钓鱼式攻击
维基百科,自由的 encyclopedia
钓鱼式攻击(英语:Phishing,与英语fishing发音一样;又名网络钓鱼,简称网钓)是一种企图从电子通讯中,透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感资讯的犯罪诈骗过程。这些通信都声称(自己)来自于风行的社交网站(YouTube、Facebook、MySpace)、拍卖网站(eBay)、网络银行、电子支付网站(PayPal)、或网络管理者(雅虎、互联网服务供应商、公司机关),以此来诱骗受害人的轻信。网钓通常是透过e-mail或者即时通讯进行[1]。它常常导引用户到URL与接口外观与真正网站几无二致的假冒网站输入个人资料。就算使用强式加密的SSL伺服器认证,要侦测网站是否仿冒实际上仍很困难。网钓是一种利用社会工程技术来愚弄用户的实例[2]。它凭恃的是现行网络安全技术的低亲和度。[3]种种对抗日渐增多网钓案例的尝试涵盖立法层面、用户培训层面、宣传层面、与技术保全措施层面。
网钓技术最早于1987年问世,而首度使用“网钓”这个术语是在1996年。该辞是英文单词钓鱼(fishing)的变种之一[4],大概是受到“飞客(英语:Phreaking)”(phreaking)一词影响[5][6],意味着放线钓鱼以“钓”取受害人财务资料和密码。