「網絡釣魚」出現新方式

[psac]

美國一家安全機構SurfControl警告說，一種假冒的自我簽名數字認證可能被利用來成為「網絡釣魚」的新的欺騙方式。

這種新的釣魚方式最初也是以垃圾郵件的方式發送給用戶，要求用戶點擊郵件中的鏈接來更新用戶自己的金融帳戶。

當用戶真的點擊這個鏈接時，就會彈出一個模仿真實站點的假冒站點，要求用戶輸入自己的用戶名和密碼來認證信息。

由於釣魚站點也使用HTTPS協議，因此瀏覽器會認為這是一個安全站點。此外，這個釣魚站點會提供自我簽名的SSL數字認證。而正是這一點，會誤導絕大多數用戶。

自我簽名，實際上就是自己授權自己某種認證的權威性。許多企業會使用自我簽名來保護公司內部的文檔安全。

當瀏覽器遇到一個簽名的安全站點時，它會檢查證書的有效性，並會彈出提示窗口，其中包括自我簽名認證。但是相當多的用戶通常不會仔細查看窗口內容，自然不可能知道這個網站是一個擁有自我認證證書的釣魚類站點。

該機構專家建議：

1、請仔細查看瀏覽器的提醒內容，當發現含有「自我簽名數字認證」時，請務必小心。

2、將IE瀏覽器的安全級別設置到「高級」。

3、在IE地址欄中輸入網站地址，而不要直接在電子郵件中點擊網站鏈接。