Clickjacking:点击背后隐藏骗局
Marco非常喜欢足球。每天他都会在不同网站上关注最爱的球队,从官方网站到小众网站都有。这也许是他一天中最喜欢的时刻,但会一直如此吗?一次上网时,Marco被一个链接吸引,链接声称有关于他球队的惊人新闻。他兴奋地点了进去,却什么也没发生。“可能是网站的问题”,他想。但并不是。几天后,Marco收到一封邮件,里面有他穿睡衣的照片和一条信息:“我有很多这样的照片,我可以监视你,但如果你付钱,我就停止。”(Clickjacking攻击可以通过修改Adobe Flash软件设置,访问webcam和麦克风)
Wikipedia说:在正常网页浏览中,用户用鼠标点击某个对象(例如链接),但实际上他的点击在不知情的情况下被重定向到另一个对象。该漏洞通常利用Javascript或Iframe。
Pharming:原始网站,还是专门制作的网页?
Giuseppe经常坐在电脑前,尤其是在社交网络上。他喜欢分享链接、看朋友照片、评论最喜欢歌手的粉丝页,并和自己的另一半聊天。可惜Giuseppe只有14岁,还有些天真。浏览时,浏览器打开了一个看起来像Facebook首页的页面,但并不是真正的Facebook。Giuseppe输入信息并登录:瞬间,门后的hacker就拥有了账号昵称和密码,并进入账户,制造出极其尴尬的情况……Wikipedia说:Pharming是一种cracking技术,用于以不同目的获取个人和保密信息。通过这种技术,用户被欺骗并在不知情的情况下向陌生人透露敏感数据,例如银行账户号、用户名、密码、信用卡号等。
Pishing:像鱼一样咬上hacker的陷阱
Giovanni在城市医院当护士。他一直梦想帮助别人,在人们需要时照顾和支持他们。他的日子非常紧张,下班回家后只想躺在床上安静查看邮件。一天晚上,来自邮局的邮件到了:“我们正在检查客户账户安全,请在这里输入访问数据,我们会验证您的账户是否安全!”疲惫和思绪让Giovanni没有意识到自己正面对严重骗局。他输入数据,账户里的钱很快消失。Wikipedia说:这是一种利用社会工程技术的非法活动:恶意者随机发送模仿银行或邮政网站图形的电子邮件,试图从受害者那里获取账户访问密码、授权付款的密码或信用卡号。
故事的教训
Marco需要安装更新后的浏览器,避免再次落入同样骗局。请记住:“不要接受陌生人的糖果”。Giuseppe需要准备一个好的杀毒软件,并在每个输入个人数据的网站上检查是否提供安全证书或使用https协议(http secure)。
Giovanni则需要在点击前多花一分钟确认邮件是否可信,尤其是在邮件要求输入密码或银行数据时。
想知道您的网站暴露到什么程度吗?
EasyAudit WEB为中小企业检查网站、门户和电子商务,提供专业外部审计。