尽管很多大公司已部署了防御措施(如恶意软件检测器或垃圾邮件过滤器),但黑客已发现新的入侵方法,在一次攻击事件中居然利用了空调。
确切地说,攻击者 2014 年入侵了零售巨头 Target 的网络,造成 1.1 亿条信用卡信息泄露。
此次攻击的原因是攻击者对为 Target 在宾夕法尼亚州的零售店提供空调服务的法齐奥机械服务公司进行了钓鱼诈骗,因为该公司具备 Target 供应商数据库的访问权限。
法齐奥员工点击了一个恶意链接,在毫不知情的情况下导致计算机被入侵,凭证被窃取,使攻击者获取了 Target 的访问权限。数月之后,攻击者入侵了 Target 网络。
最终,Target 还是尽其所能挽回了损失,而其他受害者就不一定这么走运了。根据 NBC 新闻 2012 年的报道,一位未透露姓名的英国女士称,她收到了一个看似来自银行的钓鱼邮件,点击了链接,按照提示输入了个人信息。三天后,她账户上的 160 万美元不翼而飞,这可是她一生的积蓄。
另一种非常流行的网络钓鱼攻击方法称为搜索引擎钓鱼,即诈骗者创建包含某些关键词的网页。这样,用户搜索这些关键词时会检索出这些恶意页面,然后会在 Google 中毫无戒心地单击这些恶意链接,不会将其视为网络钓鱼诈骗,等意识到自己中招时为时已晚。
其他类似方法还包括抢注域名和误植域名,这两种方法依赖的都是正确拼写的 URL 的变体。
抢注域名是指注册和实际公司域名非常类似的域名,然后再模仿真实公司网站伪造另一个网站。误植域名的过程大同小异,但利用的是输入公司域名时常见的打字错误。
此外,随着时间的推移,钓鱼攻击有增无减,公司和组织对于此类风险总是后知后觉,而在实施安全规程、进行必要培训以抗击日益增多的威胁方面行动更为迟缓。
防止钓鱼网站最有效、最常用的技术手段包括:
使用 HTTPS;
正确配置 Web 浏览器;
监控钓鱼网站;
正确配置邮件客户端;
使用垃圾邮件过滤器。
一般的 HTTP 网站使用 80 端口,而安全版本的 HTTP 即 HTTPS 使用 443 端口,使用 HTTPS 意味着浏览器与目标服务器之间的所有信息均加密传输。所以,HTTPS 的“S”表示“安全”(Secure)。
当然随着免费SSL证书的出现,网络钓鱼者也会使用 HTTPS 搭建钓鱼网站,判断网站合法性的最有效方法是验证证书详细信息,合法的网站应有由知名、可信的证书机构(CA)颁发的证书。
天威诚信公司作为合法的CA认证机构,以全面的安全解决方案、领先的证书管理平台、专业的技术支持团队及可靠的CA运营机制为中国用户提供最权威的认证服务和最安全的认证保障。
