，假冒网页有时还利用真正网页作掩护。如果把个人信息输入到假冒网页上，这些信息就被发送到phisher
那里。498)this.width=498;' onmousewheel = 'javascript:return big(this)' src="/files/uploadimg/20060224/0955090.jpg" border=1>假冒美国城市银行，试图将用户诱导至假冒网页的邮件。写有“为确认帐户，请点击以下链接，按照要求输入相应信息。否则帐户将会失效”的内容。正文中的URL是正宗的，但由于对链接做了手脚，点击后就会被链接到假冒网页。498)this.width=498;' onmousewheel = 'javascript:return big(this)' src="/files/uploadimg/20060224/0955091.jpg" border=1>点击左边画面后就被诱导到这个网页上。利用了真正网页上的画面，看起来与真正网页非常相似。另外，为了避免用户看清URL，网页不显示地址栏利用用户轻信“邮件发件人名称”与“网页印象”要想“成功”地进行phishing，必须让用户
觉得：（1）“认为假冒邮件的发送者是著名企业”；（2）“以为假冒邮件中给出的链接可以链接到著名企业的网站”；（3）“以为链接到的网页就是著名企业的网页”。全部满足这些条件似乎非常困难，但实际上并不是很难。因为他们利用了用户过于轻信“自己的感觉印象”首先是第（1）项，只要邮件发送者名称“差不多”，许多用户都会上当。
例如，当显示“Citibank Support”与“support@citibank.com”等名称的时候，大都会以为是来自城市银行（Citibank）的邮件。邮件发件人名称（From地址）所显示的信息
不过是正文的一部分，发件人可以随意编造。关于第（2）项，如果使用的是HTML邮件，可以将实际链接对象（链接到假冒网页）隐藏起来。例如，正文中显示为“http://www.citibank.com/”的部分可以链接为一个与显示内容毫不相干的假冒网站的URL。同样，对于第（3）项，只要将著名企业网页的图像数据搬过来，可以做得想有多像就有多像。再加上地址栏不显示出来，用户也就不会再怀疑是不是真正的URL了。此外还出现了恶意利用邮件软件的安全漏洞，伪装状态条的phishing（见下图）。发到编辑部来的邮件中就有突破Outlook Express安全漏洞并做了手脚的邮件。因此，尽管在状态条中显示的是以“http://www.usbank.com/”开头的URL（该URL实际上是美国城市银行的URL），但用鼠标点击后却进入到与该公司毫不相干的假冒网页上。除此之外还有各种各样的phishing。在当前情况不能再相信“感觉印象”了。498)this.width=498;' onmousewheel = 'javascript:return big(this)' src="/files/uploadimg/20060224/0955092.jpg" border=1>突破邮件软件Outlook Express安全漏洞的phishing邮件。在显示链接对象的状态条下（画面最下方），显示的是以“http://www.usbank.com/”开头的URL，但点击后却链接到完全不同的另外一个网页上。防范对策是“怀疑一切”面对这些挖空心思诱人上当的phishing，最重要的是不要轻信邮件，也不要轻易点击邮件中的链接，尽量不在邮件链接的网页上输入个人信息。准备输入个人信息的网页，
最好是亲自在地址栏中输入URL。如果能做到这些，就
不用担心会被假冒网页欺骗了。首先不要理会来路不明的邮件。绝对不要对邮件内容做出回应而去点击链接，更不能回复邮件。如果对邮件内容实在是难以定夺的话，通过“直接向这家公司打电话”或“登录该公司网页”来进行确认。但此时绝对不要使用邮件上提供的电话号码或URL。要使用自已查到的确凿可靠的公司电话号码或URL。说起网络诈骗，目前在日本国内受害最多的还是“虚拟申请邮件”。实际上国民生活中心等已经全力提请公众注意（http://www.kokusen.go.jp/soudan_now/twoshotto.html）。但正如本文开头所提到的那样，日本国内也开始出现phishing。何时流行只是一个时间问题。在开始流行之前，希望大家都能对phishing有一个充分的
认识。（责任编辑：zhaohb） 给力(0票)动心(0票)废话(0票)专业(0票)标题党(0票)路过(0票) 原文：中PSX？警惕网络欺诈新伎俩“phishing” 返回网络安全首页