进入2023年,网络钓鱼仍然像往年一样活跃在互联网的各个角落,而且变得越发诡计多端。虽然有包括安装SSL证书、电子邮件证书等方法可以保护我们免受网络钓鱼攻击,但更有效的方法是能够及时识破它们。有鉴于此,本文整理了几种常见的网络钓鱼类型及其应对方法,帮助你识别钓鱼攻击,保护个人信息和财产安全。
域名欺骗
域名欺骗是一种最常见的网络钓鱼形式,攻击者使用与企业非常相近的域名来仿冒企业本身或企业员工进行欺诈。通常攻击者会注册一个与企业域名非常相似的域名,并搭建一个欺诈网站,欺诈网站会使用企业商标或视觉设计风格来进行仿冒。
应对方法:对于不确定的网站,应第一时间查验网站SSL证书,检查该网站的域名是否与证书中的域名一致,同时检查SSL证书是否由受信任信任的根证书机构颁发。
WiFi网络钓鱼
攻击者伪装公众场所常用的WiFi热点,诱导受害者连接使用公共WiFi,接管受害者网络,窃取网络流量数据,捕获受害者手机号、用户账号等相关信息后实施攻击或欺诈。
应对方法:谨防不需要认证的无线WiFi。公共无线WiFi分两种,第一种是店家设置的,需要向店家询问密码,第二种是商场提供的,需要进行网页二次认证。如果一个无线WiFi不需要密码也不需要认证,那么要小心了。如果你连接了公共无线WiFi,一定要杜绝和钱财有关的一切操作,尤其是输入密码这种行为。
DNS劫持
通过入侵DNS服务器的方式,将受害者导引到伪造的网站上,因此又被称为DNS服务器投毒(DNSPoisoning)。攻击者通过攻击DNS服务器,将流量重定向到钓鱼网站。一旦受害者访问这个假冒网站并进行用户照常登录,不知不觉就泄漏了个人敏感信息。
应对方法:及时部署SSL证书。SSL证书具备服务器身份认证功能,可以使DNS劫持导致的连接错误情况及时被发现和终止,同时HTTPS协议可以在数据传输中对数据进行加密传输,保护数据不被窃取和修改。
未知号码打来的电话
如果你接到一个未知号码打来的电话,而打电话的人声称来自你熟知的银行或其他机构,要非常小心,这是一种典型的网络钓鱼策略。打电话的人会通过让你输入密码、接受验证码等方式获取你的个人账户信息,非法挪用你的资金甚至注销你的账户。
应对方法:如果有陌生号码打电话给你,不要透露任何个人信息,挂断电话,使用你知道正规的号码打给陌生人声称的那家组织。
非个性化邮件
如果你收到的电子邮件没有尊称你的大名,或者只是称呼你为“尊敬的用户”或“尊敬的客户”,就要警惕了。网络钓鱼邮件常常使用通用的问候语,这是由大规模自动化钓鱼活动批量发出的,他们的目的是诱导用户点击邮件中的链接。
应对方法:不要点击不明链接,直接删除邮件,同时企业应及时部署电子邮件证书,通过HTTPS安全通道帮助企业阻挡诈骗、钓鱼和勒索病毒的攻击,确保用户Web邮件收发过程中的信息安全。
综上可知,在应对网络钓鱼攻击方面,为网站、电子邮件系统部署SSL证书实现HTTPS加密是较为有效的解决方案,通过SSL证书可以确认网站和电子邮件发送者的真实身份,避免用户点击假冒网站和不明链接而上当受骗。
在没有万无一失的方法可以避免网络钓鱼诈骗或恶意攻击的情况下,部署SSL证书可以尽量降低网络钓鱼攻击带来的风险,帮助用户实现放心浏览,安全交易。
