《网络攻防技术(第2版)》 —3.4.3 网络***
【摘要】 本节书摘来自华章计算机《网络攻防技术(第2版)》 一书中第3章,第3.4.3节,作者是朱俊虎,奚 琪 张连成 周天阳 曹 琰 颜学雄 彭建山 邱 菡 胡雪丽 尹中旭 秦艳锋 王清贤 主审。
3.4.3 网络***
网络***(Phishing)是指攻击者利用欺骗性的电子邮件和伪造的Web站点,骗取用户输入口令以及其他身份敏感信息。
攻击者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的Web站点,以获得受骗者的财务数据,如信用卡号、账户和口令等。如图3-15所示,Web页面上显示的是指向银行网站的链接,但实际上指向了攻击者伪造站点的IP地址,用户点击该恶意链接将会转向攻击者伪造的银行网站。
图3-15 虚假的银行网站链接
电子邮箱是我们重要的交流工具,用于日常通信、注册各类互联网账号等。电子邮箱中记载了很多重要的个人信息,因此也成为攻击者窃取信息进而获利的主要目标。下面通过一个例子来说明针对电子邮件账号的***攻击的原理。
攻击者首先会向目标发送电子邮件。为使目标用户信任该邮件,攻击者常常使用社会工程学的方法,如使用用户的邮件联系人作为发信人、使用用户好友的照片作为附件等。当用户点击邮件中的恶意链接后就会转到一个伪造的邮箱登录页面。页面地址栏的URL看上去和真实的账户登录网址非常相似,如图3-16所示。
图3-16 登录网址
页面内容看上去也完全就是邮箱正常的用户登录界面,如图3-17所示。
图3-17 邮箱登录界面
事实上,当用户输入账号、密码完成登录后,也就意味着用户的账户已经被攻击者成功盗取。这种技术不仅限于钓取邮箱账户信息,还能用于从许多其他平台窃取凭证,在基本技术实现上,它的变化非常多样。
【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)