近日，澳大利亞電子郵件安全公司MailGuard對(duì)其用戶發(fā)出警告稱，發(fā)現(xiàn)了新型網(wǎng)絡(luò)釣魚手法。該方法直接利用HTML附件創(chuàng)建了虛假網(wǎng)站，以提高攻擊的成功率。此攻擊主要針對(duì)流媒體音樂服務(wù)平臺(tái)Spotify的用戶。

[[285551]]

據(jù)了解，在傳統(tǒng)網(wǎng)絡(luò)釣魚攻擊中，不法分子會(huì)引誘受害者點(diǎn)擊鏈接，以將其重定向至虛假網(wǎng)站，從而竊取用戶的登錄憑證。然而，用戶可通過檢測鏈接，以預(yù)防此類攻擊。

對(duì)此，黑客改進(jìn)了攻擊手法。攻擊者會(huì)模仿原始的Spotify布局，設(shè)計(jì)一個(gè)看似合法郵件，然后會(huì)向用戶發(fā)送偽造的付款失敗通知，通過郵件中的附件直接生成詐騙網(wǎng)站：此類釣魚郵件會(huì)帶有一個(gè)HTML附件，當(dāng)用戶打開該附件時(shí)，該附件的JavaScript會(huì)直接呈現(xiàn)多種賬戶登錄表單。當(dāng)用戶提交信息后，JavaScript會(huì)秘密將該數(shù)據(jù)提交到后臺(tái)的遠(yuǎn)程站點(diǎn)，以此竊取用戶支付卡數(shù)據(jù)。

盡管攻擊者盡力偽造了仿真的電子郵件，但它們?nèi)匀淮嬖谝恍┞┒?。通過快速瀏覽完整的發(fā)件人地址就會(huì)發(fā)現(xiàn)，發(fā)件人的電子郵件地址不是合法地址。同樣，其電子郵件正文中也存在許多格式錯(cuò)誤，這有助于幫助用戶發(fā)現(xiàn)消息的虛假性。

釣魚網(wǎng)站無處不在 怕中招怎么辦?

1. 核對(duì)網(wǎng)站域名。假冒網(wǎng)站一般和真實(shí)網(wǎng)站有細(xì)微區(qū)別，有疑問時(shí)要仔細(xì)辨別其不同之處，比如在域名方面，假冒網(wǎng)站通常將英文字母I替換為數(shù)字1，CCTV被換成CCYV或者CCTV-VIP這樣的仿造域名。

2. 比較網(wǎng)站內(nèi)容。假冒網(wǎng)站上的字體樣式不一致，假冒網(wǎng)站上大多存在死鏈接，用戶可點(diǎn)擊欄目或圖片中的各個(gè)鏈接看是否能打開。

3. 查看安全證書。目前大型的電子商務(wù)網(wǎng)站在交易頁面都應(yīng)用了安全傳輸技術(shù)，交易頁面的網(wǎng)址都是“https”打頭的，如果發(fā)現(xiàn)不是“https”開頭，應(yīng)謹(jǐn)慎對(duì)待。

同時(shí)，有些釣魚網(wǎng)站會(huì)使用自簽名證書，蒙騙網(wǎng)民。建議大家查看證書詳情，看是否為可信的CA機(jī)構(gòu)頒發(fā)的安全證書，如：Symantec，DigiCert，globalsign、數(shù)安時(shí)代等。如果不是正規(guī)CA機(jī)構(gòu)頒發(fā)的安全證書，應(yīng)加強(qiáng)警惕;

以上方法中，最后一種應(yīng)該是最簡單最有效的了，網(wǎng)民可以通過這種方法來識(shí)別假冒釣魚網(wǎng)站。

如今，數(shù)據(jù)正成為數(shù)字化世界中的強(qiáng)大經(jīng)濟(jì)引擎。這時(shí)如何確保數(shù)據(jù)保護(hù)和數(shù)據(jù)安全，尤其涉及到敏感的隱私信息，都是擺在我們面前的重要挑戰(zhàn)?？梢哉f，一旦做好了個(gè)人數(shù)據(jù)的防護(hù)，不僅能夠有效避免數(shù)據(jù)泄露的危害，還能夠大幅消除用戶對(duì)于個(gè)人隱私泄露的疑慮。