钓鱼网站(Phishing)介绍
钓鱼网站是指网络攻击者通过伪造银行、支付平台、政务平台等合法机构的官方网站或服务界面,诱导用户主动提交账户密码、身份证号、短信验证码等敏感信息的恶意网站,钓鱼网站的页面往往使用正规网站的结构、内容和链接,而且在布局和内容上与真实网站非常相似。
钓鱼网站欺诈用户的流程
| 诱导访问:通过短信或邮件给用户发送虚假通知,附带伪装链接 |
| ↓ |
| 访问钓鱼网站:用户点击链接后跳转至与银行官网高度相似的登录页面 |
| ↓ |
信息窃取:
分步诱导输入:第一步:要求输入手机号+登录密码
第二步:索取短信验证码
第三步:诱骗填写身份证/银行卡信息 |
| ↓ |
| 资金盗取:攻击者利用获取的凭证,登录真实网银进行转账 |
| ↓ |
| 痕迹清除:自动销毁钓鱼页面(存活周期通常<24小时),清空服务器访问日志并更换域名和IP地址 |
预防网络钓鱼
请确认域名
查主域名(是否与银行官网完全一致)
查备案信息(工信部ICP备案查询)
查SSL证书(点击锁头图标验证颁发机构)
注意不要输入信息
不向非登录页面输入密码
不向任何页面提供短信验证码
注意其他安全
启用银行官方APP的"安全锁"功能
启用账户变动实时提醒
启用设备绑定/IP白名单限制
