近日, 澳大利亚电子邮件安全公司 MailGuard 对其用户发出警告称, 发现了新型网络钓鱼手法. 该方法直接利用 html 附件创建了虚假网站, 以提高攻击的成功率. 此攻击主要针对流媒体音乐服务平台 Spotify 的用户.
据了解, 在传统网络钓鱼攻击中, 不法分子会引诱受害者点击链接, 以将其重定向至虚假网站, 从而窃取用户的登录凭证. 然而, 用户可通过检测链接, 以预防此类攻击.
对此, 黑客改进了攻击手法. 攻击者会模仿原始的 Spotify 布局, 设计一个看似合法邮件, 然后会向用户发送伪造的付款失败通知, 通过邮件中的附件直接生成诈骗网站: 此类钓鱼邮件会带有一个 HTML 附件, 当用户打开该附件时, 该附件的 JavaScript 会直接呈现多种账户登录表单. 当用户提交信息后, JavaScript 会秘密将该数据提交到后台的远程站点, 以此窃取用户支付卡数据.
尽管攻击者尽力伪造了仿真的电子邮件, 但它们仍然存在一些漏洞. 通过快速浏览完整的发件人地址就会发现, 发件人的电子邮件地址不是合法地址. 同样, 其电子邮件正文中也存在许多格式错误, 这有助于帮助用户发现消息的虚假性.
钓鱼网站无处不在 怕中招怎么办?
1. 核对网站域名. 假冒网站一般和真实网站有细微区别, 有疑问时要仔细辨别其不同之处, 比如在域名方面, 假冒网站通常将英文字母 I 替换为数字 1,CCTV 被换成 CCYV 或者 CCTV-VIP 这样的仿造域名.
2. 比较网站内容. 假冒网站上的字体样式不一致, 假冒网站上大多存在死链接, 用户可点击栏目或图片中的各个链接看是否能打开.
3. 查看安全证书. 目前大型的电子商务网站在交易页面都应用了安全传输技术, 交易页面的网址都是 "https" 打头的, 如果发现不是 "https" 开头, 应谨慎对待.
同时, 有些钓鱼网站会使用自签名证书, 蒙骗网民. 建议大家查看证书详情, 看是否为可信的 CA 机构颁发的安全证书, 如: Symantec,DigiCert,globalsign, 数安时代等. 如果不是正规 CA 机构颁发的安全证书, 应加强警惕;
以上方法中, 最后一种应该是最简单最有效的了, 网民可以通过这种方法来识别假冒钓鱼网站.
如今, 数据正成为数字化世界中的强大经济引擎. 这时如何确保数据保护和数据安全, 尤其涉及到敏感的隐私信息, 都是摆在我们面前的重要挑战. 可以说, 一旦做好了个人数据的防护, 不仅能够有效避免数据泄露的危害, 还能够大幅消除用户对于个人隐私泄露的疑虑.
来源: http://netsecurity.51cto.com/art/201912/607761.htm