| 

回主頁
 


 
電腦工具箱 詳細資料

主題Phishing (電子黑餌)及預防措施
主題內容

Phishing (電子黑餌),中文又叫「網路釣魚」,或「釣魚攻擊」,它是「Fishing」與「Phone」(黑客最初以電話進行詐騙)的合併詞,加起來成為「Phishing」,因為發音近似「Fishing」,所以中文譯成「網路釣魚」。它通常透過Email、即時通訊訊息或網站傳播,電郵內容多會包含偽造網站的連結,一按便可登入與真正官方網站相似的詐騙網站,其中以假冒銀行的網站為最多。Phishing一般盜取他人個人資料及財務帳戶資料的網路相關誘騙行為,它可分為誘騙式及技術性兩種,誘騙式是利用特製的電郵,引導收件人連結到特製的網頁(虛假網頁),這些網頁通常會偽裝成真正的銀行理財網頁,令登入者誤以為真正的網站,輸入信用卡號碼、帳戶名稱及密碼等;技術性的Phishing則是將程式安裝到受害者的電腦內,使用木馬程式或按鍵程式程式等,直接盜取個人資料。

APWG組織:APWG (Anti-Phishing Working Group)是英美組成的一個反網路釣魚組織,2003年11月成立,提供了很多有關網路釣魚的資訊及報告。網站:http://www.antiphishing.org

檢查正確網址:以下網站可提供查詢Domain Name的註冊資料及正確身份。
http://www.checkdomain.com/
http://apnic.net/apnic-bin/whois.pl
http://www.allwhois.com/
http://www.register.com/

留意網站的政策聲明:大部份網上銀行和牽涉金錢交易的網站,都會列明私隱政策聲明及安全防護措施聲明。進行金錢交易前,可留意瀏覽器 (如Internet Explorer畫面右下角)有否出現細小的鎖扣或鑰匙的標誌,以查閱網站的數碼證書,一般該證書會發給真正網站的機構,還有要注意證書的有效日期。

小心選擇瀏覽網站:避免瀏覽一些提供Warez(盜版軟件)與Cracks(破解軟件)等下載的網站,因為有些從中暗藏Adware或Spyware。那些提供盜版的電影、音樂或色情下載的網站,同樣也具危險性。國內亦有很多網站暗藏Adware,所以也要小心切勿胡亂登入。當遇到一些Active X的項目時,便要小心是否安全確認。要進行網上理財或輸入個人資料時,這些網站必須是自己親手鍵入網址,或使用可靠的超連結 (如「我的最愛」),避免誤入錯誤網址。

避免在不知名的網站下載檔案:因為可能暗藏病毒及惡意程式等,切勿胡亂下載不知名的檔案,亦要避免使用P2P程式作檔案交換,及跟陌生人交換檔案。

在網上輸入個人資料時要小心:當需要透過網上購物或申請服務時,需要輸入個人資料或信用卡號碼等重要敏感資料時,需要加倍小心,要清楚了解自己所正在使用的不是詐騙網站或不會被人偷看,另外最好使用128bit SSL加密的網頁來為資料加密加強保安。

小心收到的電郵:收到可疑的電郵,要馬上刪除,更不要點取郵件附帶的網址。就算是認識的人寄來的電郵,也要小心切勿胡亂點取郵件內的網址,因為不法之徒可能冒認我們熟識的人發來電郵。

確保電腦本身的安全:安裝Anti-spyware防間諜程式、防毒軟件、及防火牆,要經常更新定義檔資料及掃瞄電腦。也要經常為電腦的Windows系統更新進行Windows Update或其他軟體如Office update,堵塞各方的漏洞,例如IE瀏覽器的漏洞。

修改電腦的host file:一些詐騙電郵為了掩飾它們的假網址,有些會嘗試將顯示成文字的超連結變成一個按鈕,只要按一下,一個不會顯示網址的網頁便會出現。其實電郵不會要求按下某些按鈕或超連結,相反它們可能有一些不良的Scripts,只要用戶開啟它,它便會將電腦內的host file修改,將一些正當網站domain name指向另一個不知道的IP位址,其實這是偽冒網站,讓人誤入圈套。要防範這種事情發生,便要確保Windows系統或IE沒有安全漏洞,經常為電腦更新。如果還未能修補漏洞,或可嘗試將Windows Scripting Host的功能關掉,Windows XP方法:到「我的電腦」-->「工具」-->「資料夾選項」--「檔案類型」,找出「VBScript Script File」,將之刪除便可。但如果某些應用程式須靠這個WSH(Windows Scripting Host)才能運作,便不能刪掉。有些程式甚至刪掉,仍會再自行建立WSH於電腦上。無論怎樣,再好還是定期去檢查電腦的Hosts file有否可疑的修改。

提防虛假SSL安全保護認證:縱使Windows系統經常推出不同多個的安全漏洞修補程式,但仍一直被人發現新的安全漏洞,例如有個仿真度很高的虛假網站「Internet Explorer Cross-Site Scripting」,它提供了一個冒充PayPal網站,網址欄顯示的也是正確的網址,網頁下方框邊還有SSL安全保護鎖頭的圖示符號,魚目混珠,很易令人上當。

偷換真網站內的超連結:透過IE的漏洞便可達到,例如Multiple Browser Windows Injection的漏洞,它可將真網站內的超連結偷偷更改了,便可讓人連結到虛假的網站來。

網頁瀏覽器的Tab Browser的缺點:就算避開連番受擊的IE瀏覽器,改用其他的瀏覽器來瀏覽網頁,同樣都會中招。大部份瀏覽器的共通點就是可提供Tabbed browsing的功能,當瀏覽一個有問題的網站時,再開啟新Tab瀏覽一個正當的網頁,例如PayPal,但其實已有一個對話匣剛好蓋住正當的網頁上,這樣誤當了是正當網頁,而輸入了帳號與密碼。又或有多個網頁同時開啟,但其中一個是有問題的網頁,就算在正當的網頁內輸入資料,但虛假的網站也已記錄了剛輸入的資料了。

FireFox也有安全漏洞:縱使Mozilla FireFox瀏覽器被譽為比IE安全得多,成為代替的瀏覽器,但並不是它完全沒有漏洞,Download Dialog Source Spoofing便是被發現的FireFox漏洞。雖然較為輕微,但仍有可能成為偽冒者的工作來進行欺詐行為。

在Secunia的網站內(http://secunia.com/),可詳細了解超過4000種產品的安全漏洞報告,不是其他網頁瀏覽器可百分百代替IE,安全漏洞便可解決。

對付Phishing,網上都有一些免費及收費的Anti-phishing軟件,例如「EarthLink ScamBlocker」(http://www.earthlink.net/software/free/toolbar/)它提供一個免費的EarthLink Toolbar工具,它能根據它的數據庫、黑名單、及網站背景的分析來辨別網站的真偽,將有關的假網站禁閉或向用戶提出警告。

一些收費的軟件的對象大都是銀行或一些提供網上應用的機構,這類軟體包括「BankSafe」及「Web Caller-ID」。

「BankSafe」是一個針對網上銀行的應用軟件,依靠系統安全漏洞的數據庫來協助辨別網站是否利用漏洞犯案,以及判斷電郵有否問題,亦包含有keylogger之類的間諜程式偵測及檢視hosts file有否問題。

「Web Caller-ID」它能偵測在URL前是否包括有另一個IP位置,又或檢查來源檔是否包含有指令指向別的網站。

Anti-Phishing軟件的運作方式:
1. 過濾防釣魚郵件;
2. 反釣魚的偵察;
3. 核對Block list、Allow list及正確網址;
4. 網站驗證;
5. Crimeware保護。

預防反釣魚的方法:

1. 安裝垃圾郵件過濾軟件、反釣魚軟件及最新版的IE瀏覽器。
2. 定期檢查信用卡及銀行月結單。
3. 留意網路釣魚新聞,避免受騙。
4. 懷疑被釣魚,請馬上通知銀行及更改密碼。
5. 不要隨便點擊郵件上的超連結。
6. 不要隨便在公用電腦或陌生電腦上進行線上交易,如購物或銀行服務處理。
7. 不要隨便在網站上填寫個人資料、密碼及信用卡資料。

-----------------------------------------------

網頁瀏覽器內置反釣魚功能:
IE 7.0:慶幸IE7.0版本已經內置了Phishing Filter功能,可在瀏覽網頁時自動檢查網頁的真偽,它是通過建立釣魚網站數據庫來驗證,當用戶瀏覽的是黑名單中的網站便即時提出警告。

Firefox2.0:Firefox也加入了Anti-Phishing的反網路釣魚功能,在「選項」內設定一下,便執行反釣魚過濾,瀏覽網頁時,其功能可跟Google的資料庫進行對比來核實。


 
推荐度:1 (0: 未評級;3:極度推荐)

上次更新日期2008-05-08

 

 

=============================================================
警告:

使用「電腦工具箱」本網站 閣下必須承擔風險!本網站本著非牟利的精神,為 閣下提供免費訊息及技術資料,完全純屬參考性質,但不完全保證資訊及免費軟體的正確性及可靠性,故此本網站不會對 閣下因為使用本網站後而帶來任何損失,而負上任何責任。本站強烈建議在按照本網站的技術指引或使用免費軟體前,務請為電腦作妥善備份及確保可回復狀態。



 | 
Copyright © 版權所有 All Rights Reserved.  版權聲明刊登廣告業務合作 View My Stats