近日，澳大利亞電子郵件安全公司MailGuard對其用戶發出警告稱，發現了新型網絡釣魚手法。該方法直接利用HTML附件創建了虛假網站，以提高攻擊的成功率。此攻擊主要針對流媒體音樂服務平臺Spotify的用戶。

[[285551]]

據了解，在傳統網絡釣魚攻擊中，不法分子會引誘受害者點擊鏈接，以將其重定向至虛假網站，從而竊取用戶的登錄憑證。然而，用戶可通過檢測鏈接，以預防此類攻擊。

對此，黑客改進了攻擊手法。攻擊者會模仿原始的Spotify布局，設計一個看似合法郵件，然后會向用戶發送偽造的付款失敗通知，通過郵件中的附件直接生成詐騙網站：此類釣魚郵件會帶有一個HTML附件，當用戶打開該附件時，該附件的JavaScript會直接呈現多種賬戶登錄表單。當用戶提交信息后，JavaScript會秘密將該數據提交到后臺的遠程站點，以此竊取用戶支付卡數據。

盡管攻擊者盡力偽造了仿真的電子郵件，但它們仍然存在一些漏洞。通過快速瀏覽完整的發件人地址就會發現，發件人的電子郵件地址不是合法地址。同樣，其電子郵件正文中也存在許多格式錯誤，這有助于幫助用戶發現消息的虛假性。

釣魚網站無處不在 怕中招怎么辦?

1. 核對網站域名。假冒網站一般和真實網站有細微區別，有疑問時要仔細辨別其不同之處，比如在域名方面，假冒網站通常將英文字母I替換為數字1，CCTV被換成CCYV或者CCTV-VIP這樣的仿造域名。

2. 比較網站內容。假冒網站上的字體樣式不一致，假冒網站上大多存在死鏈接，用戶可點擊欄目或圖片中的各個鏈接看是否能打開。

3. 查看安全證書。目前大型的電子商務網站在交易頁面都應用了安全傳輸技術，交易頁面的網址都是“https”打頭的，如果發現不是“https”開頭，應謹慎對待。

同時，有些釣魚網站會使用自簽名證書，蒙騙網民。建議大家查看證書詳情，看是否為可信的CA機構頒發的安全證書，如：Symantec，DigiCert，globalsign、數安時代等。如果不是正規CA機構頒發的安全證書，應加強警惕;

以上方法中，最后一種應該是最簡單最有效的了，網民可以通過這種方法來識別假冒釣魚網站。

如今，數據正成為數字化世界中的強大經濟引擎。這時如何確保數據保護和數據安全，尤其涉及到敏感的隱私信息，都是擺在我們面前的重要挑戰?？梢哉f，一旦做好了個人數據的防護，不僅能夠有效避免數據泄露的危害，還能夠大幅消除用戶對于個人隱私泄露的疑慮。