联合举办:省委宣传部、省委网信办、省总工会、团省委、省妇联、省教育厅、省工业和信息化厅、省公安厅、省卫生健康委、省广播电视局、省大数据局、
省国家保密局、省密码管理局、省国家安全厅、省通信管理局、中国人民银行山东省分行、国家计算机网络与信息安全管理中心山东分中心
协办单位:威海市委网信办
2024.09 山东·威海
故事案例类346号作品:网络“钓鱼”,“愿”者上钩
网络“钓鱼”,“愿”者上钩
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。近年来,网络安全领域面临着多种威胁,包括网络钓鱼攻击、勒索软件、分布式拒绝服务(DDoS)攻击、SQL注入等。这些攻击方式利用各种手段侵犯用户隐私、窃取个人信息、干扰正常网络服务,甚至导致数据丢失或系统瘫痪。今天我们就来讲讲“网络钓鱼”。
一、什么是网络钓鱼
网络钓鱼(Phishing),是“Fishing”和“Phone”的综合体,这个词汇的创造反映了网络钓鱼攻击的起源和手段。最初,黑客主要通过电话进行诈骗活动,因此用“Ph”来取代“F”,创造了“Phishing”这个词。它是指不法分子通过多种手段,试图引诱网民透漏重要信息的一种网络攻击方式。这些手段包括网站、语音、短信、邮件、WiFi等。
网络钓鱼是一种兴起于 1990 年代中期的攻击手法,最早的案例出现在1995年,有一群青少年决定利用美国线上 (AOL) 的聊天室功能来假冒 AOL 系统管理员,发给一些用户邮件,要求其回复“确认账号”及“核对账单信息”等内容。而有些用户不加怀疑地发送了自己的信息,并透露了账户密码。在获得了用户账户后,钓鱼者可以利用受害人的账户进行诈欺或者发送垃圾邮件。
二、网络钓鱼有哪些形式
网络钓鱼的主要形式包括:
欺骗性电子邮件:攻击者发送看似来自合法公司的电子邮件,引导收件人点击恶意链接或附件,进而进入伪造的网站或下载恶意软件。
伪造的网站:这些网站看起来与真实的官方网站非常相似,目的是为了收集用户的登录凭证和其他敏感信息。
短信(SMS)钓鱼:通过手机短信发送欺骗信息,诱导用户点击恶意链接。
语音钓鱼(Vishing):借助 IP 语音 (VoIP) 技术,诈骗者每天可以拨打数百万个自动钓鱼电话;他们经常使用来电显示欺骗来使他们的电话看起来像是来自合法组织或本地电话号码。电话钓鱼电话通常会通过信用卡处理问题、逾期付款或国税局麻烦等警告来吓唬收件人。响应的呼叫者最终会向网络犯罪分子的工作人员提供敏感数据;有些人甚至最终将计算机的远程控制权授予电话另一端的诈骗者。
二维码钓鱼:一种利用二维码作为媒介进行的网络诈骗行为。通过扫描二维码,用户可能会被重定向到一个伪装成合法网站的钓鱼页面,从而泄露个人信息或被诱导进行金融交易,最终导致资金损失或个人信息被窃取。
三、网络钓鱼小案例
下面我们来看一则关于“二维码钓鱼”的小故事:
办公室里,真真一如往常认真地处理着手中的工作,正在快下班时,真真收到了一封邮件送达提醒,打开后看见里面内容是这样写的:
发送时间:2024-7-30 16:29
主题:在职员工个人资料补充的通知
1、本月起各种补助不在以工资形式发放
2、根据人力资源和社会保障部《关于在职人员工资有关问题的通知》要求,公司将按规定对在职人员核定申报,公司和个人均需按照新的核定基数依法申请。
注:该通知上周已经送达各单位,仍有部分同事未完成登记,扫描二维码完成。
“诶?上周就发了啊,那我得抓紧时间了,别再耽误下个月的补助发放。”真真赶忙拿起手机扫描邮件中的二维码,在等待信息加载的过程中一个念头从真真脑海中一闪而过,这次人事部的邮箱,是不是和平时用的不大一样?不过真真没在多想,因为她的注意力全部被加载出来的界面吸引去了。
依照界面提示真真输入了姓名和身份证号,进入了下一步操作。要求输入银行卡号联系电话后系统提示对上述输入信息进行校验,校验完成后弹出人脸识别界面,识别成功后手机收到了验证码,输入验证码后不久,真真就收到了银行发来的转账成功信息,一头雾水的真真急忙打电话向人事部询问情况,却被告知人事部根本没有发送过此内容的邮件,真真这才意识到自己打开了不该打开的网站,立即向信息安全部门上报情况,请求专业人员的帮助。
在信息安全专家安安的帮助下,整个事件得以还原,真真收到的是钓鱼邮件,扫描二维码打开的网站也是仿冒的钓鱼网站,在输入银行卡账号和手机号码后通过校验后,黑客即通过后台发起转账信息,在真真完成人脸识别后,通过发送短信获取网银登录验证码,所有流程走完后即可进行转账操作。
"我当时该再多看一看的,我已经注意到这次人事部的邮箱和这个社保网站和往常不大一样了"真真懊恼不已,"安安,是不是我只要牢记正确的网址,就不会被坏人'钓鱼了'?"
"通常不会,但是也不能打包票,犯罪份子可能会使用其它的方法让您访问到的网站并非真实的网站。"
"比如说?"
"比如说您的电脑被黑客控制了的话,即使您输入了正确的网址,他们仍然会将您引向事先构建好的钓鱼网站,此外,犯罪分子也可能会控制您的网络连接,中途将您的访问进行拦截和重定向。"
"犯罪分子太可恶了,我有没有什么办法能从技术上识别出网站是不是我真正要访问的呢。"
"仔细查看浏览器的地址栏,通常https开头的会更安全一些,s是代表安全的意思,并且有绿色的网站证书,您可以点击查看证书,了解这是不是可信的网站。此外,不少网上交易类的网站都有一些多重身份验证的机制。永远不要大意,俗话说:道高一尺魔高一丈,狡猾的犯罪分子也会让钓鱼邮件启用https,并且购买或使用虚假的网站证书,他们也在不断突破安全认证机制,比如盗用您的身份证到银行或者移动运营商那里更换卡片或重置密码。"
“犯罪分子这不简直是无孔不入嘛,看样子我得在多个方面保护好信息安全”
“您的觉悟越来越高了,真为您感到高兴,我们也会向其他同事通报这件事情,防止事态进一步的恶化造成巨大损失”
“是的,打击网络犯罪分子,需要我们每个人的协同努力,我也会以我的亲身经历告知我身边的人,一旦点击不明链接,应立即断开网络连接,并且也应该立即报告信息安全团队,以寻求专业的帮助。”