更新于2019-01-20 11: 58
views

点击数:106

网络钓鱼是指钓鱼者设置一个页面,吸引你进入那个页面,诱使你在那个页面输入你的帐号密码或进行转帐等操作。在文章开头提到的 QQ 盗号就是网络钓鱼的一种。

网络钓鱼总是想使你失去理性判断能力,引诱你的情绪失控,从而进行钓鱼者希望的操作。常见的手段是在时间上给你压力或吸引,想让你立即点开链接。

你看到的链接,不一定是你实际访问的链接。这种欺骗实现起来没有任何难度。比如这个:https://one-piece.blue,看起来这个链接是指向我的博客首页,但你点开就会发现,这个其实是指向《海贼王》的官网:one-piece.com。需要指出的是,链接的文本,也就是我们看到的蓝色(或其他颜色,通常带有下划线)的文字,是可以任意定义的。比如,上文中的“任意”就是我设置显示文本为“任意”,它实际指向的链接是我的博客。

在电脑上把鼠标悬停在链接上面,在浏览器的左下角就能看到真实的链接

真实网址

左下角的这一串字符就是网址。
网址(URL)长这样子:
http(s)://内容1.网站名.顶级域名/内容

防范钓鱼网站的第一步,是学会识别网址。

下面逐一讲解一下网址各部分的含义:

http 与 https

http(s)://内容1.网站名.顶级域名/内容2

http 或 https 是最开始的部分,它们是两种协议的名字。这个“协议”是干嘛的?我要签署它吗?你可能会有这样的疑问。
先来说一下访问网页时发生了什么事情:

浏览器、终端、服务器
你在浏览器输入网址或点开某个接,这时浏览器就向目标网站发送数据,请求建立你的终端(终端包括:电脑、手机、平板等所有能上网的设备)和服务器接(服务器就是目标网站用来提供服务的电脑,小网站可能只存储在一台电脑上,而像百度、淘宝、腾讯是用很多电脑(服务器集群)来提供服务)。连接建立之后,你的电脑和服务器就开始互相发送数据。

协议、明文、加密
为了传输这些数据,人们制定了一些协议,HTTP 与 HTTPS 就是其中的两种。其中的“S”就是“secure”即“安全”。这个安全不是说目标网站是安全的,而是你的终端与服务器之间的连接是安全的。HTTP 在互联网上面使用明文传输数据,而 HTTPS 则对传输的数据进行了加密
两者的区别可以举个例子:你与你喜欢的 TA 传纸条,你们约好了一套规则对你们的纸条内容进行加密。比如你们准备了一个密码本:用“1”代表“我”,用“2”代表“你”,用“RT”代表“喜欢”等等。你想对 TA 说:“我喜欢你。”,使用密码本加密后的密文就是“1RT2”。这样就算纸条的内容在传递过程中被老师或同学看到,只要没有密码本,他们就不会明白你们交流的内容。这就是加密通信的好处。当然,HTTPS 的加密规则不是这么简单的。使用 HTTPS 传输的数据一般不会被除你的终端和目标网站之外的人解密。

最后,我们在浏览器输入网址时,一般没有必要输入“http(s)://”这部分内容。例如,直接输入“one-piece.blue”就可以访问到我的博客。使用 http 还是 https 是由你想访问的目标网站决定的。如果网站本身不支持 https,你自己手动输入 “https”,想要使用加密的访问,是没用的,打开网页后在浏览器地址栏显示的网址仍然是“http”。

safe unsafe

Firefox 浏览器的“安全”与“不安全”。左侧是我的博客,右侧是“中国政府网”。

safe unsafe

所以要再一次强调,浏览器所说的安全,只是在说“连接”,与网站内容是无关的。钓鱼网站也可能是安全的连接。

“:/ . 内容1 内容2 ”的含义

http(s)  ://  内容1.网站名.顶级域名  /  内容2
“://”用于分隔“协议”与其后面的内容。协议不只是上文提到的“http”“https”,还有其他的,比如“ftp”。
“/”“.”也是起到分隔的作用。

http(s)://内容1.网站名.顶级域名/内容2
“内容1”“内容2”在识别钓鱼网站时不需要过多关注。它们作用是告诉目标网站你想要访问的内容。不是用来标识网站身份的。
“www”是“内容1”的常见形式。

网站名、顶级域名

http(s)://内容1.网站名.顶级域名/内容2
这个是识别钓鱼网站的关键。“网站名”+“顶级域名”可以在网络上唯一地标识网站的身份(就像身份证号那样)。钓鱼网站通常会在这两个名字上面做小动作,比如数字“0”与字母“o”、数字“1”与字母“l”“i”等类似的互相替换。举例就是“one-piece.blue”与“one-piece.com”是不同的,“baidu.com”“ba1du.com”是不同的。

所以,要养成打开陌生网页之前与之后,检查浏览器地址栏的习惯。

常见的顶级域名有:com、cn、org、net

特殊的域名
有类特殊的域名需要专门说一下:“类别.国家(地区)”。例如:com.cn、edu.cn、gov.cn、com.hk 这些域名在访问上大致是和 .cn、.hk 一样的,也就是说“网站名.cn”与“网站名.com.cn”,最后指向的一般是相同的网页。这种情况下的“网站名”不是“com”,而是“.com.cn”之前到第一个“.”的那段字符。

如何确定官方网址

防范钓鱼网站的第二步,是认识官方网址。

只会识别网址还不够,我们还要能够分辨哪个才是官方网址。这个更多的是经验积累了。

  • 在维基百科上输入网站或产品的名字,在介绍中会给出官网的网址,这个准确性较高
  • 参考搜索引擎(谷歌、百度)的搜索结果,观察显示的网址;百度的搜索结果排第一名的很可能不是官网,而是广告。
  • 网站的网站名一般都是有意义的,比如网站名对应的拼音、单词。
  • 注意顶级域名。比如,政府网站是:gov.cn,教育科研(大学官网等):edu.cn,组织(计算机界的官网喜欢用这个,比如 Python):org

实例分析

以下都是我身边的真实案例:

这两张图都是诱导扫码进行钓鱼。第二张图的二维码对应的网址是:“http://photo.house.sina.com.cn/imp/imp/deal/df/10/f/19b39beda77577875e9300c2784_p36_mk35.gif&?_wv=9191&wwv=132”,通过前面的学习,我们可以知道这个网址的网站名是:sina,也就是新浪的网站。应该是钓鱼者利用了新浪的漏洞。
网页打开后是下面的界面:

这张图是我用第三方浏览器打开的,所以能看到网址。
但实际情况都是受骗的人直接在 QQ、微信中长按扫描二维码,打开这个网站。

QQ、微信会强制使用它们内置的 QQ 浏览器打开链接,标题栏根本看不到网址,给辨别钓鱼网址增加了难度。
当然,在网页顶部下拉,是可以看到“网页由 XXX 提供”这样的字样。但钓鱼网站有时会专门做一个下拉动画,用来迷惑用户。下图就是有 2 层套壳的。深色背景的那个才是真正的网站。

上面 2 个钓鱼网站的界面完美地模仿了 QQ 空间的官方登录界面,而且普通用户会以为这个界面还是 QQ 的界面,意识不到这个是 QQ 浏览器的界面,误认为在这里输入帐号密码是安全的。
如果用户信以为真,输入了 QQ 号与密码,这次钓鱼就成功了。

通过这个案例相信大家就能够理解,为什么很多专家建议不要乱扫二维码。因为不扫就不知道它显示的到底是什么,普通用户很容易因此访问到不安全网站或下载软件。

第二个例子:
一位朋友手机在公交车上被偷了,钓鱼者模仿小米官方给受害者发短信。

http://www.xiaomi.gps.axtid.cn/mi
http://www.xiaomi.afxid.cn/
可以看到这几个网址只是在开头“www.xiaomi”模仿小米的官网,实际的网站名是“axtid””afxid”。
之后受害者在钓鱼网站输入了小米帐号及密码,这部手机就“洗白”了。找了客服,回复是这样的:

分类: 电脑及软件使用

发表评论

邮箱地址不会被公开。