最近,一场网络钓鱼活动就以Instagram技术支持为诱饵,意图窃取总部位于纽约的一家知名美国人寿保险公司的员工的登录凭证。根据Armorblox发布的一份报告,这次攻击将品牌冒充与社会工程攻击相结合,并通过使用一个有效的域名设法绕过了谷歌的电子邮件安全,最终拿到了数百名员工的邮箱。
网络攻击从一封简单的电子邮件开始。它伪装成是来自Instagram技术支持团队的告警,表示收件人的账户正面临着被停用的风险。随后用户会被引诱到一个登录页面上,被要求提交他们的Instagram账户登录信息,而这些信息就被直接传给恶意攻击者。值得注意的是,这些步骤中任何一点对普通终端用户来说都没有任何恶意,而且在每个过程中,从电子邮件到账户验证表,都含有Meta和Instagram的品牌和标志。
庆幸的是,这场钓鱼活动被发现并已被阻止了。而另一边的电子邮件营销公司MailChimp却没有逃脱掉。数日前,MailChimp披露其遭到黑客攻击,黑客利用内部客户支持和账户管理工具窃取用户数据,并进行网络钓鱼攻击。
对于企业组织而言,对抗和缓解网络钓鱼是非常具有挑战性的,除了制度相关行为指导方针,一些纵深的网络钓鱼防御技术也需要适当具备。
那如何防范钓鱼网站的伤害呢?
随着人们防范意识的提高,钓鱼网站也在不断地提高其迷惑性,缩小与真实网站的差别,不法分子通过复刻与真实网站一模一样的页面,采用相似的域名诱使用户访问,如果用户稍不注意,不法分子便很容易得逞,一旦用户在钓鱼网站的输入了个人帐号密码等信息,就会被钓鱼网站记录下来,给用户的财产造成损失。
网站在申请SSL证书的时候都必须通过CA机构严格的审查,需要对申请者的身份进行验证,倘若网站部署了SSL证书,除了能给网站提供数据传输加密的基础安全防护之外,浏览器也会在地址栏显示“安全锁”的安全标识,提示用户该网站已通过身份验证,可以放心使用。同时,用户也可以通过查看网站的SSL证书了解网站的真实身份信息,方便用户更精准的识别出哪个是真实网站,哪个是假冒的钓鱼网站。
所以,通过部署SSL证书,不仅能让用户能够对网站的真伪做出辨别,还能使不法分子的目的难以得逞,更是为了维护网站的信誉与口碑。
声明:本平台所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本平台赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现平台上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
领取优惠
提交成功!