辨別反釣技巧的有效性

[psac]

辨別反釣技巧的有效性

反網路釣魚技巧的假面具

　　目前，每一個在線的銀行站點都把「反網路釣魚技巧」作為他們站點的一項活動，來教給普通電腦用戶如何對付那些想收集他們私人訊息的討厭的電子郵件。當這項教育活動剛剛有些起色的時候，這些技巧中的許多、甚至有些還是來自安全專家的建議，事實上是很可疑的、不正確的或者容易對用戶產生誤導的。本文揭穿了大多數的謠傳。並且，在本文的後半部分，我們還指出了一些提示，可以說明 你識別正當的和冒牌的web站點。

　　陷阱1：安全的、加密的web頁面是一個正當web站點的象徵。

　　與一般的建議相反，決不要僅僅依靠「https//」前綴或者一個掛鎖的圖示就認為那是一個「安全」的頁面。對於一個釣魚站點來講，擁有一個有效的SSL認證是完全可以做到的。你應該檢查一下認證的詳細資料，來檢視一下對「用戶名」字段的認證是否能夠匹配該群組織網站的主機名，但是這可能需要掌握一些專門的技術。

　　陷阱2：通過「輸入使用權的用戶名」進行安全保護，按下這裡進行認證。

　　你曾經看到過這個嗎？知道嗎，它們是沒有用的。這個提示通常出現在splash視窗上，點擊要求進行認證的連接並不能夠保證你就能夠連線到一個合法的web站點上。

　　陷阱3：位址欄總是顯示正確的URL。

　　另一個有缺陷的建議就是說要檢視位址欄，看是否是一個正確的URL。這並不足以確定一個web站點就是合法的。網路釣魚者能夠利用瀏覽器軟體中的漏洞在位址欄中使用欺騙的訊息。另一種檔案類型的攻擊（DNS欺騙）也能夠欺騙你讓你相信你所訪問的是一個合法的web站點。

　　陷阱4：把滑鼠移動到連接上你就會在狀態列上看到真實的URL。

　　狀態列的顯示的文本很容易就可以改變的。事實上，它甚至比在位址欄進行欺騙更容易。

　　陷阱5：反釣魚軟體能夠防止欺騙發生。

　　與防病毒軟體類似，它對新的惡意程式碼是無能為力的，你的反釣魚瀏覽器插件（通常是在網際網路上可以免費下載的）是不能夠發現所有的釣魚企圖的。相反的是，這樣會在你的瀏覽器中增加軟體（通常是可疑的軟體）讓你容易受到特定軟體的攻擊。

　　陷阱6：一封包含你個人訊息的電子郵件合法的。

　　如果你收到一封來自銀行的電子郵件，其中包含你的姓名和你的帳戶訊息（或者一部分訊息），這可能就是一封進行欺騙的電子郵件。網路釣魚者能夠通過一些組織的公共資料庫或者資料漏洞獲得一些你的個人訊息。

　　陷阱7：登入你曾經知道是合法的web站點就是安全的。

　　不，千萬不要這樣認為。網站的漏洞（稱作Cross-Site Scripting漏洞）能夠讓一個老練的攻擊者使用表單在公司的站點上進行重轉發IP，把你重轉發IP到攻擊者的web站點上，一旦你點擊了「Login」或者「Enter」按鈕它就會捕捉到你的認證訊息。

　　閱讀下面的建議能夠防止這樣的事情發生。

　　你應該怎麼做才能夠避免被欺騙：

　　提示1：不要點擊你的電子郵件中的連接。

　　如果你收到了一封銀行的郵件向你詢問一些事情，不要點擊電子郵件中的連接，也不要使用電子郵件中的表單進行登入。取而代之的是，開啟你的瀏覽器，直接開啟該銀行的web頁面，在那裡進行登入，然後再做你要做的事情。即使這封郵件來自你知道的某人，也不要點擊這個連接。

　　提示2：無效的認證訊息通常在假扮的web站點上起作用。

　　如果你感覺到一個站點有些可疑，就使用虛構的用戶名和密碼進行登入。如果這個站點出現「登入失敗」的頁面，只能說明你可能是在一個合法的站點上。它不可能總是使用模擬的登入失敗來仔細檢查用戶的輸入的，在收集了認證訊息後它就會重轉發IP到合法的站點上了。如果你用虛構的認證訊息通過了認證，那很顯然，這是一個釣魚陷阱了。

　　提示3：使用電子郵件向你懷疑的公司報告訊息。

　　大多數財政機關都設立專門的電子郵信箱來接收安全問題報告。如果你懷疑一個消息有釣魚企圖，就把這個消息轉發給那個機關。你應該包含完整的電子郵件標題部訊息。不要期望得到它們的回覆，因為他們收到了數以千計這樣的報告。