blue 於 週一, 04/02/2007 - 13:18 發表

去年10月Mozilla和Microsoft相繼發表新的瀏覽器版本,並提供已知的黑名單來封鎖對釣魚網站的存取,但是釣魚網站成長的速度實在是太快,遠超過他們所能處理,在這場交手中,邪惡的一方似乎是取得上風,利用黑名單的技術來對付釣魚網站看來未有太大的成效。

根據RSA的調查,有駭客開始販售釣魚網站的工具組,可以讓有心人士不必花費太多的力氣便能很快的建置出一個和真實網站一模一樣的假造網站,並且在受害者輸入帳號及密碼後能將其轉至真正的網站,但是帳號及密碼等資料已被複製到犯罪者手中
根據研究機構Gartner的統計,2006年有350萬美國人將個人的敏感資料拱手送給網路釣魚者,較2005年多了84%,並且造成28億美金的財務損失,其中一個叫做「Rock Phish」的組織就詐騙超過1億美金。

智慧型行為模式掃瞄(Heuristic Scanning)藉由分析網站行為和釣魚網站慣用的技術,或許有助於扭轉劣勢。而一項名為EV SSL(Extended Validation Secure Sockets Layer)的網站認證標準,或許也有助於對付釣魚網站,要取得認證,網站必須經由第三公證單位如VeriSign或Entrust確認為合法,並且會在瀏覽器的網址列以綠色呈現。但是正所謂「道高一尺,魔高一丈」,網路釣魚者絕不會因此而放棄如此龐大的利益,勢必會找出破解之道。

雖然沒有一個萬全之策能夠杜絕釣魚網站,但仍有一個簡單的方法能夠保護自己免於大部份的釣魚網站威脅,就是不要直接點選E-mail或第三方網站所提供的連結,多加利用自己在「我的最愛」所設定的書籤,或是花點時間自己輸入網址,都能使自己更安全一點。

文章來源:http://www.isecutech.com.tw

 

黑手仔碎碎念:上面講的EV SSL網站認證標準,就是這一篇 Comodo VerificationEngine 免費網站安全驗證軟體

創作者介紹

電腦黑手仔

labors3cweb 發表在 痞客邦 PIXNET 留言(0) 人氣()