前两篇关于网络钓鱼的帖子,主要讨论了钓鱼的手段和防范措施。那么,到底是谁在钓鱼呢?这个问题好像是不言自明的,当然是想借此牟利的坏人啦。且慢,今天看到国外的 一篇文章,竟然说银行也有钓鱼的嫌疑了,哈哈,假作真时真亦假,无为有处有还无。
作者说有一天他在外面想上网登录网上银行,但是忘了密码。于是他就给银行打了电话。银行问了他如下信息后就把密码告诉他了:1)姓名 2)账号和户名 3)住址 4)身份证号 5)生日。这些信息在某种程度上都是公开的,这样拿到密码也太容易了吧。
接下来发生的事更有意思。他回到家以后,有银行的人打来电话,说有个关于他账户的问题要和他商量,不过要先问他一些个人信息,以便“保护他”以及“确认他的身份”。这个场景是不是有点儿熟悉呀。好像网上钓鱼的人也是这么说的啊。先说你的账号有问题,让你回答一些私人信息,然后再激活账号。怎么银行也用同样的方式啊。因为有这个怀疑,作者又打了银行的客服电话,询问自己的账户是否有问题。银行职员又问了一遍他的个人信息,如姓名、社会安全号、生日、母亲的姓等等可以轻易获得的公开信息。然后告诉他,他的账户没有什么问题。他的疑心更重了,干脆到家附近常去的分行,在那里银行职员看了他带照片的身份证明后,告诉他账户是有个小问题。看来打到家里的电话确实是从银行打来的。
从这件事情看出来,银行在验证用户身份的流程上存在问题,给用户的感觉和网络钓鱼很相似,以至于引起了用户的误会。而且身份验证所要求的信息都是能够公开得到的,这也是一个安全漏洞。看来需要解决安全问题、优化工作流程。这个就不单是技术问题了。
有朋友看了钓鱼新法问我,那怎么样避免被钓鱼啊?于是我又解释了一遍。后来一想,干脆趁此机会把网上钓鱼的相关信息整理一下,作为信息安全意识系列的第一篇。希望能对看过的朋友有所帮助,避免成为下一个受害者。
其实,所有防范措施,归根结底一句话:看好你的钱包。
先看看钱包里有什么东西, 以及相应的网上信息:
现在网络钓鱼的手法越来越多,但他们最终的目的,就是要窃取用户钱包里的以上各种信息,以非法获利。作为个人,我们要记住的就是,不管是在网上(网站、电子邮件、即时通信如QQ、MSN、POPO等)还是网下(电话、短信),不要轻易透露以上信息,一定要验证这些信息的接收方是否可信,信息传递的渠道是否安全。
常用的防范措施有:
更多的相关信息可以在这里找到:
[1] 中国金融认证中心代表15家银行郑重声明网银USB Key证书安全可靠
[2] 国家计算机病毒应急处理中心“网络钓鱼(Phishing)”专题
[3] 网络钓鱼作案手法
[4] 五种“网络钓鱼”实例解析及防范
两年前曾经总结过网上渔夫们的钓鱼技巧(Phishing
Attacks),无外乎发个冒名邮件,把用户误导到一个钓鱼网站上,设法窃取个人信息。这两天发现世易时移,渔夫们又有新招了。知道鱼儿们现在都怕了网站了,轻易不漏个人信息。现在网上多危险哪,什么木马间谍、流氓软件,一群一群的。想让我输入密码?没门儿。好,那就给你个客服电话,赶紧打电话激活你的账号,再晚了就不能用了。鱼儿就想了,电话这东西还是牢靠阿,你总不能在电话线上安个木马吧。好吧,电话里要什么给什么,直接和银行打交道还是安全那。且慢,这是银行的电话吗?原来不是,这回用的是目前流行的网络电话(VoIP)。
一台PC,一个电话号码,一个和银行一模一样的电话应答系统,成了,等着收帐号密码吧。这才真是姜太公钓鱼、愿者上钩。
相关新闻
Powered by Haiwit
