WEB开发网
开发学院网络安全黑客技术 揭开网络钓鱼(Phishing)秘密 阅读

揭开网络钓鱼(Phishing)秘密

 2006-04-04 20:28:48 来源:WEB开发网   
核心提示: 看到这里,有些读者可能会说,揭开网络钓鱼(Phishing)秘密(2),这不是社会工程学吗?两者都是骗人的手段啊,不错,“垂钓者”一次又一次提竿,殊不知,网络钓鱼里面的确有社会工程学的影子,但是与后者相比

看到这里,有些读者可能会说,这不是社会工程学吗?两者都是骗人的手段啊。不错,网络钓鱼里面的确有社会工程学的影子,但是与后者相比,网络钓鱼更趋向于技术方面,因为它不仅仅是欺骗,里面还必须掺入技术成分,否则如果连“垂钓者”自己都无法控制“钓竿”的话,又怎么可能钓到鱼呢?

视觉陷阱:网页背后的钓竿

警察正在分析张经理那台笔记本电脑硬盘里的数据,张经理本人在报案时因心脏病发作而住进了医院。由于无法得知张经理最后一次登录网络银行的时间,而且系统里也没有感染任何偷盗账号的后门程序,案件变得有点扑朔迷离起来。一个分析员无意中打开了Foxmail,发现最后一封信件是银行发送的,主题为“XX网络银行关于加强账户安全的通告”,分析员预测案件与这封信件有重大关系,马上打开阅读。这是一封HTML网页模板的信件,内容大意为银行为了加强账户安全而升级了系统,请各位客户尽快重新设置账户密码,末尾还给出了设置密码的URL链接。

幕后黑手果然在这里!分析员马上查看信件源代码,很快就找出了其中的猫腻:正如常说的 “说的一套,做的一套”,这个邮件的作者采用了“看的一套,进的一套”这种简单的欺骗手法,入侵者利用HTML语言里URL标记的特性,把它写成了这样:“〈A HREF="http://www.xxxbank.com.cn/account/index.asp"〉http://www.xxbank.com.cn/account/index.asp〈/A〉”,由于心理作用,受害者潜意识里都会直接点击那个写着“http://www.xxbank.com.cn/account/index.asp”的URL链接,然而他们并不知道,这个点击实际上是把他们引向“http://www.xxxbank.com.cn/account/index.asp”这条钓竿!而这个所谓的更改密码页面,当然伪造得与真正的银行页面完全一致,但是它的“更改密码”功能却是把账号和密码发送到了幕后的“垂钓者”手上,然后“垂钓者”登录上真正的网络银行改了受害者设置的密码,并顺手牵羊把银行账户里的存款转移掉。这样钓来的鱼,即使是小鱼也会让“垂钓者”在梦里发出笑声来了,即使一条太小,积累起来的数目也会变得相当可观了。在金钱的诱惑下,“垂钓者”一次又一次提竿,殊不知,他自己也是被金钱钓竿钓上的一条鱼。

上一页  1 2 3 4 5 6  下一页

Tags:揭开 网络 钓鱼

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接