这些侵犯者有着他们自己可以支配的装备——包含在电子邮件内改写后的冒牌站点的看似无害的链接,诱使你输入敏感信息的弹出窗口,突然出现真实网址的伪装后的URL,还有那些当你输入用户名和密码时进行监视和捕获的装置。你并不是一定要成为一个技术精通者才能够保护自己免受钓鱼攻击,只要你能够对自己保持清醒的判断力,意识到并非互联网上所有的站点都是真实可靠的,那就足够了。下面我们就一起来看看44条关于反钓鱼攻击,保护自己的小贴士。
网络钓鱼示意图 |
简单,但却非常有效的几个方法
1、不要相信陌生人:这条你在孩童时代就已经被教授过的规则在此也同样起作用;绝对不要打开来自你不认识的人所发的电子邮件。将你的垃圾邮件过滤器设置好,让它只能够将那些来自存在于你地址簿中的邮件投递给你。
2、回避这些链接:如果你的垃圾邮件过滤器犯傻了,将一些垃圾邮件投入到了你的收件箱中,而你又碰巧将它们打开了怎么办呢?非常简单——永远不要点击这些邮件中的链接!
3、保护你的隐私:你的鼠标有可能会不小心移到某个链接上,你瞧!你就被输送到了另一个要求你提供例如用户名、银行账户号码、密码、信用卡密码和社会安全号码这样敏感信息的网站。只有一个词送给你——不要!
4、不要害怕:通常,这些欺骗性的网站都伴随着一些威胁和警示,告知如果你不确认你的用户信息你的账户将存在被撤销的危险,或是如果你不遵从这个页面上所写的内容,税务局将随时会找你的麻烦。对于这些,你只需要忽略它们。
5、拿起你的电话并拨打:如果你心存疑问,这些可能会是一个合法的请求,而你的银行又确实有要求你在网上输入一些敏感信息的话,那么请在你有勇无谋地做任何事之前先打电话给你的客户代表向他咨询。
6、使用你的键盘,而不要总是用鼠标:用键盘输入URL地址,而不要通过点击链接进入网上商店或是银行站点这些通常会要求你输入信用卡号和账户号码的地方。
7、寻找一把锁:合法的站点通常会使用加密手段以保证你的敏感信息能够安全地传达,会以一把锁为特征出现在你浏览器窗口的右下角,而不是在网页上。它们的地址通常也都是以https://开头,而不是平常所见的http://。
8、探明不同之处:有时,只是单独地出现锁头标志就足以证明这个站点的可靠。而如果要证明它是名副其实的,则可以双击这个锁头来显示这个站点的安全认证书,再核对一下在认证书上的这个名称是否与地址栏中的相匹配。如果不是的话,你就处在一个有问题的站点,那么赶紧摆脱这个糟糕的境地吧。
9:第二次就会是正确的:如果你担心自己进入了一个模仿成你的银行页面的钓鱼网站,有些时候,最简单的检查方法就是输入一个错误的密码。伪装的站点就会接受这个错误的密码,接着你通常会被带到一个页面,被告知他们正遇到一些技术问题,因此要求你是否能够稍后再试。而真正的银行网站是不会允许你进入的。
10、在此,“不同的”是一个关键词:对不同的站点使用不同的密码;我明白,这是一个有些令你感到有些棘手的要求,好一段时间你的大脑中某些技能总是要经历一些技术性的锻炼,但这确实是一个好的方法,能够防止自己免受钓鱼者获得你所有的敏感事务,即使在他们成功获取了其中一处的情况下。
11、睁大你的双眼:垃圾邮件都充满了语法错误,且通常都不是很个性化,常常是带有一些链接或是值得怀疑的附件。及时地辨认出它们,并揭示出它们是垃圾邮件。
12、熟知详情你就能蔑视他们:你并不能确保当收到电子邮件时能从中辨认出哪些是钓鱼者所发送的?也许你也看到一些例子能够让你知道他们通常都是怎样进行欺骗的。不久后,你就能熟知如何认出伪造的站点。
13、贪婪是不会有好结果的:永远不要参加那些要求你的敏感信息而能够提供金钱的调查。这些通常都是诈骗的攻击行为,以试图掌握你的个人详情。也许你能够获得所承诺的20美元,但更可能的是,你会发现你的账户被扣除了更高的代价。
14、不要离开:千万不要在你登录你的银行账户或在购物网站提供完信用卡信息后让你的计算机无人伴随左右。
15、适时地关闭账户:一旦你完成了你的业务,请适时地登出,而不要仅仅是关闭浏览器窗口,特别是如果你使用的是公共的电脑终端。
16、再仔细认真,也不算过分:定期地登录你的银行账户并密切关注你的资金情况。你也不想哪个美好的日子一早醒来就发现某个钓鱼者正在时不时地榨取了你几百美元。
17、多了解知识没有坏处:保持自己能知晓关于钓鱼的最新的新闻和信息。
18、硬件中留下迹象:当你处理旧计算机或硬盘时要格外留心。回收的计算机曾有过被找出保留的有关网上银行的机密信息的例子。请使用软件删除并对你硬盘上的数据进行反复读写,以确保它无法恢复。
像往常一样经营你的业务
19、我到底认不认识他呢?当心鱼叉式网路钓鱼——当你的公司账户被泄露,那些请求私密信息的电子邮件就会根据新闻报道从你的同行或一些大人物那里发出,此时最好要打电话给这个人让其关注,并证实电子邮件的可信赖性。
20、仔细研究这些记录:作为企业组织的一部分,你可以做很多事来防止钓鱼者泄露你公司的安全。设置好你的防火墙,并确保你妥善地处于反病毒软件的保护之下。定期监控来自你的DNS和代理服务器、防火墙以及其它入侵侦测系统的记录,以检查你是否受到过感染。
21、政策就是最好的手段:制定严密的政策,关于创建你的客户端、服务器、路由器的密码,并确保你的员工都切实地贯彻执行。
22、不要任何入侵:设立入侵侦测和保护系统能够保护你的网络内容,并阻止收发钓鱼电子邮件。使用反钓鱼和反病毒工具和防火墙来保护你的网关。
23、关注你所经营的公司:维护更新一份关于证实可靠的设备的清单,它们是能够被允许连接到你的公司的网络的。
让技术伴你左右
24、这是一个关于信任的问题:一个重要的问题就是,你能够信任那些网站的认证书所证实的它的可靠性吗?并不是很久以前,Verisign对于他们所发布的声称是微软的一部分的安全认证表示愧疚。最新版本的浏览器,IE 7和Opera 9很快将能够提供给用户EV SSL(扩展认证SSL)认证书来确保它们正处在一个非伪造的站点下。地址栏若是绿色则是正常的网站,若是红色则是有疑问的网站。
25、钓鱼者总是贪得无厌的:电子邮件也能够具有欺骗性。唯一能确保它们并非含有钓鱼攻击的方式就是使用支持S/MIME(安全版本的多用途网际邮件扩充协议)的数字签名。第一道检查工序是,如果这个发件人的地址是没有问题的,接着就检查它的数字签名。由于这个签名是在客户端打开邮件并鉴定之后而生成的,因此这是一个相当有效的反钓鱼的策略,同时也因为它是基于强大的密码技术。
26、保持更新:确保你的操作系统和浏览器都规律地进行升级。随时检查是否有最新的补丁,并立即将它们安装上。
27、建立栅栏:用一些有效的杀毒软件和反垃圾邮件软件来保护你的计算机,并设置起防火墙以防那些鬼祟的木马趁机进入。它们可能是最差劲的钓鱼方式——秘密地在你的系统上安装一些监视键盘输入的软件,捕获你所有敲击键盘的信息并将它们输送给不知道躲在什么地方的骗子们。更糟糕的的是,这很可能会迅速蔓延,并通过你的计算机感染你整个网络中的其它系统,直到所有的计算机都被攻陷。
28、两个比一个好:使用双重认证来登录敏感的网站。使用一个像密码这样的软件令牌和一个像ATM卡这样的硬件设施的联合能够让你打开账户时候加倍安全,这比起只有一种认证或是两种都没有要来得令人放心得多。
29、一步接一步:如果你将登录过程分成两个阶段,那么钓鱼者就很难获取你进入账户的密码——先输入你的用户ID,再使用其它的证书。当你在第二阶段输入身份详情,而输入的窗口仅是以你个人定制的某种方式显示时,这个过程会格外的安全。例如,如果有某个图像是你明确指定对你显示的。
30、不要仅拥有一个令牌:可以考虑使用一个ID保管的USB令牌,将你所有的ID和密码储存在一个闪存盘里面,这就能更加安全地登录到网站上。大多数的令牌伴随了一个有着合法站点的清单,也能够防止键盘监视软件有效地工作。这个设施本身就是一个收保护了的密码,因此那些窃贼们有多了一层要应付的解密难关。
31、用“打乱”来迷惑钓鱼者:软件插件也加入到了反钓鱼的斗争中,其中一个例子就是PwdHash,或是叫一个由两个斯坦福大学的教授开发的密码打乱(hash)工具,它能够打乱你输入的任意密码,再创建一个对你访问的每个站点都独一无二的登录结果。这样,即使钓鱼者获得了你的密码,那也是无法使用的。
32、监测:另一个应用程序是与PwdHash同一线的产品,也是由同样的两位斯坦福大学的教授开发,名叫SPYBLOCK,这个工具能够防止木马键盘监视程序盗窃你的密码。
33、插件保护:浏览器的插件,例如Mozilla的Firefox使用的Antiphish,通过维护你的密码清单和其它敏感信息用来防止钓鱼攻击,并能在用户处在钓鱼网站并输入这些信息时发出警告。
34、框架结构的措施:银行和在线商铺最好应该使用开源的SPF标准,这样就能防治电子邮件地址通过那些允许发送邮件的列表服务器遭到骗取。
35、承担诚信:作为一个可选择的方案,他们可以使用像GeoTrust的True Site认证这样的受信服务,这样就能让用户可以证实网站的可靠性。
即将到来的反对钓鱼的保护
36、发送真实可靠的信号:例如通过证实每封电子邮件的来源的发信人身份识别框架(SIDF)这样的新技术已经投入到与诈骗网站的斗争中。这也是微软和CipherTrust要走的路线。
37、没有什么能够封锁诚信:TrustBar(诚信条)是浏览器中安全的、且是“撕毁无效”的组件,它们能够让有关站点的信息可视化。当在这些可视化的诚信条中有一些不符之处,用户们就会得到明确的警告。
38、放缓这些攻击的脚步:另一项技术,密码延迟公开(DPD)能够防止那些询问敏感信息的弹出窗口(很贴切地称为幽灵窗口攻击),当用户逐字输入密码,仅要在一致的图像得到识别后才能一个接一个地显示出,通过这样的方式来防止钓鱼攻击。
39、校对真实:希望被认证为可靠的网站可以使用名叫PROOFLETS的HTML插件来扩展一个服务器的内容。这些能够通过使用特定的网络服务项目,由浏览器得到证实。
其它的途径
40、移动的诈骗:由于用户们都知晓了他们的欺骗手段,钓鱼者就要寻求新的介质来进行他们的欺骗活动。作为当今世界必不可少的移动电话,也就成为了最新的目标。那些称作是你的银行提出的警告的文本短讯,要求你确认你的账户信息,警告才能被撤销。请忽略这些短讯,它们都是带有欺骗性的。
41、来自声音的疑虑:另一个很活跃的热门领域,就是VoIP技术,已经被作为调与工具通过规律性的警示来使用。骗子们发现它非常开销适当,大量的电话却可以赚回更高的那些不幸受难的人所付出的代价。这实在是加倍的危险,因为人们通常会带着怀疑去看一封电子邮件,却通常很容易轻信打来的电话。
做出改变
42、加入战斗:如果你碰到钓鱼诈骗,请马上报告给反钓鱼工作组,通过美国联邦贸易委员会(FTC)和FBI共同成立的网络犯罪举报中心,他们都会去关闭这些钓鱼网站并逮捕相关的负责人。
43、说再见:如果你的账户中任何一个被泄露,请马上将它们注销。
44、改变是良好的习惯:如果你怀疑你的人和一个密码可能落入他人之手,请立即将你所有的密码和在线账户的识别码都更改。
钓鱼攻击就是这样的猖獗,无知决不会是福。只要还有易受骗的人们存在,就会有骗子会去利用人们的弱点,像粗心、懒惰、贪婪以及无知。用技术来拯救和帮助自己吧,这些攻击已经与日俱增。只要多一些警觉就能让我们在于这些计算机犯罪的斗争中走得更长更远一些!
(文章来源:networksecurityjournal)