Phishing

eBay及PayPal採用了Yahoo防堵惡意訊息的DomainKeys電子郵件認證技術攔阻來路不明的電子郵件，以減少使用者收到詐欺郵件的數量，並降低網釣攻擊威脅。

Yahoo及eBay、PayPal在周四（10/4）宣布結盟保護使用者不受到網路詐騙及網釣攻擊。未來eBay及PayPal的使用者在透過Yahoo Mail收取宣稱來自eBay及PayPal的郵件時，將可受到較好的保護。

不少紐約民眾日前接獲假冒國稅局（IRS）的電子郵件，其中部分要求民眾在網上完成一份抽樣調查，隨即給予一定的現金獎勵；另一部分則通知收信人今年還有數十到上百元的退款信用，可立即領取。史泰登島檢方特別指出，這些都是不法分子的詐騙行為，國稅局沒有Email通知服務，民眾切勿上當。【本報記者周雨婷紐約報導】

8月19日消息，據國外媒體報導，時常評論Google的安全研究人員Robert Hansen本週五表示，Google Gadget可能被一些不法份子用來發動“釣魚式”攻擊。

Google Gadget是一款小程式，用以彙集各種網路資訊，可以為使用者快速顯示包含體育比賽得分到天文資料在內的各種資訊。

但不幸的是，Google Gadget也可能被駭客利用，並躲避反釣魚過濾程式的追蹤。據悉，駭客可以在gmodules.com建立釣魚網站，然後向受害者發送該URL鏈結。

因為Google的gmodules.com網域名稱得到了反釣魚過濾的認可，因此，受害者在進入釣魚網站後，並不會收到瀏覽器過濾軟體的警告資訊。

軟體開發人員希望自己的軟體安裝起來簡單而迅速，而駭客們也是這樣的。

RSA安全公司的分析師們在上個月早些時候發現了一種PHP程式碼，它能夠在2秒內向被攻擊的伺服器上安裝上一個釣魚站點。RSA在週二發佈的6月份的《每月網路詐騙報告》中發佈了這一消息。

這些程式碼包含了建立詐騙網站所需的全部HTML和圖片，該網站詐騙了一個RSA在報告中並未指明的金融機構。RSA稱，該執行檔能自動將這些程式碼和圖片安裝到正確的資料夾中。

上週 RSnake 訪談了一名年僅 18 歲的網釣客 lithium(化名)，使大家得以瞭解他的背景、手法以及收入等狀況。lithium 目前仍為在學生，他宣稱自己從 14 歲開始從事這個"工作"，至今已騙取超過 2000 萬筆個人識別資料，對他而言，社交網站是最好的下手目標，尤其是那些主力會員為十幾歲青少年的網站。
 繼續閱讀 »

網路釣魚騙取個人機密資料，已經成為最主要的資訊安全威脅。資安公司發現，駭客散發網路釣魚郵件也出現一定的規律，例如平日上班時間還有特殊節慶時，釣魚郵件的數量都會比較多。（張德厚報導）

An evaluation of website authentication and the effect of role playing on usability studies

We evaluate website authentication measures that are designed to protect users from man-in-the-middle, ‘phishing’, and other site forgery attacks. We asked 67 bank customers to conduct common online banking tasks. Each time they logged in, we presented increasingly alarming clues that their connection was insecure.