近期,美国金融业监管局(FINRA)警告一个仿冒网站正在冒充他们,并有可能被用于网络钓鱼攻击。
FINRA是美国政府授权的一个非营利组织,负责监管股票、公司债券、证券期货和期权交易。
在一份新的监管通知中,FINRA警告其成员有一个冒名顶替的finnra.org域名(请注意域名中额外的“n”)正在伪装成finra.org网站,在这个假网站上有一张登记表,可以用来收集敏感信息,这些信息可用于针对FINRA成员的有针对性的网络钓鱼攻击。
对于网络安全从业人员而言,钓鱼网站并不陌生,它是指欺骗用户的虚假网站。钓鱼网站是互联网中最常碰到的一种诈骗方式,通常伪装成银行或电子商务网站,窃取用户输入的银行账号、密码等私密信息。
钓鱼网站和真实网站差别细微,仿冒者可以制作一个与真实网站完全一样的界面,并且采用相似的域名引导用户访问。就像上文中提到的finra.org与finnra.org网站,仅仅是增加了一个“n”,如果使用者稍不注意,很容易上当,一旦在仿冒网站的使用过程中输入了帐号密码等信息,就会被仿冒网站记录,进而被冒用,威胁用户的帐户安全。
怎样避免网络钓鱼攻击?
一、消费者必须提高自身警惕,对陌生账户发送的邮件别轻易打开,尤其是对邮箱中的链接或是附件要谨慎点击。URL钓鱼是网络钓鱼常用的手段,任何邮件中的链接地址都有伪造或欺骗的可能。用户访问网站时,如果出现安全证书警告,应该关闭页面,停止继续访问该网站。
二、现在网络钓鱼形式复杂多变,网络安全变得至关重要。各类网站应该及时部署SSL证书,除了能够对网站数据进行加密外,SSL服务器证书可以有效地证明网站的真实信息以及使用域名的合法性,让使用者可以很容易识别真实网站和仿冒网站。SSL证书在申请的时候都会通过严格的审查手段对申请者的身份进行确认,用户在访问网站的时候可以看到证书的内容,其中包含网站的真实域名、网站的所有者、证书颁发组织等信息。浏览器也会给出相应的安全标识,让访问者可以放心使用。
简而言之,现在虽然并没有万无一失的方法可以避免网络钓鱼诈骗或恶意攻击,但是我们可以尽己所能降低遭受网络钓鱼攻击的风险。
