今天打开 Gmail ,收到一封标题显示来自 eBay 的邮件[立此存照],要我更新的帐户信息,我在 eBay 的国际站没有帐户的,毫无疑问这是一封"钓鱼(Phishing)邮件"。Gmail 也给出了相关的警告。提醒我地址可能是伪造的。这还是我用 Gmail 第一次收到类似的"钓鱼邮件"。前不久,公司的邮件也收到一封"钓鱼"的邮件,伪造成公司的安全技术人员发出,要大家更改密码。虽然很逼真,但是稍加留意,还是能看出来那个 URL 其实是一幅图片。
随着这一两年国内电子商务如火如荼的展开,"网络钓客"们也活跃了起来,几乎是无孔不入。
什么是网络钓鱼(Phishing)? 根据 Anti-Phishing Working Group 的定义,网络钓鱼攻击者把社会工程和技术手段兼而用之,偷取消费者个人身份信息和财务帐户信息。
如何有效的防范呢 ?
1. 提高安全意识,不要随意点击邮件中的一些不明的 URL ,尽量不要在公用电脑上进行安全性要求比较高的操作。苍蝇不叮无缝的蛋:前一段公司厕所内居然贴了一幅宣传文章,说的就是这个事情。还真的能在人"聚精会神"的时候给以警醒 :)
2. 选用高可靠的的邮件服务。如我用的 Gmail 和 Outlook 都可以给出足以令用户注意的警告信息。而国内的一些免费邮件提供商似乎没有这样的服务。如果申请 支付宝 这样的电子支付工具帐户,还是尽量用可靠的邮件服务。
3. 可以考虑安装一些具有防"网络钓鱼"功能的工具条。找到的一些(不够完全):
- Yahoo! 助手,能够自动识别"钓鱼"网站,这是国内的第一款具备此功能的工具条。
- NetCraft 工具条 这是业界第一款专门防"钓鱼"的工具条。也支持 Firefox.
- 微软工具条插件
- EarthLink Toolbar 在国内名不见经传.
这些工具大部分都是针对 IE 浏览器的。小声的说,Firefox 曾经发现过一个钓鱼漏洞。其实,浏览器安全上,Firefox 也不是那么完美的。
更新:2009 年3月,支付宝携手雅虎推出电子邮件信任计划,相信从第一程度上能有效阻止钓鱼邮件的泛滥。
这种email我也收到不少, 我都转给ebay security了. 其实你用view source就可以看到真正的URL是指向哪儿了.
1。来信的邮件地址为什么是ebay.com
2。让你点击的URL其实只是一个图片?实际上的联结并不是singin.ebay.com,是吗?
伪造的 显示即可
实际的URL 并不是ebay 的站点,但是很多人会忽略(比如直接是IP或者类似额ebay 的域名)
哎呀,我也收到过这个的,没想到它是钓鱼邮件,不过我比较懒也没有去管它,呵呵,懒人有懒福阿~~~
呵呵,现在Fishing Email中的URL伪装技巧是越来越高明了。甚至经过你手动复制到地址栏的URL都可能有诈…… 比如我在blog中提到的一个例子:
http://blog.oasisfeng.com/2006/09/06/anti-fishing/
如果网上一个人`知道了我的 身份证帐号`~!和信用卡`的卡号`( 除了信用卡的密码)
那么`我的信用卡`会不会有危险!
因为我不小心`把我注册信用卡的内容`都写在一个 冒充游戏的一个官方里了!!
知道的人`告诉我好不`~ 我学生所以对这个还是不懂的!!
[email protected]
这个地址有木马, 勿点
http://blog.oasisfeng.com/2006/09/06/anti-fishing/