1 / 15

網路安全期末報告 -網路釣魚

網路安全期末報告 -網路釣魚.     學生: A0963301 蘇育諄     指導教授:梁明章 教授. 前言.   隨著網際網路的蓬勃發展,線上交易活動日益頻繁熱絡;但當線上交易市場的不斷成長及多樣化發展的同時,也開始引起一些不法份子的覬覦,將傳統電話詐騙的手法移植到網路上,進行網路釣魚的行為,嚴重危害了線上交易的安全與可信度. 定義.   根據 APWG( 反網路釣魚工作小組 ) 定義,網路釣魚是利用社交工程手法及技術性的詐騙手法,偽造 e-mail 或知名品牌網站 ( 多為金融機構 ) ,甚至是綁架網址的手法,來偷取使用者的身分資料及金融帳號等機密資料。.

charla
Download Presentation

網路安全期末報告 -網路釣魚

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 網路安全期末報告-網路釣魚     學生:A0963301 蘇育諄     指導教授:梁明章 教授

  2. 前言 •   隨著網際網路的蓬勃發展,線上交易活動日益頻繁熱絡;但當線上交易市場的不斷成長及多樣化發展的同時,也開始引起一些不法份子的覬覦,將傳統電話詐騙的手法移植到網路上,進行網路釣魚的行為,嚴重危害了線上交易的安全與可信度

  3. 定義 •   根據APWG(反網路釣魚工作小組)定義,網路釣魚是利用社交工程手法及技術性的詐騙手法,偽造e-mail或知名品牌網站(多為金融機構),甚至是綁架網址的手法,來偷取使用者的身分資料及金融帳號等機密資料。

  4. 資料竊取手法:    (1/9) • 假造網站:    這類型的網路釣魚技術門檻並不高,只要具備網站架設能力,就可以誘使使用者在假造的網站輸入帳號與密碼;根據國外的研究數據統計,一般人上網會注意網址的不到30%,也讓這種看似簡單的攻擊手法,還是能夠成功竊取使用者資料。

  5. 資料竊取手法: (2/9) • 惡意程式:     近來的新攻擊趨勢,是將惡意程式植入假造的網站,即使不小心點擊進入的使用者已經產生了警覺性,沒有輸入個人的帳號密碼資料,但在連結網站的同時,也已經被植入了惡意程式,潛伏在電腦中,伺機偷取使用者個人的機密資料。

  6. 資料竊取手法: (3/9) • 廣告郵件:    目前最普遍也最常見的手法,是利用標題聳動的垃圾郵件,以及精心偽造的連結,來誘使使用者點擊進入網站,並騙取帳號與密碼。透過部份收信軟體的瑕疵來掩蓋真實的連線。

  7. 資料竊取手法: (4/9) • 縮網址:    利用部份網頁提供的縮址功能,來隱藏網頁的真實位址,再將網址張貼在各大論壇與BBS上或放置於簽名檔中,誘使粗心的使用者點擊連結至惡意網址。

  8. 資料竊取手法: (5/9) • 網址置換技術:    常見的手法是利用 Java Script的技術,置換掉網址列上的URL網址,讓偽造網站顯示在網址列上的網址與原本的正常官方網站相同,讓使用者不容易察覺,而輸入個人資料。

  9. 資料竊取手法: (6/9) • 搜尋引擎:    利用破解搜尋引擎的計算公式,甚至是明目張膽的買下關鍵字廣告,讓攻擊者製作的惡意網站搜尋排名提升,使用者一但透過搜尋引擎去搜尋相關字詞時,很容易就誤入釣魚網站。

  10. 資料竊取手法: (7/9) • 網址嫁接(Pharming):    近來攻擊者的技術日益進步與多樣化,開始將攻擊目標轉向Web之外的地方了。這種手法是透過”DNS Cache Poisoning”的方式,向網路上的DNS伺服器提供錯誤的IP,或是透過植入的惡意程式來修改使用者的hosts檔案,當使用者打開瀏覽器,準備連到這些網站時,就被引導至攻擊者假造的網路釣魚網站。

  11. 資料竊取手法: (8/9) • 入侵正常網站:    從zone-H網站上的紀錄顯示,有越來越多的網路攻擊,都是透過入侵正常網頁,在網頁中植入惡意連結,使瀏覽正常網站的使用者電腦被植入惡意程式,個人機密資料流出。國內已有多家知名廠商,甚至包含金控公司首頁都曾經遭到這類型手法入侵與利用。

  12. 資料竊取手法: (9/9) • Vishing (VoIP + Phishing):    攻擊者可能透過入侵VoIP系統,結合傳統的電話詐騙,讓發話端的追查更為困難,甚至直接入侵目標的VoIP系統,使受害者誤信,增加網路釣魚的成功機率;加上目前企業端對VoIP的防護幾近於零,也尚未建立起VoIP的安全觀念,使得Vishing很有機會成為下個發光發熱的網路釣魚題材。

  13. 新出現的網釣手法: (1) • Fast-flux 是一種網域名稱伺服器 (DNS) 交換機制,結合了對等式 (peer-to-peer) 網路、分散式指揮與控制、網頁式負載平衡以及代理器重導,可隱藏網路釣魚發送網站的蹤跡。Fast-flux 能讓網路釣魚網站維持更長的運作時間,引誘更多受害者。例如,研究人員在嘗試尋找惡意的 Storm 網域時就吃足了苦頭,因為該網域正是運用了 Fast-flux 技巧來躲避追蹤。

  14. 新出現的網釣手法: (2) • in-session攻擊:    首先駭客必須入侵合法的網站並嵌入惡意程式,其次是該惡意程式要能辨識出使用者登入的是哪個網站。瀏覽器的漏洞也將協助駭客進行此類的攻擊。市場上所有受歡迎的瀏覽器都擁有同樣的JavaScript引擎漏洞。該漏洞的產生是來自一個特定的JavaScript功能,當該功能被呼叫時便會在使用者電腦上留下紀錄,而且其他網站亦能追蹤這些紀錄。

  15. 新出現的網釣手法: (3) • 魚叉式:    許多網站 的寫法大都採取多層次架構或是 Cross Site 連結的方式,當瀏覽者點擊網站某個按鍵或是超連結圖示時,就會被導引到另一個 Site( 可能是 AP 伺服器 ) 執行一段程式或是開啟網站內頁的畫面。利用這樣的架構,網路釣客先入侵 Portal Site後,竄改連結內頁的路徑到自己架設的網站.

More Related