DDOS + 钓鱼攻击 ? 年底出现了新一波的DDoS浪潮,国内不少大站点都无法访问,一时间流言满天飞,不时有从前没有露过面的“黑客高手”跳出来声称对某个某个站点的无法访问负责,圈子里的热闹一下子不输娱乐圈 不过,热闹归热闹,DDoS 作为一个“传统”的攻击方式还很受欢迎,最起码不需要太高的技术就能实现。如果加上少许的其他技术,DDoS也会从恶作剧性质变成高威胁的攻击方式:
假设一下,如果你在taobao或者ebaycn上选了一个CD,正准备使用网上银行支付付款,可是在你登陆网上银行帐户的时候发现网银的主页登陆不了。你想起你开通网上银行的时候填写过email地址,你登进你的邮箱,在一大堆垃圾邮件中发现了一个网上银行的通知: “xx 网上银行设备升级,x月x日 网上银行将不能登陆,请用户登陆到http://www.xx.com/login.htm 更新你的帐户信息” 因为平时你访问的网上银行主页不能登陆,你觉得你收到的email通知是真实的,所以你使用通知email的网址登陆并更新了下你的帐户信息。 可是,你知道不? 在你登陆并更新的过程中,你很有可能是掉进了钓鱼网站的圈套中:钓鱼者先用DDoS瘫痪真正的网银网站,然后给用户提供一个虚假的网银登陆页面,在你认为你是在更新帐户信息的时候,其实你的银行帐户信息发送给了钓鱼网站的实施者那里。 要实现这样攻击,技术上不存在太大问题,主要是整个攻击流程上的实施细节。钓鱼者首先要瘫痪掉真实的网银网站,然后要找到在瘫痪期间会用到网银的用户,最后才可能实施一次成功的欺骗。 网上银行的DDoS+钓鱼只是一个简单的例子,估计在不远的将来,这样DDoS为基础的钓鱼攻击会多起来,如何防止这样的攻击,会成为下一个安全圈子和E-Biz行业的热点话题。
|