钓鱼式攻击
维库,知识与思想的自由文库
(重定向自Phishing)
钓鱼式攻击(Phishing,與釣魚的英語fishing發音一樣)又名「釣魚法」或「網路釣魚」,是企图通过电子邮件或即時通訊訊息,把用戶誘騙至官方外观幾無二致的假冒网站,冒充真正需要信息的值得信任的人,欺诈性地获取敏感的个人信息(比如密碼和信用卡细节)的行为。它是社会工程攻击的一种形式。
[编辑] 案例
早期的案例主要在美國發生,但隨著亞洲地區的互聯網服務日漸普遍,有關攻擊亦開始在亞洲各地出現。从外观看,与真正的银行网站无异,但却在用户以为是真正的银行网站而使用网络银行等服务时将用户的账号及密码窃取,从而使用户蒙受损失。防止在这类网站受害的最好办法就是记住正宗网站的网址,并当链接到一个银行网站时,对网址进行仔细对比。在2003年,於香港亦有多宗案例,指有網站假冒並尚未開設網上銀行服務的銀行,利用虛假的網站引誘客戶在網上進行轉帳,但其實把資金轉往網站開設者的戶口內。而從2004年開始,有關詐騙亦開始在中国大陆出現,曾出现过多起假冒银行网站,比如假冒的中国工商银行网站。
網路釣魚的誘餌千百種,包括資料過期、無效需要更新,或者是基於安全理由進行身分驗證,騙取個人帳號與密碼,或使用者已中獎(此為「利餌」)等等。這類網路騙局對於使用者而言,很難判別真偽,在知名品牌效益與詐騙手法越來越細膩,詐騙者所捏造的電子郵件與網站幾乎與官方公司一模一樣,非法交易所造成的損失非同小可。
根據趨勢科技說明,若以真實世界釣魚形容,釣魚者就是「網路詐騙者」;大海就是「網路」;釣餌包括「急迫警告口吻的電子郵件」、「仿冒的網站」、「木馬程式」、「間諜軟體」;至於帶上鉤的魚,就是使用者的「信用卡號、網路銀行帳號密碼等敏感資訊」。
[编辑] 另見
[编辑] 外部連結
英語
