早前經常出現的銀行假網站內,黑客們經常採用「釣魚」技術,利用電子郵件將用戶騙到看起來極其真實的假冒網站,令用戶一旦登錄,個人資料即被黑客盜取。
問:早前出現的銀行假網站內,黑客們經常採用「釣魚騙局」的技術,請問這些手法是怎樣的呢?
答:網上罪犯利用某些網站上「跨站指令碼」(cross-sitescripting)的漏洞,在合法網站網址插入惡意內容。黑客利用這些網站的漏洞,欺騙不知情的網友墮入「釣魚騙局」(Phishing即PhreakingFishing兩組字的縮寫)。
根據一知名電腦保安公司的調查,許多公司網站使用的伺服器應用程式,都有「跨站指令碼」的漏洞。
在英國,曾發生結合惡意程式進行網絡「釣魚騙局」的案例,一隻透過電郵傳送、名為Troj/BankAsh-A的病毒,會自我隱藏在受感染的用戶端電腦,當網友輸入英國本土數間知名銀行網址時,自動變更連結到黑客所造的假網站,誘騙網友在釣魚網站中輸入帳號密碼等機密資料。
有關電腦保安新消息,偵測假網站及「跨站指令碼」漏洞軟件下載,請瀏覽 http://www.infosechk.org首頁和軟件下載區。