什么是钓鱼网站?
钓鱼网站通常是指伪装成银行及电子商务等网站,主要危害是窃取用户提交的银行帐号、密码等私密信息。举个简单例子,不是有一些假冒的银行网站吗,他要你输入银行卡号和密码,然后他就用你的钱了~还有很多的网站,尤其是收集公司资料的信息之类的。
Phishing即网络钓鱼。“Phishing”与“Fishing”发音相同,是常见的网络诈欺行为。通常利用电子邮件引诱用户到伪装网站,以套取用户的个人资料如信用卡号码。
“Phishing”该词嫁接了fishing和phone,该词起源于1996年左右,黑客起初利用电子邮件作为诱饵,盗用美国在线的帐号和密码,后来鉴于最早的黑客是用电话线作案,所以黑客们常常用Ph来取代f,就形成了今天的Phishing一词。
钓鱼网站通常伪装成为银行网站或大的门户网站,骗取访问量或者窃取访问者提交的账号和密码信息。钓鱼网站的页面与真实网站界面完全一致,要求访问者提交账号和密码。一般来说钓鱼网站结构很简单,只有一个或几个页面,URL和真实网站有细微差别,如真实的工行网站为www.icbc.com.cn,针对工行的钓鱼网站则有可能为www.1cbc.com.cn。
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。这篇“了解你的敌人”文章旨在基于 德国蜜网项目组 和 英国蜜网项目组 所搜集到的攻击数据给出网络钓鱼攻击的一些实际案例分析。这篇文章关注于由蜜网项目组在实际环境中发现的真实存在的网络钓鱼攻击案例,但不会覆盖所有可能存在的网络钓鱼攻击方法和技术。攻击者也在不断地进行技术创新和发展,目前也应该有(本文未提及的)新的网络钓鱼技术已经在开发中,甚至使用中。