概念3:網路瀏覽要小心,避免瀏覽器綁架與木馬上身

我們都知道上網不能隨便點選連結下載檔案,但是,可能比較少人知道,就算你只是隨意點入某個網站,隨意觀賞網頁內容,都有可能因此惹禍上身,這就是一種惡意網站的攻擊方式。

一般來說,惡意網站就是利用瀏覽器本身的安全漏洞,在網頁中嵌入代碼,進而破壞或惡意修改使用者瀏覽器設定的網站,此外通常還有幾個特性,比較明顯的有強制安裝特殊軟體,或者跳出不知名的瀏覽器擴充插件安裝通知,無預警彈出廣告頁,甚至最常見的就是綁架瀏覽器的首頁設定,這類情況最容易發生在市佔率最高的瀏覽器IE上。

5大防毒防駭重要須知,新手必學靠自己、老手複習做好人

▲到可信任的網站下載瀏覽器Plugin:為了避免安裝惡意軟體,最好只在官方軟體商店內下載裝Plugin。

另一個更難以預防的惡意網站攻擊,就是直接將惡意連結或木馬程式,嵌入網頁代碼、圖片、Flash中,進行主動攻擊,只要一登入或點選圖片就會受到感染,又被稱為掛馬網頁,這種利用漏洞的偷渡式下載,是相當普及且難以預防的。因此除了安裝防毒軟體之外,使用者最好還是定期更新瀏覽器,不要某個版本好用就一直用個好幾年,安全漏洞不補起來的話,上網是一個相當危險的行為。

5大防毒防駭重要須知,新手必學靠自己、老手複習做好人

▲保持瀏覽器最新版本:瀏覽器每一次更新除了新增功能,也會修補漏洞。

概念4:網路釣魚加社交工程,漸成主流資安漏洞

網路釣魚(phishing)是一種利用電腦技術,以取得個人資料,如電子郵件帳號、密碼、信用卡資料為目的的手法,通常是藉由偽造Email或金融機構與購物網站,而讓使用者誤上。一開始的網路釣魚,是假借某些知名公司機構的名義,發送資料維護或中獎通知的Email給受害人,要求登入假公司網站,也就是釣魚網站(phishing site),確認或修改個人資料資料,盜取帳號、密碼與個人資料。

這些釣魚網站常常都跟真網頁幾可亂真,通常都能偽造出與真網頁樣式、顏色上非常相近,例如掛上一樣的logo、使用同樣的漸層色彩,甚至連網址都模仿,差別可能只在多一個或少一個英文字母、英文字母l跟數字1的微小差異等。此外,為了取信於人,有些釣魚網站甚至會向搜尋引擎購買相關關鍵字,將網站列在搜尋結果的前端,不小心點擊後就會遭到詐騙,國內知名網站Yahoo!奇摩拍賣、國外的eBay、Paypal都是最常被釣魚網站模仿的對象。

5大防毒防駭重要須知,新手必學靠自己、老手複習做好人

▲設定安全圖章:釣魚網站猖獗,容易被模仿的網站也推出防範措施,如Yahoo!奇摩拍賣推出安全圖章,有顯示自己設定圖片的,才是正牌網站。

即時通訊網路詐騙

傳統的網路釣魚之後更加上社交工程的原理,延伸到即時通訊軟體釣魚,這種形式與傳統透過Email的方式很相近,但是將傳遞詐騙資訊的媒介,從現在一般人一看即過的Email,改成信任度較高的即時通訊軟體,如MSN、Skype或Yahoo!奇摩即時通,也就是算準了一般人對於Email上的資訊多半不會盡信,但若是由即時通訊軟體上的朋友,丟給你一段連結或資訊,則多數人當下都不會懷疑,成功機率比Email大大增加。甚至連我們編輯也曾經受害

5大防毒防駭重要須知,新手必學靠自己、老手複習做好人

▲騙取MSN帳號、密碼:即時通訊網路釣魚目前最為熱門,一不小心就被假網站騙取帳號跟密碼。

網址嫁接攻擊

過去的釣魚網站都是想盡辦法讓使用者,誤點上製作出來的假網站,但是新的網址嫁接攻擊(Pharming Attack),則是直接攻擊ISP的DNS伺服器,或修改使用者電腦中,網域名稱(Domain Name)跟IP位址的對應記錄,使得使用者明明打上A網站的正確網域名稱,卻登入B網站這個虛設的釣魚網站。

例如以T客邦網站來看,網域名稱為「http://www.techbang.com.tw」,目前對應的IP位址為「60.199.208.218」,也就是說,如果使用者在瀏覽器網址列打入「http://www.techbang.com.tw」,會開始查詢使用者所用ISP的DNS伺服器,找出並連接對應的IP「60.199.208.218」,然而,如果該使用者ISP業者的DNS伺服器遭到網址嫁接攻擊,將「http://www.techbang.com.tw」對應的IP修改成另一個釣魚網站的IP,使用者就會明明打入正確的網域名稱,卻連線到釣魚網站。

網址嫁接攻擊,成功的克服了「引誘使用者進入釣魚假網站」,這個網路釣魚最難的一環,因為現在的網路使用者都會很注意網域名稱是否輸入有誤,甚至瀏覽器還會自動更正錯誤名稱,卻沒想到輸入正確網域後,也會有被引導到錯誤網站的可能。這種網址嫁接攻擊,成功的克服了「引誘使用者進入釣魚假網站」,這個網路釣魚最難的一環,成為資安防護的漏洞之一。

5大防毒防駭重要須知,新手必學靠自己、老手複習做好人

▲SSL數位認證:如果駭客偽造的是有SSL數位認證的網站,那瀏覽器就會跳出SSL認證有問題視窗,提醒使用者可能遭受網址嫁接攻擊。

(後面還有:社群網站成為惡意連結、釣魚網站新基地)

延伸閱讀:

MSN 活生生詐騙案

使用 Facebook 留言

pp300
2.  pp300 (發表於 2011年11月28日 14:23)
Microsoft Security Essentials防毒的基本功能都有,例如即時防護、系統掃瞄『、動』,連新型防毒軟體都必備

(⊙ˍ⊙)

發表回應

謹慎發言,尊重彼此。按此展開留言規則