我們就這一事件來給大家好好說說如何防範釣魚網站吧~
2017年1月17日左右,根據安全研究專家的最新發現,網路犯罪分子們目前正在利用一種經過特殊設計的URL連結來對Gmail使用者進行網路釣魚攻擊。當用戶點選了惡意連結之後,攻擊者會誘使他們輸入自己的Gmail郵箱憑證,然後獲取到目標使用者的郵箱密碼。需要注意的是,它與之前那些網路釣魚攻擊不同,這是一種非常複雜的新型網路釣魚攻擊,即使是一些專業的安全技術人員也有可能會被攻擊者欺騙。
內因:
使用者安全意識缺乏,所謂的釣魚網站是指攻擊者會製作一個釣魚網頁,利用精心設計的URL地址來欺騙使用者訪問該頁面,然後讓使用者輸入自己的賬戶憑證從而達到竊取使用者資訊的目的,一旦使用者不辨網站的真偽就輸入自己的賬戶憑證那麼就十分容易上當了。
外因:
駭客手段比較高明,使用者不容易察覺,在這種攻擊場景中,惡意資訊是從目標使用者通訊錄中某位聯絡人的郵箱地址傳送過來的,攻擊者會在惡意郵件中新增看起來像一個PDF文件的圖示。當用戶打開了這封郵件之後,使用者可以直接在Gmail郵箱中點選這個偽裝PDF文件的圖片。當目標使用者點選了郵件資訊中的“attachment”(附件)圖示之後,使用者會被重定向至一個由攻擊者控制的Gmail郵箱釣魚頁面。
當你在登入任何網路服務的時候,一定要檢查瀏覽器位址列是否有異常,然後驗證協議和主機名的合法性。
當你用Chrome瀏覽器登入Gmail郵箱的時候,位址列所顯示的內容應該如下圖所示:
而網路釣魚攻擊者會使用各種各樣的方法來顯示不安全頁面的協議,比如說在協議上用紅線劃過等等,如下圖所示:
在本文所描述的攻擊場景中,使用者根本就不會看到任何的紅色或者綠色標記。他們只會看到一行普通的文字地址,具體如下圖所示:
因此,這也就是為什麼這種攻擊技術如此奏效的原因之一。此時,你要確保主機名“accounts.google.com”之前沒有其他一些不該出現的標籤,然後確保協議為HTTPS協議,並且前面要有一個綠色的logo鎖(不光要是綠色的,而且還要在地址的最左側)。如果你無法驗證協議和主機地址的合法性,那麼你就應該停下手中的操作,然後好好想想你是怎麼來到這個頁面的。
如果可以的話,開啟你每一個網路服務的雙因素身份驗證功能。
釣魚網站很多都是我們不太容易去分辨的,因此我們就要牢記只要是訪問自己不太熟悉的網頁就應該儘量不要登記自己的賬戶和密碼,這樣一來資訊才能得到最大的保障,我們所處的是資訊時代,所以保護自己的資訊保安成為了我們每個人都要學會的技能之一。
我們就這一事件來給大家好好說說如何防範釣魚網站吧~
首先了解下該事件的經過:2017年1月17日左右,根據安全研究專家的最新發現,網路犯罪分子們目前正在利用一種經過特殊設計的URL連結來對Gmail使用者進行網路釣魚攻擊。當用戶點選了惡意連結之後,攻擊者會誘使他們輸入自己的Gmail郵箱憑證,然後獲取到目標使用者的郵箱密碼。需要注意的是,它與之前那些網路釣魚攻擊不同,這是一種非常複雜的新型網路釣魚攻擊,即使是一些專業的安全技術人員也有可能會被攻擊者欺騙。
被攻擊原因分析:內因:
使用者安全意識缺乏,所謂的釣魚網站是指攻擊者會製作一個釣魚網頁,利用精心設計的URL地址來欺騙使用者訪問該頁面,然後讓使用者輸入自己的賬戶憑證從而達到竊取使用者資訊的目的,一旦使用者不辨網站的真偽就輸入自己的賬戶憑證那麼就十分容易上當了。
外因:
駭客手段比較高明,使用者不容易察覺,在這種攻擊場景中,惡意資訊是從目標使用者通訊錄中某位聯絡人的郵箱地址傳送過來的,攻擊者會在惡意郵件中新增看起來像一個PDF文件的圖示。當用戶打開了這封郵件之後,使用者可以直接在Gmail郵箱中點選這個偽裝PDF文件的圖片。當目標使用者點選了郵件資訊中的“attachment”(附件)圖示之後,使用者會被重定向至一個由攻擊者控制的Gmail郵箱釣魚頁面。
如何防範釣魚網站:當你在登入任何網路服務的時候,一定要檢查瀏覽器位址列是否有異常,然後驗證協議和主機名的合法性。
當你用Chrome瀏覽器登入Gmail郵箱的時候,位址列所顯示的內容應該如下圖所示:
而網路釣魚攻擊者會使用各種各樣的方法來顯示不安全頁面的協議,比如說在協議上用紅線劃過等等,如下圖所示:
在本文所描述的攻擊場景中,使用者根本就不會看到任何的紅色或者綠色標記。他們只會看到一行普通的文字地址,具體如下圖所示:
因此,這也就是為什麼這種攻擊技術如此奏效的原因之一。此時,你要確保主機名“accounts.google.com”之前沒有其他一些不該出現的標籤,然後確保協議為HTTPS協議,並且前面要有一個綠色的logo鎖(不光要是綠色的,而且還要在地址的最左側)。如果你無法驗證協議和主機地址的合法性,那麼你就應該停下手中的操作,然後好好想想你是怎麼來到這個頁面的。
如果可以的話,開啟你每一個網路服務的雙因素身份驗證功能。
釣魚網站很多都是我們不太容易去分辨的,因此我們就要牢記只要是訪問自己不太熟悉的網頁就應該儘量不要登記自己的賬戶和密碼,這樣一來資訊才能得到最大的保障,我們所處的是資訊時代,所以保護自己的資訊保安成為了我們每個人都要學會的技能之一。