周所周知,互联网的发展为我们了带来大量的便利,购物、支付和与他人进行沟通交流都变得极其方便
但与此同时,互联网的发展也引入了新的危险——罪犯用它来骗取毫无戒备心的受害者
不可否认的是,移动互联网内充斥着各种虚假信息,在我们日常浏览网站的过程中,容易遭受“钓鱼网站”侵害
什么是钓鱼网站?钓鱼网站是指欺骗用户的虚假网站
“钓鱼网站”的页面与真实网站界面基本一致,欺骗消费者或者窃取访问者提交的账号和密码信息
钓鱼网站一般只有一个或几个页面,和真实网站差别细微
钓鱼网站是互联网中最常碰到的一种诈骗方式,通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站
钓鱼网站
2019年全年,移动端拦截钓鱼网站类型主要为境外*,占比高达 74.7%
其次为网站被黑(17.8%)、假药(2.9%)、虚假购物(1.4%)、虚假中奖(1.2%)、金融证券(1.1%)等
数据来源于360
从城市分布来看,移动端遭受钓鱼网站攻击最多的城市为广州市,占全国拦截量的 4.4%
其次为深圳(3.4%)、北京(3.1%)、东莞(2.8%)、泉州(2.4%),此外上海、杭州、南宁、 石家庄、佛山的钓鱼网站拦截量也排在前列
数据来源于360
网络钓鱼利用人类常见的各种感情,如信任、恐惧、贪婪和善良
几乎所有的网络钓鱼都涉及社会工程学的技巧
钓鱼途径主要包括邮件、短信、广告弹窗等
例如
人们收到银行这类影响力很大的商务邮件,或者是法院等机构发来的文件或短信时几乎都会紧张,很多人都不曾怀疑信件的真实性,更会下意识地根据要求打开邮件或短信里面指定的网站地址进行操作
其次,页面打开后,我们通常都只会留意页面内容而不会注意浏览器地址栏的显示,正是这点让“垂钓者”有了可乘之机
还有的钓鱼方式是利用了人类的贪婪
让收到邮件的用户填写一个表单,以便得到职位、奖金或者礼物
在各种节假日前,钓鱼者发出很多钓鱼邮件
引诱用户说:“XX节将至,我们正在组织促销活动,请单击下面的链接使用你的账号和密码登录以获取奖品”
或者收到“央视某节目”短信,告知你中了一等奖,点击链接进行领取等
大部分的人很少或者根本没有留心浏览器的地址栏,这是一个严重的错误
地址栏包含大量且极其重要的信息,这些信息显示了你在哪里以及你的安全程度
所以,养成这样一个习惯吧
当你访问一个新的网页时,偶尔瞥一眼地址栏
网络钓鱼的主要策略之一就是创建一个几乎难以辨别真假的网站
为达到这一目的,黑客和网络罪犯在复制URL方面有着精巧的技艺
在使用真正的域名模仿子域名的能力和浏览器令人疑惑的短URL的影响下,人们很容易上当受骗
比如在域名方面,假冒网站通常将英文字母I被替换为数字1,CCTV被换成CCYV或者CCTV-VIP这样的仿造域名
拓展学习:
一个URL是如何构成的
URL构成
注:
1. Protocol:协议;Resource name:主机名;index.html:文件名
2. /前最后一个”.”的右边灰色部分称为顶级域名(TLD,也称为一级域名或域名),
常见如
.com 代表商业机构
.edu 代表教育机构
.net 代表网络服务机构
.gov 代表政府机构
.cn 以地理地域命名的顶级域名,比如cn中国
最后一个”.”的左边蓝色部分称为二级域名(SLD),二级域名的左边黄色部分称为三级域名,以此类推,每一级的域名控制它下一级域名的分配
例如在域名www.baidu.com中
baidu.com 二级域名(www一般代表默认主机名,只输入二级域名时会指向默认主机)
tieba.baidu.com 三级域名(代表访问百度公司的贴吧网站)
detail.tieba.baidu.com 四级域名(贴吧某个帖子的详细内容)
tieba.baidu.com/f/image/ 二级域名下的二级三级目录(代表贴吧网站下的二级f目录下的三级image图片目录)
各大机构或者个人注册域名时,首先会选择顶级域名如选择.com或者.net等
然后再自命名二级域名(不可重复)如baidu
确定顶级域名后.com,自定义的二级域名就可作为唯一标识
baidu.com就归百度公司所有,其他机构或者个人注册时不可重复使用
一个公司或个人可以注册多个顶级域名
如百度公司除了注册了baidu.com,也注册了baidu.net等
除了顶级域名.com和二级域名如baidu不可更改外,其他三级四级域名和二级三级目录都是可以随意修改的
也就是说,钓鱼的人会通过相近的二级域名或者修改三级四级域名来模仿真实的网站域名
如www.baidu.com的模仿网址可能是
ww.baido.com 二级域名是baido www.bai-du.com 二级域名是bai-du baidu.test.com 二级域名是test baidu.com-test.com 二级域名是com-test www.baidu.vip 顶级域名不同可以看到,假网站地址会通过嵌入baidu.com或其相近的字符标识,来让大家相信这是真实的网址
那我们在辨别网址过程中
最主要也是最直接的办法就是确定顶级域名和二级域名
当然,攻击者除了通过模仿真实域名外,还有其他钓鱼攻击办法
如通过修改路由器DNS表来进行攻击等
扩展学习:
有一定网络基础的同学可能会了解路由器的DNS协议,
简单来说,你要访问的网址会被路由器翻译成ip地址以便在网络中传输,形如192.168.1.1
而不同的网站对应着不同的ip地址,为了保证访问的地址正确,那么就会有一个专用的表来保存这种对应信息
当黑客拿下路由器后,便可以修改这个表格,将百度域名对应的ip修改为钓鱼网站的ip地址,然后你输入的百度域名访问百度时悄无声息地变成了钓鱼网站的地址,这样,你无意中就访问了钓鱼网站了
这就是我们要保护好路由器的原因
还有一些可以通过修改操作系统文件进行攻击,如Windows可以通过修改hosts文件,直接在本机将百度的ip设定为其他任何ip地址,这样你访问的时候,手机就会直接按hosts文件描述,直接访问你设定的ip地址
这就是我们也要保护手机系统安全的原因
除此之外,还可以关注证书(国内某些破解程序为了持续使用,就会防止程序自动更新,就会将程序更新网址指向其他不可达的IP地址)
也可通过查看网站证书鉴别网站真实性,当你点击证书信息时,你就会获得CA颁发证书前核实过的所有信息,当然这个属于对网络比较熟悉的人使用了
还有一些其他的鉴别技巧,不过都是些比较少见了,也不一定通用,在此就不多做扩展了
作为普通人,我们就掌握好第一点就行
关注URL,确定顶级域名和二级域名的正确
面对各类钓鱼网站的威胁,我们该如何保护自己不被欺骗?
这个问题怎么说呢?!
重要的话说三遍
就是不要乱点!不要乱点!不要乱点!
就算你鉴别手段再高超,也有疏漏马虎的时候
所以,避免被骗,你要知道这4点
- 不要随意点击别人发来的链接,即使你觉得这就是真的网站,也不要随意去点 不要随意在网页上输入你的敏感信息,尤其是你的个人信息、银行账户密码等 不要随便相信邮件短信等发来的中奖信息、促销信息等(天上不会掉馅饼) 养成关注辨别URL的好习惯