钓鱼网站怎么识别?什么是钓鱼网站,如何预防?
钓鱼网站通常指伪装成银行及电子商务,窃取用户提交的银行帐号、密码等私密信息的网站,可用电脑管家进行查杀。“钓鱼”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及握册页面内容,或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。
一般通过电子邮件传播,此类邮件中一个经过伪装的链接将收件人联到钓鱼网站。钓鱼网站的页面与真实网站界面完全一致,要求访问者提交账号和密码。一般来说钓鱼网站结构很简单,只有一个或几个页面,URL和真实网站有细微差别。
互联网上肢纳活跃的钓鱼网站传播途径主要有八种:
1、通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接;
2、在搜索引擎、中小网站投放广告,吸引用户点击钓鱼网站链接,此种手段被假医药网站、假机票网站常用;
3、通过Email、论坛、博客、SNS网站批量发布钓鱼网站链接;
4、通过微博、Twitter中的短连接散布钓鱼网站链接;
5、通过仿冒邮件,例如冒充“银行密码重置邮件”,来欺骗用户进入钓鱼网站;
6、感染病毒后弹出模仿QQ、阿里旺旺等聊天工具窗口,用户点击后进入钓鱼网站;
7、恶意导航网站、恶意下载网站弹出仿真悬浮窗口,点击后进入钓鱼网站;
8、伪装成用户输入网址时易发生的错误,如gogle. com、sinz. com等,一旦用户写错,就误入钓鱼网站。
防范办法
第一、查验“可信网站”
通过第三方网站身份诚信认证辨别网站真实性。不少网站已在网站首页安装了第三方网站身份诚信认证——“可信网站”,可帮助网民判断网站的真实性。
“可信网站”验证服务,通过对企业域名注册信息、网站信息和企业工商登记信息进行严格交互审核来验证网站真实身份,通过认证后,企业网站就进入中国互联网络信息中心(CNNIC)运行的国家最高目录数据库中的“可信网站”子数据库中,从而全面提升企业网站的诚信级别,网民可通过点击网站页面底部的“可信网站”标识确认网站的真实身份。网民在网络交易时应养成查看网站身份信息的使用习惯,企业也要安装第三方身份诚信标识,加强对消费者的保护。
第二、核对网站域名
假冒网站一般和真实网站有细微区别,有疑问时要仔细辨别其不同之处,比如在域名方面,假冒网站通历皮没常将英文字母I被替换为数字1,CCTV被换成CCYV或者CCTV-VIP这样的仿造域名。
第三、比较网站内容
假冒网站上的字体样式不一致,并且模糊不清。仿冒网站上没有链接,用户可点击栏目或图片中的各个链接看是否能打开。
第四、查询网站备案
通过ICP备案可以查询网站的基本情况、网站拥有者的情况,对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站,根据网站性质,将予以罚款,严重的关闭网站。
第五、查看安全证书
大型的电子商务网站都应用了可信证书类产品,这类的网站网址都是“https”打头的,如果发现不是“https”开头,应谨慎对待。
预防钓鱼网站工具
1、百度杀毒
2、360安全卫士
3、腾讯管家
专家建议
钓鱼在大多数情况下是关于你的银行账号、密码、信用卡资料、社会保障卡号以及你的电子货币帐户信息。关于用户的paypal、yahoo邮件、gmail及其他免费邮件服务。只要记住上述那些正式公司绝不会通过电子邮件让你提供任何信息。如果你收到类似要求,让你提供资料,或者在邮件中带有指向网站的链接,那么它一定是网络钓鱼诈骗。
专家提醒,网民在查找信息时,应该特别小心由不规范的字母数字组成的CN类网址,最好禁止浏览器运行JavaScript和ActiveX代码,不要上一些不太了解的网站。
访问以下哪个网址将可能遭受钓鱼攻击
A、;
B、;悉唯
C、;桥含
D、睁消培creditcard.ccb.com
分析网站被频繁攻击的原因以及怎样预防?
网站经常被黑的的根本原因主要有以下几点:
1、跨站脚本(XSS)
XSS漏洞是最普遍和最致命的网络应用软件安全漏洞,当一款应用软件将用户数据发送到不带认证或者不对内容进行编码的网络浏览器时容易发生。黑客可以利用浏览器中的恶意脚本获得用户的数据,破坏网站,插入有害内容,以及展开钓鱼式攻击和恶意攻击。
2、注入漏洞
当用户提供的数据被作为指令的一部分发送到转换器(将文本指令转换成可执行的机器指令)的时候,黑客会欺骗转换器。攻击者可以利用注入漏洞创建、读取、更新或者删除应用软件上的任碰陵意数据。在最坏的情况下,攻击者可以利用这些漏洞完全控制应用软件和底层系统,甚至绕过系统底层的防火墙。
3、恶意文件执行
黑客们可以远程执行代码、远程安装rootkits工具或者完全攻破一个系统。任何一款接受来自用户的文件名或者文件的网络应用软件都是存在漏洞的。漏洞可能是用PHP语言写的,PHP是网络开发过程中应用最普遍的一种脚本语言。
4、跨站指令伪造
这种攻击简单但破坏性强,它可以控制受害人的浏览器然后发送恶意指令到网络应用软件上。这种网站是很容易被攻击的,部分原因是因为它们是根据会话cookie或者“自动记忆”功能来授权指令的。各银行就是潜在的被攻击目标。
5、信息泄露和错误处理不当
各种应用软件产生并显示给用户看的错误信息对于黑客们来说也是有用的,那些信息可能将用户的隐私信息、软件的配置或者其他内部资料泄露出去。
6、不安全的认证和会话管理
如果应用软件不能自始至终地保护认证证书和会话标识,用户的管理员账户就会被攻破。应注意隐私侵犯和认证系统的基础原理并进行有效监控。
7、不安全的加密存储笑散戚设备
虽然加密本身也是大部分网络应用软件中的一个重要组成部分,掘宴但是许多网络开发员没有对存储中的敏感数据进行加密。即便是现有的加密技术,其设计也是粗制滥造的。
8、不安全的通信
与第8种漏洞类似,这种漏洞出现的原因是因为在需要对包含敏感信息的通信进行保护时没有将网络流通的数据进行加密。攻击者们可以获得包括证书和敏感信息的传送在内的各种不受保护的会话内容。因此,PCI标准要求对网络上传输的信用卡信息进行加密。
如何判断一个网站是否是钓鱼网站?
钓鱼网站通常是指伪装成银行及电子商务扮银乎等网站,主要危害是窃取用户提交的银行帐号、密码等私密信息。
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码搏明或信用卡详细信息)的一种攻击方式。
最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。
这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。
钓鱼网站通常指伪装成银行及电子商务,窃取用户提交的银行帐号、密码等私密信息的网站,可用电脑管家进行查杀。
“钓鱼”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。
钓鱼网站通常伪装成为银行网站,窃取访问者提交的账号和密码信息。它一般通过电子邮件传播,此类邮件中一个经过伪装的链接将收件人联到钓鱼网厅悉站。
如何才能识别欺诈钓鱼网站?
钓鱼网站”便是随此和着网络普及和在线交易增加而变得异常猖獗的网络诈骗行为。“钓鱼网站”是犯罪分子做出的诈骗网站,“钓鱼网站”通常与银行网站或其他知名网站几乎完全相同,从而引诱网站使用者在“钓鱼网站”上提交出敏感信息(如:用户名、口令、帐号ID、ATM PIN 码或信用卡详细信息等)。
最典型的网络钓鱼攻击过程如下:首先将用户引诱到顷扒脊一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,然后获取用户在该钓鱼网站上输入的个人敏感信息,例如银行帐号雀渗、银行密码等。通常这个攻击过程不会让受害者警觉。这些个人信息对钓鱼网站持有者具有非常大的吸引力,通过使用窃取到的个人信息,他们可以假冒受害者进行欺诈性金融交易,获得极大的经济利益,而受害者们却因此而遭受到巨大的经济损失,非但如此,被窃取的个人信息还可能被用于其他非法活动。
如何识别钓鱼网站,如何保证网站信息传输的保密完整性,安装SSL证书。如VeriSign SSL证书,其在用服务器证书数量超过100万张。VeriSign最具特色的站点签章标志(VeriSign Secured® Seal),拥有庞大的用户群,支持13种语言,每天的浏览人次数超过1.5亿次,创新的签章实现技术确保该标志不会被假冒或钓鱼网站非法使用,该标志是全球范围内最为可信的安全站点标志。在中国大陆,VeriSign通过与天威诚信数字认证中心合作共同推进数字证书业务在国内的发展
给各位解析一个让钉钉都中招的网络钓鱼攻击:同形异义字
同形异义字钓鱼攻击号称“几乎无法检测”,是最狡猾的钓鱼攻击!这种攻击产生的原因是国际化域名IDNs(Internationalized Domain Names)支持多语种域名,而其中一些非拉丁字符语种的字母与拉丁字符非常相似,字面看很难区分。关于同形异义字钓鱼攻击的相关技术,freebuf上之前已有文章介绍,这里就不再过多介绍这个技术,不清楚可以自行搜索.
0×01 腾讯、京东、支付宝、微博、淘宝已面临同形异义字钓鱼攻击
真有这么多网站面临威胁?其实还不止,还有爱奇异、小米……
目前发现的威胁都是通过西里尔字母来进行混淆
上图是西里尔字母表,我们可以发现有不少字母与拉丁字母相识,这就是为什么用西里尔字母来进行混淆的原因
浏览器会通过Punycode来编码非拉丁字符毕橘的域名,编码后就可以避免产生混淆,但发现如果域名的一个字段里所有字符都是同一种语言,就不会进行编码(之前freebuf上有篇文章可能是笔误,关于这点刚好说反了)。据说这个问题chrome已经修复了,并且google还给相关发现者2000美金的奖励。
但我还是发现chrome有时候编码了,有时候又没编码
比如上面看到的“淘宝”,并没有编码。后面要讲的钓鱼攻击对是否编码已经不重要,所以现在就不用深究这个问题
我们先从јԁ.com开始(这里的јԁ.com 已不等于 jd.com了,是不是认不出来有什么区别 ^_^)
我们尝试注册јԁ.com,先Punycode转码后再查询
јԁ.com 转码后 xn--e2a25a.com
在国内不允许注册Punycode转码后的域名
在国外的域名网站就可以正常查询了,这里显示的not available是指已经被注册了,而不是说Punycode转码域名不能注册。之前获得谷歌2000美金的安全人员就注册过аррӏе.com(xn--80ak6aa92e.com)这个域名
直接在浏览器中打薯数核开 јԁ.com (xn--e2a25a.com )
目前域名还没被解析,来到了域名服务商提供的默认页面。
继续点击“了解如何才能拥有此域名”,可以看到明确说明此域名已经出售。
我们还可以再做个实验:
xiami.com虾米是阿里旗下的音乐网站,
我们查询西里尔字母的хіамі.com,这个域名就没有被注册,显示的available
хіамі.com 转码后 xn--80ayza2ec.com
不是所有的英文字母都有与之相似对应的西里尔字母
我尝试了一些可以用西里尔字母拼出的国内知名网站
ԚԚ.com 转码后 xn--x7aa.com (腾讯)
ԛԛ.com 转码后 xn--y7aa.com (腾讯)
јԁ.com 转码后 xn--e2a25a.com (京东)
аӏірау.com 转码后 xn--80aa1cn6g67a.com (支付宝)
іԛіуі.com 转码后 xn--s1a1bab69g.com (爱奇艺)
ТаоЬао.com 转码后 数掘 xn--80aa5bbq6d.com (淘宝)
ԝеіЬо.com 转码后 xn--e1as5bzb58e.com (微博)
ЅО.com 转码后 xn--n1a9b.com (360搜索)
Мі.com 转码后 xn--l1a6c.com (小米)
显示全部已被注册
又尝试了部分以上可以用大小写混淆的形式
Ӏԛіуі.com 转码后 xn--s1a1bb53bvo.com (爱奇艺)
іԚіуі.com 转码后 xn--s1a1bab19g.com (爱奇艺)
іԚіҮі.com 转码后 xn--c2aaa96axr.com (爱奇艺)
ԜеіЬо.com 转码后 xn--e1as5bzb08e.com (微博)
ТАОВАО.com 转码后 xn--80aaf1cct.com (淘宝)
同样显示已被注册
试了这么多域名都被注册了,可能我们会再次怀疑是系统问题或是巧合,我在上面的ТАОВАО后面再加个О试试
ТАОВАО О.com 转码后 xn--80aaf1ccaw.com
这个域名就没有被注册了,所以不得不怀疑以上的域名是被刻意注册的
上图是јԁ.com(xn--e2a25a.com)的whois信息,whois信息被隐藏保护的,其他域名也类似或者提示无法显示或者有相关信息也无法追溯,只追溯到一个域名是国内安全圈的老司机注册的,这位可能是用来做研究
0×02 实施同形异义字钓鱼攻击,钉钉存在安全隐患
前面提到的chrome的漏洞就是浏览器地址栏没有进行Punycode转码,导致相似的文字可能产生混淆,存在钓鱼攻击的威胁。
我们这里不管google的这个漏洞有没有修复,换一个攻击思路:
一般内嵌手机APP的webview是没有地址栏的,所以转码也好,没转码也好,用户是看不到网址的
这里选了两个手机端最常见的即时聊天APP:
微信 和 钉钉
用域名:
ТаоВао.com 转码后 xn--80aaf1cct.com
在我自己的iphone上进行了试验:
在微信里,这样的域名无论是否加http前缀都不会自动识别为url,所以也无法点击。(像上面baidu.com识别为url的会显示为蓝色,就可以直接点击打开)
然后再在钉钉里进行相同的尝试
在钉钉里三种形式都自动识别为url,点击后就可以直接打开网址
按住手机屏幕下拉可以看到当前的url为 xn--80aaf1cct.com 即 ТаоВао.com
也就是说在钉钉里发起同形异义字钓鱼攻击很难防范,存在很大的安全风险。加之前面的分析,大量这样的钓鱼网址已被注册,随时可能面临威胁
这里就没再对其他的APP做实验,很可能或多或少都有这样的问题
0×03 结尾
按照惯例总有个结尾,这次就只说一句,希望马爸爸看到这篇文章,看是否也能给个奖励.
0条大神的评论