本欄旨在提供一般電腦資訊保安知識,逢星期六刊出,如對電腦資訊保安有任何疑問,可電郵本報,由專業人士解答。
電郵地址:[email protected]
早前經常出現的銀行假網站內,黑客們經常採用「釣魚」技術,利用電子郵件將用戶騙到看起來極其真實的假冒網站,令用戶一旦登錄,個人資料即被黑客盜取。
問:早前出現的銀行假網站內,黑客們經常採用「釣魚騙局」的技術,請問這些手法是怎樣的呢?
答:網上罪犯利用某些網站上「跨站指令碼」(cross-sitescripting)的漏洞,在合法網站網址插入惡意內容。黑客利用這些網站的漏洞,欺騙不知情的網友墮入「釣魚騙局」(Phishing即PhreakingFishing兩組字的縮寫)。
根據一知名電腦保安公司的調查,許多公司網站使用的伺服器應用程式,都有「跨站指令碼」的漏洞。
在英國,曾發生結合惡意程式進行網絡「釣魚騙局」的案例,一隻透過電郵傳送、名為Troj/BankAsh-A的病毒,會自我隱藏在受感染的用戶端電腦,當網友輸入英國本土數間知名銀行網址時,自動變更連結到黑客所造的假網站,誘騙網友在釣魚網站中輸入帳號密碼等機密資料。
有關電腦保安新消息,偵測假網站及「跨站指令碼」漏洞軟件下載,請瀏覽 http://www.infosechk.org首頁和軟件下載區。
讀者陳小姐問:安裝一個反間諜軟件,是否百分百防止間諜程式入侵?
答:市面上反間諜軟件中,表現最佳都只能掃描七成間諜程式,故建議安裝兩個不同反間諜軟件,如Spysweeper和微軟反間諜軟件,以互補不足。
罪犯透過一般人會忽略的JavaScript程式,插入到合法的網頁中,從而竊取瀏覽器儲存的cookies。這些cookies通常包含網站密碼等個人資料或其他網絡使用的資訊。
資料提供:賴灼東,CISSP,CISA,InfoSecHongKong始創人,ProfessionalInformationSecurityAssociation及InformationSystemsSecurityAssociationHongKongChapter項目籌辦委員。
服務熱線
電話:29908288
傳真:23702192
電郵:[email protected]