‘钩’‘网路钓鱼’.ppt

設定自動更新 防止資料執行防止(DEP) 我的電腦→右鍵→內容→進階→效能(設定)→資料執行防止(DEP) 安裝防毒軟體及定期更新、掃描 安裝防毒軟體及定期更新、掃描 安裝防毒軟體及定期更新、掃描 下載usb防護程式 安裝usb防護程式(/projects/906/download) usb防護程式常駐圖示/掃描過程 插入隨身碟後隨即掃描隨身碟是否有KAVO病毒 網路釣魚手法及其防制  網路釣魚手法及其防制 隨著網際網路的快速發展，電子商務也逐漸成熟而普及。但是交易安全的問題，卻如影隨形的伴著電子商務，在市場利基不斷擴大的同時，有些心懷不軌的人，開始利用網路釣魚?等手段，從事密碼截取、入侵…等破壞行為，深深影響網路購物的安全性，也讓消費大眾開始擔心自身權益保障，進而影響對於網路使用程度的意願。讓我們來看看網路釣魚的手法與防制措施吧！. 網路釣魚手法及其防制  網路釣魚是什麼？近年來，利用假冒網頁或郵件以帳戶重新認證等名義，騙取民眾密碼、信用卡等機密資訊的詐騙行為越來越多，這種犯罪行為有個專屬的英語名詞「 phishingh 」，音同英文的釣魚(fishing)，所以譯作「網路釣魚」。 網路釣魚手法及其防制  網路釣魚是什麼？既然是釣魚，當然也是願者上「鉤」。「網路釣魚」的詐騙手段，就是引誘被害人連結至假網站，而造成重要資料外洩，進而使財產損失的一種行為。這種犯罪手法的技術性並不高，有心犯罪者可以輕易的執行網路釣魚的行為。國際性網站─「反網路釣魚工作小組」(Anti-Phishing Working Group, ?APWG?：http:// www.antiphishing. org/)，這是一個時常發佈「網路釣魚相關趨勢報告」(Phishing Attach Trends Report)及熱心網友即時通報全球有害網路釣魚事件的網站。時常注意相關手法，可避免遭受網路釣魚手法欺騙。 網路釣魚手法及其防制  網路釣魚手法網路釣魚事件頻傳，駭客將重要資料騙取後，將利用網路交易沒有實質審查身份的特性來犯案，造成受害者的損失。以下將探討典型的網路釣魚手法，並將舉出相關的實際案例。 網路釣魚手法及其防制  手法一：在郵件中連結上幾可亂真的造假網站，知名的代收款網站 ?P?就是詐騙郵件中常見的案例。網路釣客在網址上以數字0取代英文字O、以數字1取代英文字l，或者在電子郵件中顯示正確網站連結，卻私底下連結至私人網站主機[圖一]，謊稱升級客戶服務，或是更新帳戶資料，騙取受害人的帳戶密碼，及相關隱私資料。然後網路釣客再至真實之網站竊取客戶的錢財，或者從事大筆消費，讓受害者蒙受巨大損失。事件發生時，被害人還以為是網站業者疏失，其實是因為自己使用行為不當而造成的。 網路釣魚手法及其防制   ????????????????????????????????????????????????????????????????????? 網頁中撰寫惡意程式碼，讓使用者的瀏覽器被安裝不安全元件，首頁被取代，往後每次一開瀏覽器，就會被帶到這些惡意網站；部分網站會提供一些小程式，宣稱可加速上網、強化系統、免費看色情網站等功能，但若網友執行這些程式，瀏覽器或微軟windows登錄檔都會被植入綁架程式。可能會導致瀏覽器無法正確連結，而將網址轉向至釣魚網站，讓使用者誤以為自己進入正確網站而輸入資料。 網路釣魚手法及其防制   手法二：難以查覺的網頁置換技術，利用?JavaScript 技術，置換靜態的URL網址，讓偽造網站的網址列與官方相同，難以辨認真假。當使用者上鉤並輸入資料時，相關資料將被竊取。在圖二中，駭客隱藏了真正的偽造網址，使用者所見的確實是銀行的官方網址[圖二]。由於網頁程式碼可能是利用JavaScript寫定的，使用者瀏覽時無需另外安裝ActiveX元件，讓使用者失去戒心，相當難以查覺。 網路釣魚手法及其防制   高明的網址轉嫁手法。近來網路釣客又衍生出一種更高明的手法──網址轉嫁(Pharming)。這種手法是透過向「DNS快取記憶體下毒」(DNS Cache Poisoning)的方式，向其他DNS伺服器提供合法網域名稱的錯誤IP位置，也就是透過DNS更新的時間，直接竊取網站名稱來使用。這時就算用戶自己開啟瀏覽器輸入正確的網址，一樣是被引導至釣魚網站。 網路釣魚手法及其防制   防止網路釣魚工具為了防止網路釣魚攻擊，防毒軟體及瀏覽器皆推出新版，強調防止網路釣魚的功能。透過軟體的警示，可以讓使用者提高警覺，而不要落入陷阱。(1)防毒軟體當使用者已安裝有防止網路釣魚的防毒軟體，防毒軟體廠商會透過以下幾種技術來警示網站是否為仿冒網站，或是警示電子郵件是否為釣魚郵件。 網路釣魚手法及其防制