目前,每一个在线的银行站点都把“反网络钓鱼技巧”作为他们站点的一项活动,来教给普通电脑用户如何对付那些想收集他们私人信息的讨厌的电子邮件。当这项教育活动刚刚有些起色的时候,这些技巧中的许多、甚至有些还是来自安全专家的建议,事实上是很可疑的、不正确的或者容易对用户产生误导的。本文揭穿了大多数的谣传。并且,在本文的后半部分,我们还给出了一些提示,可以帮助你识别正当的和冒牌的web站点。
陷阱1:安全的、加密的web页面是一个正当web站点的象征。
与常规的建议相反,决不要仅仅依靠“https//”前缀或者一个挂锁的图标就认为那是一个“安全”的页面。对于一个钓鱼站点来讲,拥有一个有效的SSL认证是完全可以做到的。你应该检查一下认证的详细信息,来查看一下对“用户名”字段的认证是否能够匹配该组织网站的主机名,但是这可能需要掌握一些专门的技术。
陷阱2:通过“输入授权的用户名”进行安全保护,单击这里进行认证。
你曾经看到过这个吗?知道吗,它们是没有用的。这个提示通常出现在splash窗口上,点击要求进行认证的链接并不能够保证你就能够连接到一个合法的web站点上。
陷阱3:地址栏总是显示正确的URL。
另一个有缺陷的建议就是说要查看地址栏,看是否是一个正确的URL。这并不足以确定一个web站点就是合法的。网络钓鱼者能够利用浏览器软件中的漏洞在地址栏中使用欺骗的信息。另一种类型的攻击(DNS欺骗)也能够欺骗你让你相信你所访问的是一个合法的web站点。
陷阱4:把鼠标移动到链接上你就会在状态栏上看到真实的URL。
状态栏的显示的文本很容易就可以改变的。事实上,它甚至比在地址栏进行欺骗更容易。
陷阱5:反钓鱼软件能够防止欺骗发生。
与防病毒软件类似,它对新的恶意代码是无能为力的,你的反钓鱼浏览器插件(通常是在互联网上可以免费下载的)是不能够发现所有的钓鱼企图的。相反的是,这样会在你的浏览器中增加软件(通常是可疑的软件)让你容易受到特定软件的攻击。
陷阱6:一封包含你个人信息的电子邮件合法的。
如果你收到一封来自银行的电子邮件,其中包含你的姓名和你的帐户信息(或者一部分信息),这可能就是一封进行欺骗的电子邮件。网络钓鱼者能够通过一些组织的公共数据库或者数据漏洞获得一些你的个人信息。
陷阱7:登录你曾经知道是合法的web站点就是安全的。
不,千万不要这样认为。网站的漏洞(称作Cross-Site Scripting漏洞)能够让一个老练的攻击者使用表单在公司的站点上进行重定向,把你重定向到攻击者的web站点上,一旦你点击了“Login”或者“Enter”按钮它就会捕捉到你的认证信息。