钓鱼邮件新技俩,假动作验证以套取真密码!
钓鱼邮件新技俩,假动作验证以套取真密码!
2017-08-30 14:00:58 来源:互联网
抢沙发
2017-08-30 14:00:58 来源:互联网
摘要:上周Softnext守内安在广州的中国网络主管论坛活动上,我们的讲师分享时,提了一个防止被骗密码的小技巧,获得现场非常高的赞同与认可!
关键词:
Softnext
上周Softnext守内安在广州的中国网络主管论坛活动上,我们的讲师分享时,提了一个防止被骗密码的小技巧,获得现场非常高的赞同与认可!
——就是每次遇到电邮中链接需要你输入任何密码时,第一次都输入错误的密码,这是为了防止黑客套取你真实密码,因为,站在黑客的立场,黑客认为:每每第一次输入的密码,都是正确的!
也就是上周,才分享出这个小技巧,这周的剧情就有所转折了!
一般用来钓取用户 E-mail 账号密码的钓鱼邮件,并没有真正的账号密码数据库可验证,因此,Softnext守内安对用户日常的安全意识训练,都会传达第一次输入假的账号密码,就可拆穿黑客的钓鱼技俩。
但是,这居然被黑客察觉到了?!
近日,Softnext守内安与 ASRC 研究中心获取的最新钓鱼邮件样本中发现,黑客竟然猜到了用户的心理,并且设法巧妙的躲避使用者的第一次假动作。
ASRC 研究人员在这封钓鱼邮件攻击链接中,更动了尾巴的电子邮件地址,页面及变动为要求输入该电子邮件地址的密码;当研究人员随便输入一串假的密码后,页面居然显示密码错误,要求重新输入。
难道,这是一个真的网页?
难道,对方掌握了真的密码?
难道,可以识别出这是假的密码?
图1. 于钓鱼网页随意输入不存在的账号密码
图2. 要求使用者重试
图3.跳出页面,要求再次输入账号密码
这时,跳出了另一个密码输入的页面,不仅要求输入密码,还要求再次输入以确认密码的正确性。ASRC 研究人员再尝试输入一次和刚才一样的假密码,这时不论密码是对是错,画面都会显示验证成功,正在准备下载文件。
图4. 密码验证成功,正在下载文件
我们研究发现,实际上,并不会有任何文件被下载,而是直接跳转回Google的搜寻页面,但是刚才输入的账号密码,已被黑客记录下来!
这才是他的真正目的!
黑客利用上述假验证动作,除了可以用这样的方法混淆试图以第一次错误密码验证钓鱼网站的受害者外,同时也提高受害者输入的密码准确度。
正所谓道高一尺,魔高一丈!,Softnext守内安呼吁企业应提高警觉,随时更新并教育用户的信息安全知识,并且建置安全有效的、可防御不断进化着的威胁的邮件过滤设备,提供电子邮件用户一个可信赖的安全环境。
※关于Softnext 守内安:
作为大中华区的邮件安全市场领导者,已有四成福布斯十佳CEO企业选择的邮件安全管理应用——Softnext守内安,凭借在网络内容安全应用领域十多年的深入钻研,致力于邮件安全以及网络内容的风险管控,提供面向市场、面向客户的最新威胁防御的网络安全产品,到威胁防御与联合防御体系,并成功拓展到SaaS云端防御领域,转型云端安全防护服务商,为云计算服务商提供云端安全防御,加固安全纵横防御体系;同时,亦成为阿里云邮生态合作伙伴;秉承“服务?品质?值得信赖”的全新品牌理念,在FROST & SULLIVAN(全球知名市调公司)大中华区调研中,除了成为连续五年复合业绩成长率第一名的质优企业。
作为邮件风险管理和信息安全内控管理服务的专业研发厂商,Softnext守内安立于本土,深入的本土化耕耘,相继获颁【中国软件和信息技术服务业最有价值品牌】和【品牌建设卓越团奖队】,邮件安全三剑客连续三年蝉联【上海市优秀软件产品奖】,并获得Frost & Sullivan授予【年度邮件内容安全服务提供商】的殊荣,并在品牌建设上,屡获软件和信息技术服务业【最有价值品牌奖】。
第三十六届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:fanwei
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
