歡迎訪問大連經濟技術開發區金石灘紙杯電競傳媒工作室網站(zhàn)!
網絡營銷

首 頁 > 傳媒學苑 > 網絡營銷

網站(zhàn)注冊與密碼提醒被利用(yòng) 詐騙趨于專門(mén)化

編輯:FxMedia 時(shí)間:05-05-30閱讀:

5月27日國際報(bào)道(dào)爲了(le)更好(hǎo)的實施他(tā)們的攻擊,垃圾郵件發送者與網絡騙子越來(lái)越多的了(le)解受害人的個人情況了(le)。

藍色安全公司本周公布報(bào)告稱,那些(xiē)使用(yòng)了(le)電子郵件作(zuò)爲密碼找回以及注冊申請(qǐng)選項的網站(zhàn)正在被網絡騙子們所利用(yòng),騙子用(yòng)這(zhè)種機制去了(le)解用(yòng)戶的詳細背景情況。


報(bào)告稱,垃圾郵件發送者與網上(shàng)騙子通過網站(zhàn)注冊以及密碼提醒工(gōng)具自(zì)動發送成千上(shàng)萬的電子郵件地址。原因是,許多網站(zhàn)在收到(dào)用(yòng)戶注冊的電子郵件地址時(shí),會(huì)發送一封确認信,攻擊者能(néng)夠了(le)解一個地址是否對(duì)應一個真實的用(yòng)戶。


通過從(cóng)一系列的網站(zhàn)收集到(dào)的信息,騙子們能(néng)夠對(duì)收信人制定專門(mén)的欺詐電子郵件。這(zhè)就增加了(le)用(yòng)戶将欺詐信同有用(yòng)信件區(qū)别開(kāi)來(lái)的難度。并且,專家們還表示,專門(mén)定制的郵件很(hěn)不容易被垃圾郵件過濾器捕獲。


反釣魚式攻擊工(gōng)作(zuò)組織的主席Dave Jevans說:“釣魚式攻擊最近明(míng)顯開(kāi)始變得個人化了(le),它們具有很(hěn)強的針對(duì)性。”Jevans認爲,包含有收信人的姓名或者電子郵件地址的信息都是漏洞的根源。


釣魚式攻擊(Phishing)是一種典型的網絡欺詐方式,它主要想偷取敏感信息,比如用(yòng)戶名,密碼以及信用(yòng)卡号碼等等。然後,小(xiǎo)偷會(huì)将這(zhè)些(xiē)信息出售,或者直接假冒别人的身份進行犯罪。常見的釣魚式攻擊的手段包括發送垃圾郵件,制作(zuò)貌似正規的虛假網頁等等。


網上(shàng)騙子通常都有自(zì)己的一個電子郵件列表,這(zhè)些(xiē)地址可能(néng)是自(zì)己捏造的,也(yě)可能(néng)是購買到(dào)的或者利用(yòng)工(gōng)具從(cóng)網上(shàng)收集而來(lái)的。


利用(yòng)注冊或者密碼提醒機制進行攻擊的關鍵在于獲得回應。許多網站(zhàn)在一個電子郵件地址被注冊的時(shí)候,會(huì)向用(yòng)戶發送這(zhè)樣的訊息:本地址已經被注冊。如果攻擊者填送的地址獲得了(le)這(zhè)樣的的回應,那麽他(tā)們就知(zhī)道(dào)這(zhè)個地址是真實有效的郵件地址。


利用(yòng)這(zhè)種原理(lǐ),網絡罪犯能(néng)夠了(le)解用(yòng)戶的性别,性傾向,政治立場,地理(lǐ)位置,愛好(hǎo),以及在網上(shàng)商店(diàn)使用(yòng)的電子郵件地址等等。


藍色安全公司的首席執行官Eran Reshef說:“想象一下(xià),有人清楚所有你(nǐ)曾經注冊過的網站(zhàn),想象一下(xià)有人能(néng)夠從(cóng)這(zhè)些(xiē)機制中發現(xiàn)你(nǐ)的個人信息。所有這(zhè)些(xiē)信息能(néng)夠勾畫(huà)出個人的詳細背景資料。”


這(zhè)樣一來(lái),攻擊者得手的機率會(huì)大(dà)大(dà)的增加,原因是欺詐信中的語句會(huì)包含很(hěn)多精确的信息,使得它看(kàn)上(shàng)去是一封正常的郵件。比如,一封自(zì)稱來(lái)自(zì)銀行或者信用(yòng)卡公司的電子郵件中可能(néng)出現(xiàn)用(yòng)戶曾經消費過的網絡商店(diàn)名字。


藍色安全公司已經發現(xiàn),絕大(dà)多數美(měi)國受歡迎的網站(zhàn)允許釣魚式攻擊者,垃圾郵件發送者進行這(zhè)樣的 “惡意信息探詢”活動。另外(wài),很(hěn)多小(xiǎo)網站(zhàn),包括網上(shàng)商店(diàn),球隊的網站(zhàn),組織組織等團體的網站(zhàn)都存在這(zhè)樣的漏洞。


但(dàn)是,藍色安全公司的報(bào)告也(yě)發現(xiàn),這(zhè)樣的“惡意信息探詢”活動還沒有蔓延開(kāi)來(lái)。


有些(xiē)網站(zhàn),比如大(dà)銀行的網站(zhàn)對(duì)這(zhè)個問題明(míng)顯的比較重視(shì)。這(zhè)些(xiē)網站(zhàn)不允許人們用(yòng)電子郵件作(zuò)爲他(tā)們的登陸名。這(zhè)些(xiē)網站(zhàn)還要求用(yòng)戶提供另外(wài)的注冊信息,或者使用(yòng)企業的安全檢測手段。


eBay也(yě)不允許注冊與密碼提醒式攻擊。在釣魚式攻擊泛濫之前,eBay已經停止使用(yòng)電子郵件作(zuò)爲用(yòng)戶的登陸身份。


惡意信息探詢讓釣魚式攻擊變得更有針對(duì)性。本月初,安全人員報(bào)告說,有人竊取了(le)消費者的數據,然後用(yòng)這(zhè)些(xiē)信息抹掉了(le)受害人的銀行帳戶。


反釣魚式攻擊工(gōng)作(zuò)組的Jevans表示,藍色安全公司的報(bào)告表明(míng),一種新的釣魚式攻擊手段正在形成,他(tā)認爲,網絡組織應該采取措施,消滅注冊與密碼提醒式漏洞攻擊。 


相關标簽: