二、跨站脚本
所谓的跨站脚本就是攻击者利用合法网站服务器程序上的漏洞,在站点的某些网页中插入危险的 Html代码,窃取用户信息。跨站脚本带来的危害主要有:
1.获取其他用户Cookie中的敏感数据
2.屏蔽页面特定信息
3.伪造页面信息
4.拒绝服务攻击
5.突破外网内网不同安全设置
6.与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等。
写出跨站的危害的目的,主要是要告诉用户,即使是一个比较正规的网站,也可能被人利用。这些页面看上是正规网站自己的,实际已经被非法利用的。在这些窗口中输入个人银行帐户信息是非常不安全的。
要避免跨站脚本给自己带来的危害,需要注意不要轻易访问别人给你的链接,或是电子邮件中指明的连接,禁止浏览器运行 JavaScript和ActiveX代码。
三、克隆网站
由于制作一个网站的成本很低,造假者使用假身份证花几百元很容易申请到一个域名,并租到服务器空间。目前部分网站现正提供网友免费下载网络骗局的 “钓鱼工具箱”,内含构建假网站所需的所有图片、网页编码和文字内容。 这个工具箱可让使用者设计出看似合法的银行网站,用来诈骗不知情的使用者透露个人帐户的详细信息。许多这类的工具箱同时含有垃圾邮件软件,让潜在的骗徒寄发数千封可直接连到假网站的钓鱼邮件。这种骗局工具箱的出现,代表现在任何人都可以假造拟真的银行网站,取信顾客透露敏感的信息,例如他们的密码。
1.URL地址克隆
使用和真实网址非常相似的域名,如:中国农业银行的互联网地址是 “www.95599.cn”、“easyabc.95599.cn”、“www.abc95599.com”、“www.e95599.com”,在你访问农业银行网站的过程中不可能再出现上面列出的四个之外的域名,即使你是访问农业银行的最角落的一个页面,其域名也必须是这四个之中的其中一个。近日出现的www.95569.cn(该网站已被查封)和www.95599.cn只有一字之差,然而天壤之别。类似的还有www.ICBC.com.CN(中国工商银行)和www.1cbc.com.cn(该网站已被查封),读者注意了后面一个钓鱼网站和正规的网址,只有一个字母的差别。
2.页面形式内容克隆
在钓鱼网站上使用正规网站的 LOGO、图表、新闻内容和连接,唯一区别之处的是输入的帐号的位置,一旦用户登陆网站,很难通过一般的常识来区别哪个是正规的网站,哪个是钓鱼网站。对付这类网站的最好办法是做好预防,提高自身的防范意思。在输入帐号和密码的时候一定要先认真检查网址。
四、预防措施
其实最好的自我保护方式是不需要多少技术,我们可以从连接来源、证书和使用场合等几个方面来预防。
1. 连接来源
1) 对于银行发来的手机短信,请认真校对短信的来源,如涉及到帐号问题要和银行进行电话确认。
2) 对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。
3) 不要回复或者点击邮件的链接,如果你想核实电子邮件的信息,可以使用电话联系。
4) 若想访问某个公司的网站,使用浏览器直接访问,输入网址前,有必要确认网地址的来源。点击邮件中的链接、短信既时通信工具如QQ、MSN都是不可取的。
5)如果一个网址中含有“@”符号,应该意识到,一般网址是完全没有必要使用“@”符号的,因此不要使用这个网址。