澳大利亚电子邮件安全公司MailGuard近日向其用户发出警告,称其发现了一种新的钓鱼方式。该方法直接使用HTML附件制作假网站,以增加攻击的成功率。这种攻击主要针对流媒体音乐服务Spotify的用户。据了解,在传统的钓鱼攻击中,不法分子会引诱受害者点击链接,将其重定向到虚假网站,从而窃取用户的登录凭证。但是,用户可以通过检测链接来防止此类攻击。对此,黑客们改进了攻击方式。攻击者会模仿原来的Spotify布局,设计一个看似合法的邮件,然后向用户发送虚假的支付失败通知,并通过邮件中的附件直接生成一个欺诈网站:此类钓鱼邮件会带有一个HTML附件,当用户打开加载项时,加载项的JavaScript会直接呈现各种帐户登录表单。当用户提交信息时,JavaScript会在后台偷偷将数据提交给远程站点,窃取用户的支付卡数据。尽管攻击者尽最大努力伪造模拟电子邮件,但他们仍然存在一些漏洞。快速查看完整的发件人地址会发现发件人的电子邮件地址不是合法地址。同样,其电子邮件文本中存在大量格式错误,这有助于用户发现消息的虚假性。钓鱼网站无处不在。害怕被中招怎么办?1、查看网站域名。虚假网站通常与真实网站略有不同。如有疑问,您应该仔细识别差异。例如,在域名方面,假冒网站通常将英文字母I替换为数字1,CCTV替换为CCYV或CCTV-VIP。域名。2.比较网站内容。假冒网站字体样式不一致,假冒网站大多存在死链接。用户可以点击栏目或图片中的每个链接,看看是否可以打开。3.查看安全证书。目前,大型电子商务网站已在交易页面应用安全传输技术,交易页面的URL均以“https”开头。如果您发现它不是以“https”开头的,您应该谨慎对待。同时,一些钓鱼网站会使用自签名证书来欺骗网民。建议您查看证书详情,看是否为受信任的CA机构颁发的安全证书,如:Symantec、DigiCert、globalsign、DataSecurityTimes等,如果不是正规机构颁发的安全证书CA机构,你更要警惕;在以上几种方法中,最后一种应该是最简单有效的,网友们可以通过这种方法来识别假冒钓鱼网站。如今,数据正在成为数字世界中强大的经济引擎。这个时候,如何保证数据保护和数据安全,尤其是涉及到敏感的隐私信息时,是摆在我们面前的一个重要挑战。可以说,一旦做好了个人数据的保护,不仅可以有效避免数据泄露的危害,也可以大大消除用户对个人隐私泄露的疑虑。
