什么是网络钓鱼

Share

|

钓鱼，也被称为分梳或牌子欺骗，有许多定义;我们要非常小心，我们如何界定来说，因为它是不断地发展。 而不是一个静态的定义，让我们看看在原始钓鱼的方法和看实践的积极演进及未来可能出现的进程。 现在，我们将确定原始的方法，因为该法送一本伪造的电子邮件（使用散装梅勒） ，以接受者，虚假酷似一个合法设立中，企图诈骗受援国变成泄露私人资料，如信用卡信用卡号或银行帐户passwords.the电子邮件，在大多数情况下，会告知用户访问一个网站，以填补在私人information.to得到您的信任，这个网站的设计看起来像工地的建立该骗子是冒充的。 当然，该网站是不是真的该幅土地的合法组织，而且会，然后进行窃取你的私人信息，为货币gain.thus字钓鱼显然是一个变异字捕鱼，这些骗子列出的"鱼钩"希望他们会得到少数"咬人" ，从他们的受害者。

钓鱼其实已约达10年以上，从美国在线公司（美国在线）早在1995.there分别节目（如aohell ）表示，自动化的过程中钓鱼，为的帐户和信用卡资料。 当时钓鱼是不会被用来作为许多电子邮件相比，互联网中继聊天（体育馆）或短信预警系统，即美国在线，采用诈骗者会模仿美国在线的管理员，并告诉受害人有一个计费问题，以及他们是否需要他们续约的信用卡和登录信息。 回来以后，因为个人电脑在家庭中结合互联网的使用是一个相当新的经验，这种方法被证明相当有效，但没有观察到由于人口多，因为钓鱼是今天。

突如其来的冲击，钓鱼对金融机构首先报道，在7月2003.according向伟大的垃圾邮件的档案，对象主要是电子商务的贷款，电子黄金，富国银行，美国花旗银行。 最引人注目的扭曲有关钓鱼的现象是，它介绍了一类新的攻击向量，这是忽略了，几乎在每一个金融机构的安全预算：人类element.all昂贵的防火墙， ssl证书， ips的规则，而补丁管理可能不停止开采在线相信，不仅损害了用户的机密资料，但已严重影响消费者的信心，关于电讯之间的一个营业机构，其客户。
从技术角度而言，大多数的反垃圾邮件和电子邮件安全专家们并不感到意外的影响，这一威胁，因为它一直都是有案可稽的，因为rfc 2821 （简单邮件传输协议或smtp的要求，征求意见;见www.faqs.org/ rfcs/rfc2821.html ） ，最新版本的rfc 821写于1982年。 第7.1的rfc ，名为"电子邮件安全性和欺骗性， "详细地描述了怎样的smtp邮件是天生没有安全感：

smtp的邮件是天生不安全，因为它是可行的，甚至相当普通用户所使用的谈判，直接与接收和转发的smtp服务器和创造的信息，会欺骗一个单纯受援国，以为他们是来自其他地方。 建设这样的信息，使"欺骗性"的行为不能被发现由一个专家是较为困难的，但还不够等，以得到一种威慑力量的人，有决心和知识化。 因此，作为知识的互联网邮件的增加，所以没有知识的smtp邮件本质上不能加以认证，或完整性检查规定，在运输水平。 真正的电子邮件安全性只是在于端到端的方法涉及的信息机构，如那些使用数字签名（见[ 14 ] ，例如国家标准[ 4 ]或s /默剧[ 31 ] ） 。

各种协议的扩展和配置选项，提供认证，在运输水平（例如，从一个smtp客户端，以一个smtp server ）的改善有所传统上述情况。 但是，除非他们是伴随着谨慎切换的责任，在一个精心设计的信托环境，但他们仍天生弱于月底抵制机制使用数字签名信息，而不是依赖于完整的交通运输系统。

努力使之更加用户很难订信封回传通道和header " ，从"田间点，以有效解决本国以外的其他基本上是错误的：他们挫败合法申请，其中邮件是发送一个用户代表另一个人，或在其中误差（或正常）的答复应针对一个特殊地址。 （系统提供便捷的途径，为用户改变这些领域的每一个消息的基础上，应尝试建立一所小学和永久信箱地址，为用户，使发件人等领域内的信息，数据，可以产生理智） 。

此规范不进一步解决认证问题，与相关的smtp以外的其他主张有用的功能没有被禁用在希望提供一些小幅度的保护，对一个无知的用户，他们正试图以伪造的邮件。

这个规范使得点的详细说明如何小事，它是欺骗nonexpert电子邮件收件人以为他们被送往一个合法的电子邮件。 smtp的目的是在1982年的时候，它的用意是为利用有限之间的"信赖"的用户。 2001年，在rfc 2821和smtp被公众使用的六年多来，缺乏安全是全部记录在案。

伪造的方法描述在rfc 2821年，第7.1节，是什么让钓鱼式攻击和垃圾邮件发送者利用送电子邮件给受助人。 它是重要的是要了解，这并不意味着钓鱼式攻击者有娴熟的理由钓鱼是在空前高，其实是由于该工具集的情况下，不是因为钓鱼式攻击者skill证明这一点，保安专家们已知的约

smtp的漏洞，自1982年以来，早在1995-1998年，主要攻击电子邮件被称为电子邮件轰炸，但是这是因为许多工具，如雪崩，失语，鬼邮件，可以免费available.these工具自动化的进程，以单击鼠标，绘制一个电子邮件帐号无用，在许多情况下，摧毁所有的可用性的邮件服务器，这是主办帐户攻击基本上进行了一个拒绝服务（ dos ）攻击对邮件帐户和邮件服务提供商因超载账目与无限量的电子邮件，这是达成一项过于速度加快。 由于工具可用，这些袭击并非uncommon.this相似类比的可能性免费使用的枪支。 如果购枪者不控制，特别是如果没有年龄限制，他们可以免费获得，我们可能会看到更多的与枪支有关的crimes.this类推适用于钓鱼今天，因为钓鱼只不过是另一种形式的垃圾邮件。 垃圾邮件，是不是正是一个独具特色的概念，并考虑很少想象力聘用，并容易攻击工具敞开大门，为犯罪分子利用著名的安全漏洞，为达到他们不可告人的机会，其中包括我们今天所看到的：垃圾邮件和网络钓鱼。

网上欺骗技巧更加多样化，在剥削，而且往往利用经公开提供校对的概念称为充分披露所提供的安全researchers.the http协议，是不是天生不安全的smtp一样，但也苦于缺乏标准化和异构使用的浏览器客户如firefox ， internet explorer浏览器和野生动物园。 我看是未必的http这就是问题所在，而是结合具体的漏洞发现，一些浏览器和服务器端的网站，让这些攻击，而且是一个误解灵活性的统一资源定位器（网址） ，以及他们的琐碎修改。 例如，为了共同的眼睛，网址www.southstrustbankonline.com在一个浏览器窗口，可轻易欺骗用户误以为它是实际southtrust等银行网站。 我们呼吁这些模糊领域或了望都domains.this不是一个http或网络浏览器开发;这是一个打击人类eye.this法旨在骗取用户不会看到额外s在链接（ southstrust ）而不是真正的网站网址， southtrustbankingonline.com 。