跳到主要內容區

Top

網路釣魚 phishing

釣魚式攻擊 ( Phishing,與釣魚的英語 fishing 發音一樣)又名「釣魚法」或「網路釣魚」,是企圖通過電子郵件或即時通訊訊息,把用戶誘騙至官方外觀幾無二致的假冒網站,冒充真正需要信息的值得信任的 人,欺詐性地獲取敏感的個人信息(比如密碼和信用卡細節)的行為。它是社會工程攻擊的一種形式。
 
網路釣客之所以可以讓釣魚手法順利進行,找到可以入侵的 Web 伺服器是很重要的關鍵。網路世界中有太多的 Web 伺服器存在有太多的漏洞 ( Vulnerability )  ,不論是作業系統本身;亦或是網站建置者常用的 IIS/Apache 軟體,如果更新稍有延遲,很容易遭駭客入侵後建立最高管理權限,植入各種程式。所以說,漏洞防禦的完整與否與網路釣魚是否可以順利開始息息相關,善用入侵 防禦技術可以在閘道端將意圖入侵的封包攔阻,也是避免遭到網釣的關鍵。別忘了,網路釣客很可能利用您手上的 Web 伺服器去釣其他非您單位裡的人,常常會讓您成為代罪羔羊而不自知。
 
如何防禦:
  • 不要隨意點擊電子郵件中的網頁連結
  • 在自己的電腦中加裝辨識軟體,對惡意的釣魚網站建立黑白名單,以避免誤連後洩漏資料。
  • 網路的閘道端建置防禦機制 ( 例如入侵防禦系統 --IPS) ,針對進出的電子郵件與網頁連結做分析後,阻絕網路釣魚活動的進行是許多資安專家建議的方式。

資料來源:釣魚式網站

 
瀏覽數: