信息安全工程师知识点与习题：网络钓鱼

知识点：网络钓鱼

网络钓鱼（Phishing）是一种通过假冒可信方（知名银行、在线零售商和信用卡公司等可信的品牌）提供网上服务，以欺骗手段获取敏感个人信息（如口令、信用卡详细信息等）的攻击方式。例如，网络钓鱼攻击者构造一封所谓“安全提醒”邮件发给客户，然后让客户点击虚假网站，填写敏感的个人信息，这样网络钓鱼攻击者就能获取受害者的个人信息，并非法利用。

那么，如何保护自己避免上当受骗呢？

1、千万不要响应要求个人金融信息的邮件

2、通过在浏览器地址栏键入域名或IP地址等方式访问银行站点

3、经常检查账户

4、检查你所访问的站点是否安全。不过，你可要注意，即使站点使用了加密，这并不意味着此站点是合法的。它只是告诉你数据正以加密的形式发送。

5、谨慎对待邮件和个人数据

6、保障计算机的安全。

另外许多组织的站点都有一个专用的邮件地址可以报告可疑的邮件，如果你收到类似的邮件，就应当向及时报告。

习题演练

1、以下关于网络钓鱼的说法中，不正确的是（）

A、网络钓鱼融合了伪装、欺骗等多种攻击方式

B、网络钓鱼与Web服务没有关系

C、典型的网络钓鱼攻击都将被攻击者引诱到一个通过精心设计的钓鱼网站上

D、网络钓鱼是“社会工程攻击”是一种形式

信管网参考答案: B

信管网解析:本题考查考生对网络钓鱼攻击手段的掌握情况。

网络钓鱼是一种社会工程学类的网络攻击结合各种网络安全的漏洞包括Web服务方面的安全漏洞，以及伪装或者欺骗技术让受害者点击链接打开网站或者下载文件执行文件等，实现网络攻击。

2、以下网络攻击方式中，（）实施的攻击不是网络钓鱼的常用手段

A.利用社会工程学

B.利用虚假的电子商务网站

C.利用假冒网上银行、网上证券网站

D.利用密罐

信管网参考答案：D

信管网解析：利用社会工程学、利用虚假的电子商务网站、.利用假冒网上银行、网上证券网站等都是属于网络钓鱼的常用手段；利用蜜罐方式是属于网络安全防御手段。

僵尸网络的防御方法：http://www.cnitpm.com/pm1/63012.html