钓鱼式攻击
|
钓鱼式攻击(Phishing,与钓鱼的英语fishing发音一样)又名「钓鱼法」或「网络钓鱼」,是企图通过电子邮件或即时通讯讯息,把用户诱骗至官方外观几无二致的假冒网站,冒充真正需要信息的值得信任的人,欺诈性地获取敏感的个人信息(比如密码和信用卡细节)的行为。它是社会工程攻击的一种形式。
案例
早期的案例主要在美国发生,但随着亚洲地区的因特网服务日渐普遍,有关攻击亦开始在亚洲各地出现。从外观看,与真正的银行网站无异,但却在用户以为是真正的银行网站而使用网络银行等服务时将用户的账号及密码窃取,从而使用户蒙受损失。防止在这类网站受害的最好办法就是记住正宗网站的网址,并当链接到一个银行网站时,对网址进行仔细对比。在2003年,于香港亦有多宗案例,指有网站假冒并尚未开设网上银行服务的银行,利用虚假的网站引诱客户在网上进行转帐,但其实把资金转往网站开设者的户口内。而从2004年开始,有关诈骗亦开始在中国大陆出现,曾出现过多起假冒银行网站,比如假冒的中国工商银行网站。
网络钓鱼的诱饵千百种,包括资料过期、无效需要更新,或者是基于安全理由进行身分验证,骗取个人帐号与密码,或使用者已中奖(此为「利诱」)等等。这类网络骗局对于使用者而言,很难判别真伪,在知名品牌效益与诈骗手法越来越细腻,诈骗者所捏造的电子邮件与网站几乎与官方版本一模一样,非法交易所造成的损失非同小可。
根据趋势科技说明,若以真实世界钓鱼形容,钓鱼者就是「网络诈骗者」;大海就是「网络」;钓饵包括「急迫警告口吻的电子邮件」、「仿冒的网站」、「木马程式」、「间谍软件」;至于带上钩的鱼,就是使用者的「信用卡号、网络银行帐号密码等敏感资讯」。
另见
外部连结
|
Why are we here?
All text is available under the terms of the GNU Free Documentation License
This page is cache of Wikipedia. History