反钓系列之：继续曝光钓鱼攻击

因此我们不得不继续曝光钓鱼攻击。并且鉴于“百闻不如一见”的道理，我会跟你分享最近我收到的2封email。这两封非常相似（事实上它们几乎就一样，只有很细微的差异）。邮件如下：

主题: 1. 我们无法允许对您提供的信用卡扣费。2. 你的Amazon帐户将被关闭! “亲爱的AOL客户，（亲爱的客户，）根据我们的安全措施，我们定期扫描您的网络活动。最近我们发现你的帐户有如下问题：回顾了一下您近期的交易历史，我们觉得需要对你的帐户进行更新，以便为你提供安全服务。我们为可能给你带来的不便表示抱歉。请务必点击如下链接，为完成认证过程，请填写下列页面的表格。URL (看似链接到AOL或者Amazon: <a href="http://webmail.aol.com/mail/" target="_new">http://webmail.aol.com/mail/</a> <a href="http://www.amazon.com/gp/help/customer/display.html" target="_new">http://www.amazon.com/gp/help/customer/display.html</a>) 感谢您迅速处理这个问题。这是为了帮助保障您和您的帐户的安全措施，希望您能够谅解。 Sincerely, AOL (Amazon) Billing Department”

我跟据信中所指示点击那个链接，然好看到一个“安全”表格，需要填写姓名，地址，信用卡详细信息等等。很明显填了这个表格后，我将蒙受巨大的经济损失。但我怎么知道这些邮件是钓鱼攻击呢？很简单：我根本不是AOL的用户。

如果它不说是“我的银行的来信”，我怎能知道它是钓鱼的呢？事实上，没有专门知识，你很难分辨骗局。但是普通人不会知道所有技术细节。并且，即使有大量的知识也不能总是不被欺骗。

就像欧亨利的小说中写到的，精明的骗子能够利用人最基本的本能和感情欺骗一个受过很高教育的人。

因此我不会详细描述技术手段。我只是想提醒大家注意邮件中的链接是骗人的：这个“Amazon”链接是位于印度的！

我建议大家丰富自己的常识，并且遵循下列原则：

－合法的公司不会发送非针对个人的信件（他们知道你的姓名/ID，但是钓鱼者不知道）；

－合法公司不通过电子邮件询问敏感信息；

－决不把你的个人和财务信息提供你不知道的组织；

－如果不是你发起的互动，决不提供你的敏感信息（因为你不知道跟你通信的人到底是谁）；

－决不通过电子邮件发送个人的或者财务信息（这不是安全做法）；

－定期检查银行帐户和信用卡帐单；如果收到钓鱼邮件，请把它发送到spam@uce.gov。

千万小心！

(t116)

==================================

原文链接：http://www.securitypronews.com/news/securitynews/spn-45-20060912WeHavetoContinueExposingPhishingAttempts.html

原文作者：Samuel Stambler