钓鱼网站
钓鱼网站是指欺骗用户的虚假网站。钓鱼网站的基本特征是,其界面基本与真实网站一致,充满诱导性,通过表单交互来欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站是互联网中最常碰到的一种诈骗方式,通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。
攻击实例
在 QQ 非常流行的时期,最常见的钓鱼网站恐怕非”QQ 空间”莫属。高仿一个网站并不是什么难事,尤其是对于拥有 H5 开发经验的人来说。下面这个例子就是笔者花了不到一个小时便仿造出来的 QQ 空间登录页:
真正的 QQ 空间登录页:
可以看到,两者之间几乎没有任何差别。在笔者的仿造网站中,用户输入 QQ 账号与 QQ 密码之后点击登录,触发表单提交,提交到远程服务器去,这样就成功的骗到了一个 QQ 账号。
1 | <form |
为了防止露馅,表单需禁止自动提交,防止发生跳转而露出马脚,所以提交操作利用 submit 按钮的 click 事件回调完成,并且提交完成后重定向页面至真实的QQ空间
地址,虽然登录不成功,但用户很可能不会去注意这个问题,然后继续在真实的登录页面下登录。如下:
1 | window.onload = function () { |
结果:
假如http://www.test.com/
真实存在,那么该次盗取攻击已经成功执行了。
攻击发生及成功的原因
攻击者多数是抱着从中获利的心态,利用人类的贪婪、恐惧、信任、善良等情感诱骗被攻击者。例如,人们在收到巨额中将信息时,内心的贪欲可能战胜了理智,从而跟随攻击者的指引,一步一步陷入深渊,最终在攻击者仿造的某银行登录页面上泄露银行账户以及密码,造成损失。
防范办法
- 查验“可信网站” 正规经营的网站一般情况下在中国互联网信息中心(CNNIC)存有备案信息,备案信息对应着一个编号,通常情况下该编号存在于网站首页的底部,对应着一个连接,点击会跳转至该网站的经营许可证,格式如“粤网文[2017]6138-1456 号”
- 核对网站域名 无论网站首页如何相似,域名是不可能相同的。通过这点我们就可以辨别当前访问的网站是否是正规网站。
- 查询网站备案 通过 ICP 备案可以查询网站的基本情况、网站拥有者的情况,对于没有合法备案的非经营性网站或没有取得 ICP 许可证的经营性网站,根据网站性质,将予以罚款,严重的关闭网站 。
- 查看安全证书 大型的电子商务网站都应用了可信证书类产品,这类的网站网址都是“https”开头的,如果发现不是“https”开头,应谨慎对待。
反钓鱼联盟
中国反钓鱼网站联盟成员单位包括:工商银行、农业银行、中国银行、建设银行、华夏银行、光大银行、银河证券、腾讯、淘宝、支付宝等几十家金融机构和电子商务网站,以及中国万网、中企动力、厦门中资源、厦门华商盛世、阿里巴巴、ChinaSpringboardInc.等国内主要的域名注册服务机构。“中国反钓鱼网站联盟”并非官方机构,它的成员包括了域名管理机构、注册服务机构,以及银行证券类、电子商务类、网络安全类等企业,目的就是为了发现和治理“钓鱼网站”,主要是针对假冒其成员单位的“钓鱼网站”。该联盟在接到涉及联盟成员的投诉后,权威技术鉴定机构会立即对其进行判定,一经认定,两个小时内暂停其域名解析,终止欺诈行为。从处理的及时性上大大降低了“钓鱼网站”所造成的危害 。
最后
最跟本的预防办法还是擦亮眼睛,不要轻信来历不明的信息,谨防电信诈骗。