十大最易上鉤的網絡釣魚題材
責編:penggao |2015-07-08 18:19:47“不下載肯定后悔 復仇者聯盟2高清種子泄露”,“ 喝醉酒女孩在街上的瘋狂舉動”……這些標題看起來充滿誘惑力,卻很有可能是網絡釣魚者騙取網民個人隱私、進行網絡詐騙的“誘餌”。趨勢科技最近總結了十種最容易誘使網民上鉤的釣魚網站題材,其中,熱門影視、隱私窺探、工作郵件位列前三。趨勢科技提醒網民,在數字生活中務必要關注這些高風險的陷阱,并采用查看真實來源、安裝信息安全軟件等組合方式來進行防范。
這些網絡釣魚行為不僅僅會導致個人信息及錢財被竊取,還有可能導致更嚴重的損失。在美國遭遇的史上最大宗聯邦雇員個人信息被黑案件中,事件起因就是黑客將病毒郵件偽裝成同事間郵件,誘使收件人點擊,導致400萬筆個人信息遭竊;無獨有偶,由于員工誤點擊有毒郵件,導致日本國民年金機構125萬筆個人信息外泄!
所以,找到不法分子慣用的網絡釣魚題材,并進行重點防范。趨勢科技經過對眾多網絡釣魚事件的統計,找出了以下十種最容易上鉤的網絡釣魚題材:
1、熱門影視
熱門影視是最受歡迎的釣魚網站題材,因為他們不僅用戶量巨大,而且還很容易通過題材包裝來激發網民的強烈興趣。例如,在電視劇《武媚娘傳奇》熱播期間,就有不法分子利用了古裝美女剪胸這一熱議話題,以“武媚娘傳奇有胸版”為幌子來傳播釣魚網站。網民一旦點擊,不僅可能感染病毒,還有可能跌入網絡釣魚陷阱。
【以“武媚娘傳奇有胸版”為幌子來傳播釣魚網站】
2、隱私窺探
好奇是人類的本性,這一弱點正在被不法分子利用并放大。“喝醉酒女孩在街上的瘋狂舉動”,“***明星不雅視頻流出”…….盡管很多網民知道此類的鏈接存在著高度的風險,但會被好奇心驅使去點擊這些鏈接。而且,該類題材還很有可能成為APT攻擊的跳板,在2013年,就有上千名企業職工因為點擊“李宗瑞影片”,導致公司遭遇APT攻擊,大量機密數據被泄露。
3、工作郵件
人事部門收到工作簡歷、員工滿意度調查、工資單……這些都是不法分子慣用的釣魚題材。根據趨勢科技統計,一般員工平均每個工作日會收到100封電子郵件,相當于我們每天有100次掉進黑客陷阱的風險。而且,不法分子的手法日益高明,他們不僅會假冒發件人、郵件主題,連收件人的稱呼都沒弄錯,犯罪手法的精準度令人不寒而栗。
【假冒辦公日歷的釣魚郵件】
其它容易被網絡釣魚者利用的題材還包括其他七類:
- “銀行手續費取消”等全民關心度高的的社會事件
- 仿造官方身份,利用恐懼心理來恐嚇網民
- 利用有些網民貪小便宜的心理,散播假的抽獎或優惠網站
- iPhone、Win10等關注度高的新產品或服務
- 與知名人士相關的話題
- 軟件或是網站的新功能
- 熱門新聞事件
趨勢科技中國區技術總監蔡昇欽指出:“在這些容易被網絡釣魚者利用的題材中,存在的一個共同點就是利用網民的獵奇、恐懼、貪小便宜等心理動機,引起網民的關注并點擊。由于不法分子利用了社會工程學原理,善于抓住網民的心理漏洞,因此屢屢得逞,這也驗證了’人是最大的網絡安全漏洞’這一結論。”
要防范網絡釣魚,需要認識到網絡中存在的巨大安全風險,在點擊不明鏈接時,應該利用趨勢科技 PC-cillin 2015云安全版等信息安全軟件來判斷鏈接的安全性。PC-cillin云安全軟件是業界首家同時支持Windows、Mac、Android、iOS平臺的安全軟件,且獨家具備領先的云安全技術,可以主動防范個人設備遭受惡意程序感染,并以顯著提示標注釣魚網站。
對于那些無法通過信息安全軟件判斷真實性的鏈接,趨勢科技建議網民采取以下幾種方法來進行判斷:
1.點擊鏈接前,先檢查真實來源
大部分網絡釣魚信息都希望讓人進入會收集個人資料的惡意網站。現在這些電子郵件或其它形式都是用HTML格式,所以可能會讓你在不知不覺下鏈接到惡意網站。將鼠標箭頭停在這些鏈接上,你可以在左下方瀏覽器狀態列上看到他們的實際網址,如果實際網址與宣稱的網址不符合,就需要警惕該鏈接的真實性了。
2.收到要求提供個人信息的電子郵件要小心,即使郵件中有該公司的商標
如果你收到一封要求你提供任何個人資料的郵件,那么它是詐騙郵件的可能性很大(即使里面有該公司的圖示和標識)。大多數公司會要求你直接登錄網站來提供信息,如果你收到這樣一封電子郵件,那最好直接聯系該公司以確認真偽。而且不要使用電子郵件內的聯系人信息,而是應該訪問公司官方網站與他們聯系。
3.小心那些威脅要錢的電子郵件或其它信息
不要被那些威脅你交錢的郵件,或是試圖說服你去捐錢給從未聽過的慈善事業所迷惑。如果你真的擔心這威脅是否真實或這慈善單位是否合法,請聯絡該單位以驗證其合法性。
4.檢查郵件內是否有拼寫錯誤和語法錯誤
有信譽的公司不會希望看起來不專業,所以當你收到寫得錯字連篇或是不通順的郵件時,該郵件有可能是假的。處理這類郵件的正確方法是不要點任何鏈接,而是直接登錄該郵件聲稱來源的公司網站,這時候你就可以查證這封偽造電子郵件是否偽造了。