网络金融钓鱼防范的实用技巧

2016-10-18 00:31云梦泽
科技视界 2016年22期
关键词:域名攻击者受害者

云梦泽

1 采用误导网络域名地址引诱受害者

网络域名地址(DNS)的发展提高了人们的上网体验,避免了记忆枯燥而无意义的网络IP地址,但是同样却给钓鱼攻击者提供了便利的伪装条件。人们一般较少的了解DNS域名解析服务的工作原理。攻击者正式利用了这一点来伪造相似的DNS域名地址,来欺骗网银和网购用户进入钓鱼网站。例如,wap.ccb.com是真实的建设银行的手机客户端的域名地址,他的上一级域名是ccb.com,而顶端的域名是com。因此,形如wap.ccb.cc和wap.ccb.info这样的网络地址就是建设银行的手机客户端域名地址。他们是网络钓鱼攻击者利用受害者DNS知识的缺乏与不理解而精心制作并利用的虚假建设银行的手机客户端网络域名地址。

2 仔细辨认银行邮件或消息的网络链接地址

当查收声称是来自于银行或者可信的购物网站的电子邮件或者有支付链接信息情况下,首要关注嵌入在html文档中的银行或支付链接的可靠性。通常情况下网络钓鱼邮件中的银行网址和支付链接会采用正常的官方邮件格式。然而,如果在点击链接之前通过把鼠标停留在这个网址上仔细查看真实的网络地址,你会看到真实的跳转地址,这是一般网络浏览器的会在窗口的左下角显示跳转链接的真实地址。如果超链接的地址与显示的地址不一样,那么该消息就可能是欺诈或者恶意的。

3 被要求提供敏感信息

当正在访问的网站要求提供个人的敏感信息的时候,比如,用户账户、银行卡号、信用卡安全号码、密码、密码问题答案、身份证号码、手机号码和验证码等,一定要格外小心注意。一般情况下,银行或者支付机构不会要求用户提供他们掌握的资料,除非他们需要核实你的身份,但是没有金融机构会在网络上面核实用户的身份信息。当他们确实需要核实某些个人信息的时候,他们一般会要求客服前往柜台当面处理,而不再在网络上草草了事。

4 从来没有发生过的交易

很多人经常在收到的邮件中被提到曾经发生的网络交易存在问题,比如,金额错误、交易取消、收件地址问题。但真实的问题是,受害者怎么都无法回忆起曾近有过这么一次交易。很大的可能这封邮件发自钓鱼攻击者,这种情况下要小心应对,多方核对。

5 天上不会掉馅饼

假如收到的邮件中承诺提供较大的经济利益时,要额外小心。这些网络邮件有时声称有大量积分需要兑换诱人的礼物。因此,遇到这种邮件要知道天上不会掉馅饼,美好的诱饵背后是罪恶的鱼钩。

6 钓鱼消息包含语法错误

一般的钓鱼邮件是由钓鱼攻击者自己制作和负责校对审核的,他们并不像网络银行这样的大企业一样,内部有多重审核的机制。在银行发布正式的通知或者公告之前,往往会有多个部门,很多员工审核校对同一份通知文件,因此在正式文档中出现语法错误或者病句的情况较少。因此,一旦在声称是来自网络银行的信息中发现有低级的语法错误时,要提高警惕,综合其他的方面的特征来判断收到的消息是否来自于钓鱼攻击者。

7 警惕钓鱼邮件中的另一种手段

目前,网络金融钓鱼中同样存在另外方式,他们不同于常规的钓鱼邮件。在一般的金融钓鱼邮件中,攻击者总是通过仿冒官方网站和渠道,并采用引诱的办法来促使受害者上当。但是,人们有时又会收到另外一种钓鱼邮件,他们声称自己来自于公权力机构,比如法院、公安局,通过冒称受害者违反了相关法律而导致账户冻结或者收到法院的传唤,要求受害者将资金转入指定账户以配合调查,一旦受害者点击邮件中的地址,就会进入攻击者事先准备的钓鱼网站中。这种钓鱼手段利用人的恐惧心理进行犯罪活动,因此在收到类似的钓鱼邮件时,一定要沉重冷静,不要被突如其来的压力所击倒,而要积极多方核对,不要给骗子留下诈骗的机会。

8 网络金融钓鱼的最终目的

所有网络钓鱼邮件的最终目的都是通过从受害者身上欺骗来获得金融财产。所以这就是钓鱼邮件区别于其他正常邮件的根本点,因此,每当邮件中涉及到要进行网络支付转账、进行购物充值或者要求支付劳务费等与金钱相关的要求时,就需要擦亮双眼,仔细辨认,以防落入骗子精心布下的骗局之中。

在个人平时使用网络银行和网上购物的过程中,可以做到以下几点来防范网络钓鱼:(1)在登陆不是经常访问的银行网站时,要注意核对最终的跳转页面与原始链接的区别,观察是否存在多级跳跃。当发生这种情况的时候,容易进入钓鱼网站。(2)在收到其他朋友或者陌生人传来的即时在线消息的时候,要注意查看跳转地址是否与真实地址一致。有时候这些消息还有可能是由聊天bot发出的。这时候与朋友取得其他途径的联系来核对时最有效的办法。(3)收到陌生人发送的电子邮件时,并察觉到任何异常时,比如锁定的网页地址,透明的窗口等异常时,一定要及时停止操作,这样就不会被攻击者利用,从而避免经济损失。

总之,虽然利用钓鱼手段的网络银行骗局在不断翻新花样,但是在钓鱼行骗的过程中难免又会漏出一些破绽。在细心的用户面前,这些马脚可以被识别,并最终避免上当受骗。

猜你喜欢
域名攻击者受害者
基于微分博弈的追逃问题最优策略设计
“目睹家暴也是受害者”,彰显未成年人保护精细化
Combosquatting域名抢注的测量研究
正面迎接批判
如何购买WordPress网站域名及绑定域名
有限次重复博弈下的网络攻击行为研究
受害者敏感性与报复、宽恕的关系:沉思的中介作用
腾讯八百万美元收购域名
关注恐怖主义受害者
顶级域名争夺战:ICANN放出1930个通用顶级域名,申请者有上千家