网络钓鱼
- 中文名
- 网络钓鱼
- 外文名
- Phishing
- 又 名
- 钓鱼法或钓鱼式攻击
- 属 于
- “社会工程攻击”的一种形式
- 骗 取
- 用户的私人信息
目录
利用钓鱼网站骗取网民
欺骗性
钓鱼者利用自建站点模仿被钓网站,并结合含有近似域名的网址来加强真实程度。更有甚者会先侵入一台
通过发送邮件,以虚假的信息诱使网民上当
不法分子利用邮件的形式大量的发送垃圾邮件,这些邮件一般以中奖、咨询、核实等内容来引诱网民在邮件中填写账号和密码,或是以各种理由要求网民登陆其事先设计好的钓鱼网站提交用户名、密码、账号、身份证号等信息,继而盗取网民资金。例如,某小姐收到的“淘宝网”邮件,其实是钓鱼网站发出的诱饵,它意图通过钓鱼邮件,将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,以获取收信人在此网站上输入的个人敏感信息,进而利用这些敏感信息套取财物。
利用大型网站发布虚假的信息进行诈骗
此类犯罪活动一般是利用大型的电子商务网站或者比较知名的购物网站上发布虚假的商品销售信息,
(一)法律措施
1.政府有关部门应当依靠技术手段,以技术治网。工信部、公安部等打击“钓鱼网站”的相关部门应建立与“中国反钓鱼网站联盟”的互动对接和信息共享机制。实现官方“打钓”与非官方“打钓”的优势互补,达到快速、及时的效果。鼓励更多电子商务或金融支付网站加入“中国反钓鱼网站联盟”。对加入网站来说也可以提高其安全性,避免钓鱼网站“冒名顶替”,给自身的信誉造成伤害。
2.应该规定网络钓鱼罪。建议以利用身份识别信息实施违法或犯罪行为为目的,故意利用仿冒的电子邮件信息、网页、网络站点或者其他网络技术手段欺诈性地获取网络用户的身份识别信息,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。从打击“网络钓鱼”的角度来说,此种规定当然是可取的。因为,当每一种违法犯罪行为出现时,我们都有理由在刑法中规定一种犯罪,但是,从长远来看,大量新罪的增加会造成对现行刑法体系和结构的冲击。因此,在增设新罪时一定要考虑到这个问题,既要保持现行刑法结构体系的稳定性,又要将一些新出现的犯罪行为纳入到自己的规制之下。
3.完善网络法律法规并应大力宣传有关互联网方面的法律法规,培养网民的法制观念,提高防范意识。提倡规范办网、文明用网,不给钓鱼网站的建立制造便利。作为普通网民,在受钓鱼网站欺骗后要第一时间报警,任何高明的手段,都会留下蛛丝马迹,及早报案,是保护自己权益的最好手段。
(二)个人防范措施
1.从网络钓鱼途径预防钓鱼者
引导、诱骗上网用户访问接触钓鱼网站的方法有很多,其中常见的方法有:通过QQ、MSN、Email、微博、论坛、社交网站、博客、等方式发送大量有诱惑性的信息,如促销、打折、抢购、优惠、高回报投资、抽奖、彩票、或交友网站上的异性吸引交往等;进行有目的人侵网站,并非法修改官方网站的相关内容,将其内容链接到钓鱼网站;还有利用网页弹出功能或滚动跳跃窗口等方法来发布虚假公告或其他诱惑信息;最后还有通过在知名门户网站以及搜索引擎中投放广告等手段吸引用户点击进入钓鱼网站。
2.培养分辨真假网站的能力
钓鱼者利用伪装成的合法信息或公告,来迷惑用户的判断。例如,钓鱼者发送电子邮件时会对邮件地址做一定程度的伪装,特别是如果一些用户的电子邮箱或即时通讯工具被人侵,钓鱼者会直接给地址薄或好友列表中的用户发送钓鱼信息,这样接收者就更不会怀疑发送来源和发送内容的有害性。最常见的方式就是对URL进行伪装,这些伪装具有足够的迷惑性,用户上网不细心的话时很难辨出真伪。
3.提高安全意识是防范的关键
大多网民在提交个人信息时,虽然对信息安全问题存在顾虑,但为了获取免费服务、免费产品,或者为了认识更多的朋友,仍还是会在网上填写个人的真实信息。用户对个人信息保护的重视不够,安全意识淡薄,为非法网站的不法行为提供了便利条件。钓鱼网站从代码级别上看也是正常网页,因此电脑上安装的安全防毒软件也不一定会对这类网站做到百分百的防范。
(三)技术防范措施
1.建立反钓鱼URL数据库
目前主流的PC安全软件都含有防网络钓鱼的功能。从前面表述的技术细节可以知道,钓鱼网站的URL地址都是特定设置的,所以需要建立反钓鱼网站的URL数据库,即把钓鱼网站可能出现的网站地址和在已有的反钓鱼数据库中的地址相互比判,如果出现和数据库中的官网地址不一样的情况,应该立即停止或者给用户发出警告,以避免上钩受骗。当然上网用户若得知或疑惑自己访问了此类网站,便可使用举报方式告知安全软件防护厂商,把经过分析并确认后的钓鱼网站地址经过软件控制自动送人反钓鱼数据库。还有的安全厂商建立有自己的搜索引擎,通过搜索引擎不间断地抓取疑似网页内容,智能化的分析判断是否为钓鱼网站,并据此建立扩充自己的反钓鱼地址服务器库。这种方法的缺点是需要经常升级更新反钓鱼数据库,原因是每天都会出现更多的新网站,因此这种方式无法防护最新的钓鱼网站。
2.网页实时防护
它是一种先进的网页防护技术,能对用户所访问的网站对象进行智能的动态的判别。对于任何网页内容,浏览器都可以解析为具体的CSS、JavaScript等程序代码。当然钓鱼网站的网页代码的头标记或其他标记处有其共同的某些特征,在对其代码标记的特征进行解析比较获得一个网站信誉参考值,根据信誉参考值来判别该网页是否为钓鱼网页,还可以把有问题的网站IP地址出现的频率和非法非IP的认可度建立IP认证库,用户所访问的IP地址将在IP认证库中被指定为受信任的、可疑的或是被禁止的。据此告知用户该网站是否存在钓鱼危害。
3.结合云计算策略
近些年发展起来的云技术给网络安全防护带来了新的思路,即所谓的“云安全”。主流的云安全软件都有着一群庞大的用户群。把用户接触到的钓鱼网站智能迅速的整合到云安全数据库中,一并分享给网络用户。网络信息库中可以包含前述的各种技术数据,也可以是它们的组合,构成多维的防护屏障。
附件列表
故事内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。