当心被钓鱼 虚假的网站链接可能导致联机数据
作者: CBISMB编辑
责任编辑: 阚智
来源: 中小企业IT采购
时间: 2007-11-02 14:34
浏览: 2
点赞: 0
收藏: 0
捕鱼的方法之一是使用诱饵。 在 Web 上进行“网页仿冒”的联机窃贼也很喜欢使用诱饵。
网页仿冒是指以真实存在并且信誉卓著的公司的名义(其实不是)发送电子邮件或即时消息的一种手法。 有此癖好的联机骗子希望诱惑浏览者点击消息内的链接。
如果某个员工碰巧“咬中”某个诱饵,可能会出现以下两种情况,但是均有害而无利。 第一种情况是链接将该员工带到受信(当然是假的)网页或弹出窗口,这些网页或窗口是模仿合法企业而设置的。 它们可能会提示该人拨打客户支持号码。 另外一种情况是要求员工泄露银行帐户或信用卡号、密码或个人标识号 (PIN) 之类的敏感个人信息,联机窃贼可以使用这些信息来访问员工的帐户或窃取其身份。 据一家调查公司估计,2004 年因网页仿冒而产生的直接欺诈损失总额约有 1.37 亿美元。
另一种可能性是点击链接可能导致间谍软件安装在员工的计算机上。 间谍软件可以跟踪每一个击键操作并且在键入时窃取敏感信息。 这些击键监控程序可以监视员工访问银行、电子邮件以及其他联机帐户,然后将密码和帐号发送给另一端的骗子。 利用这些窃取到的登录信息和密码信息,骗子不但可以使用常见的黑客伎俩访问受到威胁的计算机,而且可以访问整个公司网络。
任何受到网页仿冒者迷惑的员工都会承担泄露他们财务状况和信用甚至其身份的风险。 不过,损失最大的可能还是公司。
如果网络窃贼通过员工受威胁的计算机使用黑客技术访问公司网络,他们就有可能窃取一些专有信息,例如邮件列表或其他知识资产。 如果窃取的是客户的机密信息,将会对您的公司造成灾难性的影响,因为这会破坏客户对您的公司以及品牌的信任。
远离陷阱的 4 种方法假设有损坏的可能性,您必须采取措施来防止公司受到网页仿冒的攻击。 以下是 4 种方法。
1. 确保公司的计算机最新
您应该在适当位置拥有基本的计算机和网络安全系统。 这表示要在公司网络上的所有计算机上安装防病毒软件,而且公司网络以及网络上的所有 PC 必须使用 Internet 防火墙来保护。 防火墙可以在您的网络与 Internet 之间构筑一道保护屏障。
另外,还要保持软件最新。 定期下载最新的防间谍软件和防病毒软件的更新。 大多数程序可以设置为自动扫描您的系统。 您可以访问 Microsoft Update 网站(英文链接)获取 Windows、Office 以及其他 Microsoft 程序的最新的高优先级更新。 特别是,Windows XP Service Pack 2 会防止显示欺骗性的 Web 地址,以便您可以验证所访问站点的真实资源。
2. 降低暴露程度
在网页仿冒电子邮件到达员工的计算机之前,抢先使用筛选技术阻止它们。 如果您使用的是 Outlook 2003,则可以设置垃圾电子邮件筛选器来控制发送到您的收件箱中的电子邮件种类。 筛选器会根据多种因素自动评估是否应将邮件视为垃圾电子邮件。 如果您使用的是 Exchange Server 2003,则可以使用其他垃圾邮件筛选技术。
要阻止可能是网页仿冒诈骗的浏览器弹出项,请安装一个弹出窗口阻止程序,例如 MSN Pop-up Guard 或 Windows XP Service Pack 2 附带的一个程序。
3. 对员工进行培训
即使是电子邮件欺诈专家,也很难区分出伪装良好的欺诈与可信电子邮件之间的差别。 因此,一定要提高警惕、采取预防措施并且进行培训,以防止员工和公司遭受网页仿冒。
首先要制定一个 Internet 使用政策,明确规定员工可以因个人用途浏览网络的时间并且详细说明他们从事公司禁止的 Web 活动的原因。 另外,还要告诉员工决不要在电子邮件、即时消息或弹出窗口中提供他们的个人信息。 绝大多数合法企业都不会使用这些方法来要求用户提供机密信息。
同样,也要告诉他们不要点击要求提供个人信息的电子邮件、即时消息或弹出窗口中的链接。 否则,这些链接可能会将您带到一个虚假站点,然后将您在其中输入的所有信息发送给诈骗高手。 建议那些不确定电子邮件是否真实的员工首先从报表或电话簿中查到该公司的电话号码,然后致电他们。 要访问网站,请键入地址或者使用“收藏夹”书签。
4. 检查网站是否会保护敏感数据
网页仿冒者可以伪造浏览器显示的 Web 地址。 只要怀疑某个站点的合法性,为了确保安全,请马上离开。
即使您确信站点是可信的,最好还是检查几个站点特征,然后再在网站上提供财务或个人数据。 例如,看看 Web 地址中是否有“https”(“s”表示“安全”)字样,而不能仅仅是“http”。 接着,看看任务栏中是否有一个未打开的小挂锁或一个完整的钥匙图标。这两个图标都是表示数据加密的符号,它们都是在敏感数据通过 Internet 的过程中提供保护作用的安全措施。
然后,凑近看看小挂锁。 双击它即可显示该站点的安全证书。 看看 Web 地址中的名称与安全证书中的名称是否相同,如果不同,表示您可能在一个虚假站点上。
网页仿冒是指以真实存在并且信誉卓著的公司的名义(其实不是)发送电子邮件或即时消息的一种手法。 有此癖好的联机骗子希望诱惑浏览者点击消息内的链接。
如果某个员工碰巧“咬中”某个诱饵,可能会出现以下两种情况,但是均有害而无利。 第一种情况是链接将该员工带到受信(当然是假的)网页或弹出窗口,这些网页或窗口是模仿合法企业而设置的。 它们可能会提示该人拨打客户支持号码。 另外一种情况是要求员工泄露银行帐户或信用卡号、密码或个人标识号 (PIN) 之类的敏感个人信息,联机窃贼可以使用这些信息来访问员工的帐户或窃取其身份。 据一家调查公司估计,2004 年因网页仿冒而产生的直接欺诈损失总额约有 1.37 亿美元。
另一种可能性是点击链接可能导致间谍软件安装在员工的计算机上。 间谍软件可以跟踪每一个击键操作并且在键入时窃取敏感信息。 这些击键监控程序可以监视员工访问银行、电子邮件以及其他联机帐户,然后将密码和帐号发送给另一端的骗子。 利用这些窃取到的登录信息和密码信息,骗子不但可以使用常见的黑客伎俩访问受到威胁的计算机,而且可以访问整个公司网络。
任何受到网页仿冒者迷惑的员工都会承担泄露他们财务状况和信用甚至其身份的风险。 不过,损失最大的可能还是公司。
如果网络窃贼通过员工受威胁的计算机使用黑客技术访问公司网络,他们就有可能窃取一些专有信息,例如邮件列表或其他知识资产。 如果窃取的是客户的机密信息,将会对您的公司造成灾难性的影响,因为这会破坏客户对您的公司以及品牌的信任。
远离陷阱的 4 种方法假设有损坏的可能性,您必须采取措施来防止公司受到网页仿冒的攻击。 以下是 4 种方法。
1. 确保公司的计算机最新
您应该在适当位置拥有基本的计算机和网络安全系统。 这表示要在公司网络上的所有计算机上安装防病毒软件,而且公司网络以及网络上的所有 PC 必须使用 Internet 防火墙来保护。 防火墙可以在您的网络与 Internet 之间构筑一道保护屏障。
另外,还要保持软件最新。 定期下载最新的防间谍软件和防病毒软件的更新。 大多数程序可以设置为自动扫描您的系统。 您可以访问 Microsoft Update 网站(英文链接)获取 Windows、Office 以及其他 Microsoft 程序的最新的高优先级更新。 特别是,Windows XP Service Pack 2 会防止显示欺骗性的 Web 地址,以便您可以验证所访问站点的真实资源。
2. 降低暴露程度
在网页仿冒电子邮件到达员工的计算机之前,抢先使用筛选技术阻止它们。 如果您使用的是 Outlook 2003,则可以设置垃圾电子邮件筛选器来控制发送到您的收件箱中的电子邮件种类。 筛选器会根据多种因素自动评估是否应将邮件视为垃圾电子邮件。 如果您使用的是 Exchange Server 2003,则可以使用其他垃圾邮件筛选技术。
要阻止可能是网页仿冒诈骗的浏览器弹出项,请安装一个弹出窗口阻止程序,例如 MSN Pop-up Guard 或 Windows XP Service Pack 2 附带的一个程序。
3. 对员工进行培训
即使是电子邮件欺诈专家,也很难区分出伪装良好的欺诈与可信电子邮件之间的差别。 因此,一定要提高警惕、采取预防措施并且进行培训,以防止员工和公司遭受网页仿冒。
首先要制定一个 Internet 使用政策,明确规定员工可以因个人用途浏览网络的时间并且详细说明他们从事公司禁止的 Web 活动的原因。 另外,还要告诉员工决不要在电子邮件、即时消息或弹出窗口中提供他们的个人信息。 绝大多数合法企业都不会使用这些方法来要求用户提供机密信息。
同样,也要告诉他们不要点击要求提供个人信息的电子邮件、即时消息或弹出窗口中的链接。 否则,这些链接可能会将您带到一个虚假站点,然后将您在其中输入的所有信息发送给诈骗高手。 建议那些不确定电子邮件是否真实的员工首先从报表或电话簿中查到该公司的电话号码,然后致电他们。 要访问网站,请键入地址或者使用“收藏夹”书签。
4. 检查网站是否会保护敏感数据
网页仿冒者可以伪造浏览器显示的 Web 地址。 只要怀疑某个站点的合法性,为了确保安全,请马上离开。
即使您确信站点是可信的,最好还是检查几个站点特征,然后再在网站上提供财务或个人数据。 例如,看看 Web 地址中是否有“https”(“s”表示“安全”)字样,而不能仅仅是“http”。 接着,看看任务栏中是否有一个未打开的小挂锁或一个完整的钥匙图标。这两个图标都是表示数据加密的符号,它们都是在敏感数据通过 Internet 的过程中提供保护作用的安全措施。
然后,凑近看看小挂锁。 双击它即可显示该站点的安全证书。 看看 Web 地址中的名称与安全证书中的名称是否相同,如果不同,表示您可能在一个虚假站点上。
©本站发布的所有内容,包括但不限于文字、图片、音频、视频、图表、标志、标识、广告、商标、商号、域名、软件、程序等,除特别标明外,均来源于网络或用户投稿,版权归原作者或原出处所有。我们致力于保护原作者版权,若涉及版权问题,请及时联系我们进行处理。