《计算机网络信息安全与应用》课程论文 | |
《网络钓鱼的原理及案例分析》
学生姓名 邓梦佳
学 号 **********
所属学院 信息工程学院
专 业 计算机科学与技术
班 级 17-6
指导教师
塔里木大学教务处制
摘要:随着网络化、信息化的时代,人们的日常生活活动已经离不开网络。网上包含了自己的各种隐私信息,甚至是自己的银行账号和密码,在这种环境下滋生了一些如网络钓鱼这种手段,来用户的各种重要信息。本文从网络钓鱼的定义、特点及危害方式、鉴别方法和网络钓鱼利用的手段等方面对网络钓鱼进行分析,并列举出了相关案例,提出了防范网络钓鱼的方法。
关键词:网络钓鱼 手机短信 邮件 网络钓鱼案例
正文
网络钓鱼通常是指伪装成银行及电子商务等网站,主要危害是窃取用户提交的银行帐号、密码等私密信息。在这网络化、信息化的时代,越来越多的人的日常活动已经离不开网络,如网上查阅资料,网上交易,通过聊天软件进行交友、交流等。网上包含了自己的各种隐私信息,甚至是自己的银行账号和密码,垃圾邮件越来越频繁在我们的生活中出现。在这种环境下滋生了一些如网络钓鱼这种手段,来用户的各种重要信息。所以一个安全的环境对我
们普通用户是越来越重要。了解网络钓鱼的原理和一些相关案例将让我们掌握如何识别和预防网络钓鱼这种手段。
1 网络钓鱼定义
所谓“网络钓鱼”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。
“网络钓鱼”近来在全球频繁出现,严重地影响了在线金融服务、电子商务的发展,危害公众利益,影响公众应用互联网的信心。网络钓鱼会通过相似域名、相似网页对用户进行欺骗。传播样式多样化,比如通过、搜索引擎、论坛、微博等,几乎是无孔不入。网络钓鱼通常伪装成为银行网站,窃取访问者提交的账号和密码信息。它一般通过或者手机短信传播,此类邮件或短信中一个经过伪装的链接将收件人联到网络钓鱼。网络钓鱼的页面与真实网站界面完全一致,要求访问者提交账号和密码。一般来说网络钓鱼结构很简单,只有一个或几个页面,URL和真实网站有细微差别。
2 网络钓鱼特点及危害方式
最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。
网络钓鱼其实就是网络上众多诱骗手法之中的一种,由于它的手段基本就是通过网络用一些诱饵(比如假冒的网站)等使用户上当,很像现实生活中的钓鱼过程,所以就被称之为“网络上的钓鱼”。它的最大危害就是会窃取用户银行卡的帐号、密码等重要信息,使用户受到经济上的损失。
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件或者手机短信,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息)的一种攻击方式。
3 网络钓鱼的鉴别方法
钓鱼在大多数情况下是关于你的银行账号、密码、信用卡资料、社会保障卡号以及你的电子货币帐户信息。关于用户的paypal、yahoo邮件、gmail及其他免费邮件和手机短信服务。只要记住上述那些正式公司绝不会通过让你提供任何信息。如果你收到类似要求,让你提供资料,或者在邮件和短信中带有指向网站的链接,那么它一定是网络钓鱼。 网民在查信息时,应该特别小心由不规范的字母数字组成的CN类网址,最好禁止浏览器运行JavaScript和ActiveX代码,不要上一些不太了解的网站。
4 网络钓鱼所利用的手段
4.1 利用邮件进行
像垃圾邮件一样,钓鱼是一种未经允许的形式。尽管一些垃圾邮件可能只不过是讨厌的广告,而钓鱼则是试图从用户手中进行。不幸的是,人们落入了它的圈套。钓鱼是指用作“鱼饵”,从而骗取访问金融账户必需信息的一种手段。通常,会看起来像来自一家合法公司。它试图诱惑用户把账号和相关密码给他们。经常解释说,公司记录需要更新,或者正在修改一个安全程序,要求用户确认你的账户,以便继续使用。
从表面上看很难辨别这封是否是。像垃圾邮件一样,来自钓鱼黑客的通常在地址中包含伪造的“发件人”或者“回复”标题,使看起来像来自一家合法公司。除了欺骗的“发件人”或者“回复”地址之外,伪造通常基于HTML。第一眼可能看起来像真的一样。经常包含真正的商标,看起来拥有真正公司的网站地址。建议用户“小心”保管密码。的所有的表象和措词都用来使它看起来是真的。 然而,当用户查看HTML(内的电脑代码)时,用户可以看到网站地址是伪造的,点击链接实际上会把你带到另一个位置。它经常会把你带到一个看起来一样的外国网站。这些网站只是暂时开放,设计得跟真的一模一样,从而诱惑你输入你的登录信息和密码。一旦他们获得信息,就会试图从用户的帐户中汇钱出去,或者收取费用。
钓鱼的一种常见做法是在中包含一个表格,供收件人填写自己的姓名、账号、密码或者PIN号。
4.2 利用手机短信进行
短信是指犯罪分子以获取非法利益为目的,采用虚构事实、掩盖真相的手法,使用短信发送设备将虚假信息发送至他人手机,使被害人在不明真相的情况下自愿交付数额较大的财
物的行为。它是一种通过发送手机短信的方式进行的新型犯罪,犯罪分子向不特定多数人或特定体的手机用户发布虚假事实,使受害人上当受骗。短信是传统与现代通信技术相结合而产生的一种新的犯罪形式,与传统犯罪相比,此类案件的作案人通常不需要与受害人见面,但以非法占有为目的、用虚假事实或隐瞒真相的方法骗取财物的本质没有改变。犯罪嫌疑人通过技术手段强制摄取一定范围内的手机信号后,由伪装成运营商的,冒用他人电话号码,强行向这些手机用户。并附上链接,诱使用户点开填写重要信息。
4.3 网络钓鱼4招骗客敛财
1. 发短信“善意”提醒,诱使网民上网操作;
2. 注册域名,逃避网络监管;
3. 高仿真网站制作, 欺骗网民透露隐私信息;
4. 连贯转账操作,迅速转移网银款项。
4.4 牟利模式
1、黑客通过网络钓鱼设下陷阱,大量收集用户个人隐私信息,通过贩卖个人信息或用户获利;
2、黑客通过网络钓鱼收集、记录用户网上银行账号、密码,盗取用户的网银资金;
3、黑客假冒网上购物、在线支付网站,欺骗用户直接将钱打入黑客账户;
4、通过假冒产品和广告宣传获取用户信任,骗取用户金钱; 5、恶意团购网站或购物网站,假借“限时抢购”、“秒杀”、“团购”等噱头,让用户不假思索地提供个人信息和银行账号,这些黑心网站主可直接获取用户输入的个人资料和网银账号密码信息,进而获利。
4.5 网络钓鱼传播途径
目前互联网上活跃的网络钓鱼传播途径主要有八种:
1、通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播网络钓鱼链接;
2、在搜索引擎、中小网站投放广告,吸引用户点击钓鱼网站链接,此种手段被假医药网站、假机票网站常用;
3、通过Email、论坛、博客、SNS网站批量发布网络钓鱼链接;
4、通过微博、Twitter中的短链接散布网络钓鱼链接;
5、通过仿冒邮件,例如冒充“银行密码重置邮件”,来欺骗用户进入钓鱼网站;
6、感染病毒后弹出模仿QQ、阿里旺旺等聊天工具窗口,用户点击后进入钓鱼网站;
7、恶意导航网站、恶意下载网站弹出仿真悬浮窗口,点击后进入钓鱼网站; 8、伪装成用户输入网址时易发生的错误,如gogle. com、sinz. com等,一旦用户写错,就误入钓鱼网站。
5 手机短信案例分析个人网站的制作代码
手机收到一条短信,按照步骤操作却被骗走银行卡内资金。今年以来,深圳市公安局共接到20起以手机短信发送木马链接的方式进行的报案,涉案金额超过30万元。
23日,市民曹小的丈夫手机上收到信息:“小张,我是蒋美根啊,看看你对这些东西还有印象吗?下载看看:j.gg1116/5-18/5.apk?”曹小的丈夫并未点击链接,而是顺手把短信转发给了曹小。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论