利用貌似某一公司或机构的电子邮件来窃取信用卡号码等个人信息来进行欺诈活动,由于是用花言巧语来“钓取(fishing)”用户,所以在英文中被称作是“phishing”。
例如,发送“这里是某某卡。祝贺你在抽奖活动中奖。为确认本人身份,请提供信用卡号码及有效使用期限”之类的电子邮件,要求对方提供个人信息。经常有人登录到假冒著名企业的网站上,将个人信息输入进去。
自去年以来,美国的网页仿冒受害事件剧增。美国政府在去年夏天发出了警告,表明受害情况已经非常严重。最近在日本也开始出现了受害报告。对事态感到担忧的日本经济产业省于7月7日在互联网上提醒用户注意。
企图进行网页仿冒的骗子(phisher)一般是将邮件的发件人地址(From栏)改为著名企业的名称,以此取得对方的信任。From栏是由邮件软件设定的,可以随意更改。其次是伪造一个输入信息的网页。在邮件中提供链接到假冒著名企业的网站,以此引诱邮件接收者。
一般情况下,这些phisher都是制作一个酷似著名企业网站的假冒网站来诱导用户。尽管如此,通过假冒网站的URL很容易就能发现要登录的地方与著名企业毫无关系。因此phisher们就变换各种手法来装扮成要假冒的对象。
经常采用的手法就是进入到诱导网页后,网页浏览器的地址栏不进行显示。这可以通过JavaScript很容易地做到。
还有的是突破网页浏览器安全漏洞,在浏览器地址栏内显示的并非实际登录网站的URL。由于在地址栏内显示假冒URL的安全漏洞不断被发现,使得这种骗局成为可能。过去还曾再现过这样的欺骗手段:最初发送的邮件采用HTML形式,画面上提供的链接显示的确实著名企业网站的URL,但实际上却被诱导到假冒网站。
采用貌似著名企业网页URL的手法意在利用人们的错觉。例如,将发件人地址伪装成“日经BP”,将链接设置为“http://www.nikeibp.co.jp/”,这与真正的URL“http://www.nikkeibp.co.jp/”只少了一个“k”、异常相似。
除此之外,还有很多网页仿冒手段,今后也很可能会出现利用人们心理错觉的新手法。因此,一定不要轻易相信你所看到的发件人名称与网页的外观,为免受其害,在使用互联网时一定要坚持“不点击可疑URL”、“不轻易输入个人信息”等原则。
|