Tag Archives: 安全

小心”网络钓鱼”邮件

今天打开 Gmail ,收到一封标题显示来自 eBay 的邮件[立此存照],要我更新的帐户信息,我在 eBay 的国际站没有帐户的,毫无疑问这是一封”钓鱼(Phishing)邮件”。Gmail 也给出了相关的警告。提醒我地址可能是伪造的。这还是我用 Gmail 第一次收到类似的”钓鱼邮件”。前不久,公司的邮件也收到一封”钓鱼”的邮件,伪造成公司的安全技术人员发出,要大家更改密码。虽然很逼真,但是稍加留意,还是能看出来那个 URL 其实是一幅图片。
随着这一两年国内电子商务如火如荼的展开,”网络钓客”们也活跃了起来,几乎是无孔不入。
什么是网络钓鱼(Phishing)? 根据 Anti-Phishing Working Group 的定义,网络钓鱼攻击者把社会工程技术手段兼而用之,偷取消费者个人身份信息和财务帐户信息。
如何有效的防范呢 ?
1. 提高安全意识,不要随意点击邮件中的一些不明的 URL ,尽量不要在公用电脑上进行安全性要求比较高的操作。苍蝇不叮无缝的蛋:前一段公司厕所内居然贴了一幅宣传文章,说的就是这个事情。还真的能在人”聚精会神”的时候给以警醒 :)
2. 选用高可靠的的邮件服务。如我用的 Gmail 和 Outlook 都可以给出足以令用户注意的警告信息。而国内的一些免费邮件提供商似乎没有这样的服务。如果申请 支付宝 这样的电子支付工具帐户,还是尽量用可靠的邮件服务。
3. 可以考虑安装一些具有防”网络钓鱼”功能的工具条。找到的一些(不够完全):

  • Yahoo! 助手,能够自动识别”钓鱼”网站,这是国内的第一款具备此功能的工具条。
  • NetCraft 工具条 这是业界第一款专门防”钓鱼”的工具条。也支持 Firefox.
  • 微软工具条插件
  • EarthLink Toolbar 在国内名不见经传.

这些工具大部分都是针对 IE 浏览器的。小声的说,Firefox 曾经发现过一个钓鱼漏洞。其实,浏览器安全上,Firefox 也不是那么完美的。


更新:2009 年3月,支付宝携手雅虎推出电子邮件信任计划,相信从第一程度上能有效阻止钓鱼邮件的泛滥。

《杜鹃蛋》(The Cuckoo’s Egg)

这两天在阅读 Practical Unix & Internet Security 这本经典之作(简介)。在该书的第二十二章 Discovering a Break-in 第二节中提到了这样一段:

See Cliff Stoll‘s The Cuckoo’s Egg (Pocket Books) for the tale of how such a discrepancy led to his discovery of an attacker’s activities.

继续阅读