「網絡釣魚」出現新方式
美國一家安全機構SurfControl警告說,一種假冒的自我簽名數字認證可能被利用來成為「網絡釣魚」的新的欺騙方式。
這種新的釣魚方式最初也是以垃圾郵件的方式發送給用戶,要求用戶點擊郵件中的鏈接來更新用戶自己的金融帳戶。
當用戶真的點擊這個鏈接時,就會彈出一個模仿真實站點的假冒站點,要求用戶輸入自己的用戶名和密碼來認證信息。
由於釣魚站點也使用HTTPS協議,因此瀏覽器會認為這是一個安全站點。此外,這個釣魚站點會提供自我簽名的SSL數字認證。而正是這一點,會誤導絕大多數用戶。
自我簽名,實際上就是自己授權自己某種認證的權威性。許多企業會使用自我簽名來保護公司內部的文檔安全。
當瀏覽器遇到一個簽名的安全站點時,它會檢查證書的有效性,並會彈出提示窗口,其中包括自我簽名認證。但是相當多的用戶通常不會仔細查看窗口內容,自然不可能知道這個網站是一個擁有自我認證證書的釣魚類站點。
該機構專家建議:
1、請仔細查看瀏覽器的提醒內容,當發現含有「自我簽名數字認證」時,請務必小心。
2、將IE瀏覽器的安全級別設置到「高級」。
3、在IE地址欄中輸入網站地址,而不要直接在電子郵件中點擊網站鏈接。
|