网络钓鱼(Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。 典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息。
为了避免误入欺诈钓鱼网站,网民在输入个人信息前要首先辨别网站的真实性。一个安全的网站,一定会在关键页面如个人信息提交页、登录页面等提供基本的SSL证书安全保护。网民可以通过以下几点,查看网站是否安全可靠。
“金色安全锁” 当网民登录安全链接页面时,浏览器将会自动显示金色安全锁型标记。此时用户在线输入的信用卡号、交易密码、个人隐私信息等机密数据在网络传输过程中将不会被随意查看、窃取和修改。不同版本的浏览器“金色安全锁”放置位置不尽相同,但看到金色小锁标记,我们在线提交信息安全上就有了一定程度上的保障。
“HTTPS”
当网民有SSL证书保护的加密页面时,地址栏网址也会由“http”自动变成“https”。如同金色安全锁标记一样,我们此时提交的信息得到了安全保护。
“SSL证书身份信息”
所有的SSL证书均可以让网页展现“金色安全锁型”和“HTTPS”标记,但并不意味着我们可以完全信任该网站。部分网站可能只使用了仅提供加密功能的低端SSL证书,此类证书不但加密强度有限,而且签发过程只要域名正确10分钟内便可签发, 也就是说一个欺诈钓鱼网站也有可能在10分钟内得到该证书。
对于网民来说,辨别网站至关重要的一步就是点击“金色安全锁型”查看SSL证书的具体身份信息,如SSL证书的签发机构(VeriSign)、SSL证书所有人信息等。
