WEB开发网
开发学院网络安全黑客技术 揭开网络钓鱼(Phishing)秘密 阅读

揭开网络钓鱼(Phishing)秘密

 2006-04-04 20:28:48 来源:WEB开发网   
核心提示: 这次,依旧是Google惹的祸,揭开网络钓鱼(Phishing)秘密(4),很早以前,Google就“提供”了一种“搜索入侵”:入侵者通过在Google上查询某些特定的字符,在真实网站上插入恶意链接,用户即使再细心也很难想到真实网站也会暗藏杀

这次,依旧是Google惹的祸。很早以前,Google就“提供”了一种“搜索入侵”:入侵者通过在Google上查询某些特定的字符,可以发现甚至直接进入存在该漏洞的计算机,当年有许多存在Unicode漏洞的计算机就是被Google拎了出来——只要搜索诸如“/scripts/..%255c../winnt/system32/cmd.exe?/c+dir”此类的关键字就能发现很多包含“Directory of”字符串的IP地址,点击进去,你会发现你已经用Unicode漏洞入侵了该计算机……现在虽然这个方法已经基本失效,但是Google带来的安全性问题却更值得引起所有人的重视。面对强大的Google,“垂钓者”已经不满足于仅靠Web页面钓鱼,他们还看上了Google的桌面搜索工具Desktop Search,这个工具存在一个信息泄漏的漏洞,入侵者能通过脚本程序欺骗Desktop Search提供用户信息,最常见的就是泄漏磁盘数据。利用这个漏洞提供的信息,“垂钓者”可以伪造相关信件并建立欺骗性的电子商务网站,让用户误以为是大公司发给自己的信函而受欺骗。一些“垂钓者”用假的口令验证得以窃取用户信息,另一些则欺骗用户点击一些商品信息而被种植木马程序。


典型的Phishing攻击示例 

跨站钓鱼:真实网站的噩梦

前面提到的伪造页面欺骗是“垂钓者”利用虚假信函和人们寻求方便的心理,直接点击信函给出的恶意链接而达到钓鱼的目的,如今随着媒体的揭露以及用户警惕性的提高,这种手段成功率逐渐降低了。于是处心积虑的骗子们开始制造一种新的迷雾:他们同样是用某种手段把用户骗到商务网站,但是与以前不同的是,这次用户访问到的是真正的商务站点。难道“垂钓者”们改邪归正了?答案是否定的,这个真正的商务站点依然会把用户带到“垂钓者”的恶意页面——骗子利用一种称为“跨站攻击”的技术,在真实网站上插入恶意链接,用户即使再细心也很难想到真实网站也会暗藏杀机。这种被称为“鸡尾酒钓鱼术”的手段使商务网站的可信度大大降低。

上一页  1 2 3 4 5 6  下一页

Tags:揭开 网络 钓鱼

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接