钓鱼式攻击变换花招 以实名骗取用户资料 | ||||||||
---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2005年05月17日 13:50 计世网 | ||||||||
红树编译 【计世网消息】据安全服务厂商Cyota报道,最新出现的钓鱼式攻击一改以往的欺诈伎俩,开始采用实名身份为诱饵对用户进行攻击。发送到收件箱中的钓鱼式电子邮件中描述的是个人帐户的准确信息,包括顾客的
姓名、电子邮件地址和完整的帐号。发送的信息给人造成一种是由银行发送、验证其它帐户信息的假象。 传统的钓鱼式攻击在前几年爆发的频率很高,主要是一种网络欺诈,通过发送大量的电子邮件哄骗人们进入个人信息共享后,盗贼就可以盗窃个人身份信息,进行犯罪或销售个人身份信息。最新的钓鱼式攻击成功的几率更大,因为发送的邮件信息都是准确的个人信息,造成是由合法的银行发送的假象,不容易引起怀疑。 Cyota的联合创始人埃米饵说,他认为实施个人钓鱼式攻击的罪犯一定是从别人处购买了被盗消费者的数据,试图将更敏感的信息以一定的费用出售给其他人。“这一攻击充分利用了目前技术防御方面的弱势、消费者的自我保护意识差和实名研究与开发资源的工作,所以其诈骗成功的几率是惊人的。盗贼在盗窃用户信息时,用户希望看到的是他们的拙劣演技,而不是以这种真实的信息来诱骗他们。” 埃米饵称Cyota公司已经记下了与个人钓鱼式阴谋相关的几个网站,但指出不久又出现了更多的类似网站。建议用户在没有确认所收到的请求验证数据是合法银行发送之前,不要与别人共享财务信息。 另一项由反钓鱼式攻击厂商发现的钓鱼式攻击采用的是根据击键登录来储存用户信息。击键登录钓鱼式攻击并不是通过把用户引导至虚假网站来请求用户泄露信息,而是在用户通过计算机访问帐户时,捕获用户登录银行帐户的姓名和密码,然后将信息发送给攻击者。 |