不少网站都有提供在线的“联系我们”功能,包括即时通讯或在线表单,以方便来访者不需通过邮件系统而直接在线提交问题或需求,当然多数也会留有邮件地址以便有客户喜欢通过邮件联系方式。
即时通讯功能有的调取客户端通讯程序协议如QQ,MSN或Skype等,有的使用在线的Web第三方挂件;在线表单提交的结果往往会发送邮件给指定的邮箱或在后台系统中进行记录。
不管何种方式,当在线客服员工获得这些信息时,不论是问题还是需求都会让他们处于兴奋状态,进而放松安全警惕。而狡猾的攻击者则会充分利用这一点,通过伪造邮件和链接等方式对这些员工进行网络钓鱼攻击。
具体的方法则如上图所示,攻击者事先伪造一个假冒的网址:http://www.securemymind.com.hackme.hk/about-securemymind.html,然后通过即时通讯发送给客户员工,或通过网站提交留言,更狡猾的网络犯罪分子还会假借目标网站的系统邮箱,收到诈骗链接的客服人员一看地址:http://www.securemymind.com/about-securemymind.html,确实是自己的网址链接,[email protected],还是自己人呢!于是便去点击,确实打不开啊,便找相关网站技术人员帮忙检查,其实在“打不开”的时候便不知不觉中了黑客的招儿。
如何能有效防范这些社交骗术、诈骗伎俩或称钓鱼攻击呢?当然首先得保障客户端安全软件的更新,但即使最新的防病毒软件也难查杀到网络犯罪分子特制的恶意程序。所以最重要的是教育员工提高安全警惕,并分享一些攻击信息的样本,还有时不时发动模拟攻击演习,检测一下员工们的安全防范意识,同时也要教育员工如果不慎点击这些钓鱼链接之后该如何进行紧急响应,比如断开网络连接、报告安全服务中心寻求帮助等等。