返回
網路釣魚騙術之解析與防治

網路釣魚騙術之解析與防治

ID:14535686

大小:49.00 KB

页数:5页

时间:2018-07-29

網路釣魚騙術之解析與防治_第1页
網路釣魚騙術之解析與防治_第2页
網路釣魚騙術之解析與防治_第3页
網路釣魚騙術之解析與防治_第4页
網路釣魚騙術之解析與防治_第5页
资源描述:

《網路釣魚騙術之解析與防治》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、、、,有效杜絕網釣事件的發生。網路釣魚騙術之解析與防治◎吳文進一、前言  現今網路上充斥著各類犯罪的活動,一般家庭用戶、企業組織或政府部門,無不深受這些病毒或惡意程式所困擾。為何網路應用會有今日的樣態,雖已被廣泛地討論,並且勢將持續地被討論下去,但當我說網路上充斥犯罪時,我們所指的是什麼?說穿了,就是那些攻擊工具已經被有心人士用為生財的利器,這些網路釣客的標的包括竊取個人或企業的銀行帳號資料、信用卡號、以DDoS攻擊勒索付費、建立木馬代理伺服器發送垃圾郵件、建立殭屍網路以從事滲透破壞等行為。在上述各種不同的惡意行為中,網路釣魚的騙術是最常被這些有心人士運用的技巧。最典型的網路釣魚

2、攻擊手法是將收信人引誘到一個經過精心設計且與其目標網站非常相似的釣魚網站上,巧立名目要求收信者輸入個人敏感資訊,再伺機竊蒐重要或機敏資訊。  網路釣魚的行徑,不論是對個人、企業組織,乃至於整個社會,均產生重大的影響。就個人而言,當身分證、信用卡、銀行帳戶及網路銀行密碼等資料外洩,即成為遭「盜用身分」的高危險群;而以企業組織觀點視之,商(信)譽是一切的基石,尤其當前企業e化的程度已普遍提升,電腦網路也成為不可或缺的工作平台,一般的企業員工或個人對這些釣魚詐騙行動,或可置之不理,但企業卻不容置身事外,因為網路釣魚對企業組織所產生的風險,即使僅僅是網頁遭偽冒,也必須緊急應處,否則企業商

3、譽與辛苦建立的形象,將可能毀於一旦。二、何謂網路釣魚?  那到底什麼是網路釣魚呢?網路釣魚(Phishing)的起源可溯至1970年代的飛客(phreak)入侵,這種利用簡單的兒童玩真加以改裝的手法,可使玩具哨子發出2,600Hz的音頻,而藉此可盜打當時的電話系統。網路釣魚則是延續了電話飛客的手法,同樣都是為獲取實質利益而將專業技術用於不正當的用途。因此駭客們為了紀念這些「phreak」的前輩,所以利用「phreak(飛客)」和「fishing(釣魚)」的結合,所以發音相同的"Ph"來取代"F",而成為「Phishing」。  至於網路釣魚有哪些特性?慣用手法為何?以下簡要說明之

4、。Phishing常用的手法,包括:偽冒與您有業務往來的公司發出假造的電子郵件,表示驗證您的帳號資訊,否則將暫時停權;結合拍賣詐騙和假造中間網站,5誘使您付款給假中間網站;假冒慈善團體要求您捐款;假造網站或入侵合法網站預置木馬並誘使您瀏覽這些網站,而惡意程式或木馬則伺機植入您的電腦……等等。依據防毒廠商卡巴斯基(kaspersky)的預測,2007年下半年網路釣魚與垃圾郵件將更緊密地結合,使得網釣郵件難以追蹤,因為垃圾郵件是利用SMTP與Internet通訊協定中既有的漏洞,而這些漏洞的存在,使得郵件來源的追蹤幾乎成為不可能的任務。此外,無論這些協定設計得如何完善,只要在郵件上加

5、上適切的社交工程(SocialEngineering),任何郵件都可以合法掩護非法地使用通訊埠(PORT)25而侵入目標對象;反觀要修正現有通訊協定的瑕疵,對整個網際空間而言,不僅工程浩大,且效果亦屬有限。因此駭客就可利用這些漏洞,肆無忌憚地散發垃圾電子郵件,或透過電子郵件大量散播惡意程式。一、網路釣魚的新趨勢  然而近期網路釣魚的手法已日漸翻新,且充滿驚奇或創意。依資訊安全與控制廠商Sophos於2007年5月所公布最新的十大網路與電子郵件惡意威脅報告顯示,網頁含惡意程式已成為新興的網路釣魚方式。統計5月份平均每天約發現9,500個隱含惡意程式的網頁,與4月份每天平均約1,00

6、0個相比,成長的幅度著實驚人。而該報告中亦指出,各種網頁隱藏惡意連結中,以「Iframe」的65.5%佔第一位。所謂「Iframe」就是有心人士刻意將惡意程式製作成網頁框,透過電子郵件或其他方式散播以操縱合法網頁。這種隱藏惡意程式的網頁,幾乎佔所有網路威脅的三分之二。為什麼這些隱含惡意程式的網頁會帶來風險呢?因為很多木馬程式和病毒是被特別設計成網頁檔,一旦組織內的網頁伺服器受到感染,就可能影響數百、甚至數千個網頁檔案,而這些網頁檔案可能來自10個或上百個不同網站,可能透過同一台網路伺服器展示、連結和維護,因此當任何一位網路管理人員不小心在網頁伺服器上執行任一個受感染的程式後,則任

7、何與該伺服器連結或瀏覽網頁者,就有可能被植入木馬或惡意程式,進而導致檔案遭竊。  此外,網路釣魚的手法越來越精緻,從早期錯字連篇到當前的真偽難辯,特別是獲利豐厚的驅使,結合駭客工具的網路釣魚已成為當前的主要資安威脅,且其研發也由個人興趣走向組織犯罪。因此不論是企業組織或個人,都應該了解網路釣魚可能帶來的風險,及早預防與應變。尤當這些有心人士已逐漸掌握「精準攻擊」的要領後,釣魚郵件己能精確地鎖定特定目標族群,精心設計郵件內容且只傳送特定人士,是以被害者上鈎率大幅提升。依據「趨勢科技

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。