安全研究:网络钓鱼的原理与防范

导读-- 网络钓鱼(Phishing)一词，是“Fishing”和“Phone”的综合词，它利用欺骗性的E-mail和伪造的Web站点来进行诈骗活动，使受骗者泄露自己的重要数据，如信用卡号、用户名和口令等。
　　_1.shtml" target=_self>

　　几个月前，很多用户收到了一封貌似来自美国花旗银行的E-mail，若点击邮件正文中的超级链接，便会打开美国花旗银行的页面，尽管IE地址栏中显示的是https://web.da-us.citibank.com/cgi-bin/citifi/scripts/login2/login.jsp(美国花旗的网址)，但大家千万不要认为自己进入了真正美国花旗银行的网站，你所造访的不过是一个假冒网站而已。

　　上述这种欺骗方法就是“网络钓鱼(Phishing)”，一种正趋于流行的网络诈骗手段。

　　其实在该网页上单击鼠标右键，选择右键菜单中的“属性”选项便可确认真正的URL地址。

　　小知识：

　　网络钓鱼(Phishing)一词，是“Fishing”和“Phone”的综合词，由于黑客的“老祖宗”起初是以电话作案，所以用“Ph”来取代“F”，创造了”Phishing”这个词汇。它利用欺骗性的E-mail和伪造的Web站点来进行诈骗活动，使受骗者泄露自己的重要数据，如信用卡号、用户名和口令等。

　　“渔”具剖析

　　仿冒网址的技术很早就已经被发现，实现的方法也有很多种。据德国的安全研究人员弗兰兹分析，若黑客在一个网页的HTML href 标签中放置两个URL和一个表格，那么IE 浏览器就会显示“欺骗性”的那个链接，这种假冒的链接会在用户毫不知情的情况下将他们带到一个完全陌生的网站。

　　就目前笔者所掌握的资料看来，除了上述所讲的方法外，还可以在网页中添加JavaScript等语言所制作的脚本，通过更改状态栏所显示的内容来进行欺骗；另外利用人们的疏忽大意，根据英文字母“o”、“l”与数字“0、“1”相似的特点，让这些字符与真正的网址内容混淆，使用户将仿冒的网址当成正确的网址进行点击。

　　不久前，一恶意网站(www.1enovo.com)伪装成联想主页(www.lenovo.com)，前者将数字1取代英文字母L，并利用多种IE漏洞种植网页木马，同时散布“联想集团和腾讯公司联合赠送QQ币”的虚假消息，结果造成很多用户访问该网站时感染了病毒，李逵与李鬼让人真假难辨！

本新闻共2页,当前在第1页 1 2