有时候收到QQ发来的网址,从域名看明明就是真正的淘宝网址,而且网址前也有表示安全的绿盾标志,但点击后你却被引向了假冒淘宝的钓鱼网站,导致钱财尽失。你纳闷自己已经看得够仔细了为何还会被骗?其实你遭遇了一种新型的图片式钓鱼。
这是一种目前正在淘宝等网购平台上流行的钓鱼手段,由于迷惑性更强,受害者不在少数。
在受害者看来,诈骗者发来的网址链接似乎没有任何问题(图1):域名是官方域名,同时QQ中有绿盾标志(QQ安全中心采用白名单验证机制,如果是假网址,是不会出现绿盾标志的)。看到这些表象,受害者通常都不会再怀疑,一旦受害者点击链接,就会进入诈骗者精心设计的钓鱼网站,等待受害者的就是钱财、账号丢失的结果了。
事实上,这个网址链接尽管迷惑性很强,但也并非毫无破绽。如果你再仔细看,就会发现这其实是一个图片地址(由于网址本身很长,受害者很容易忽略这点,只注意前面的域名去了),而钓鱼的玄机就在这个图片中。
诈骗者会特制一个图片,图片中含有钓鱼网站(图2)的地址,然后将图片上传到正规网站中,得到图片的链接地址并发给受害者。由于这个链接的确来自官方网站,自然也就能通过QQ安全中心的验证。但当受害者点击链接后,就会跳转到图片中包含的那个钓鱼网站。
也就是说,只要允许上传图片的知名网站,都有可能被用来进行针对性的图片式钓鱼(如针对新浪的钓鱼攻击,就把图片传到新浪网上)。那么,面对如此诡异的图片式钓鱼,有什么好的预防方法吗?
利用工具拦截钓鱼网站
这种最新的图片式钓鱼网站迷惑性很大,从目前的情况来看,最好的方法是利用安全辅助工具,它们的反网络钓鱼功能可以有效地对付最新的图片式钓鱼,例如锐甲、金山网盾、360安全卫士等。
以金山网盾为例,点击“钓鱼网站智能拦截”的“开启”命令,激活反网络钓鱼功能,再点击“广告过滤”后的“设置”按钮,在弹出窗口的“不良网站过滤”处选择“立即订阅”(图3),这样就会获得最新的钓鱼网站信息,提高拦截的成功率。
靠经验识破钓鱼网站
目前安全辅助工具拦截钓鱼网站,主要还是靠收录这种方式,最新的钓鱼网站是可以突破安全辅助工具的,如果安全辅助工具不起作用了,又该怎么办呢?图片式钓鱼再高明,最终呈现在用户眼前的还是钓鱼网站。
常见的钓鱼网站不外乎就是中奖活动(骗汇款费、税费)、支付页面(骗钱)、验证页面(骗网游、QQ账号和密码),看到这三类页面就要提高警惕,先看看内容是不是太夸张、域名是否可疑。
如果还是不能确定网站的真伪,不妨点击网页左上角的网站图标,如果没有跳转到网站首页,就说明网站是假冒的。
如果还不能得到答案,不妨将网址复制到文本文件中,鼠标移到网址上,安全辅助工具会给出提示,如果看到“访客稀少”,就说明网站是假冒的。
()
揭秘图片式钓鱼手法
看完上文是不是意犹未尽,是不是还有疑问没有想通——图片中怎么会有钓鱼网址?骗子是怎么做到的?其实,骗子上传的图片是特制的,小编给大家演示一下。首先创建一个文本文件,输入跳转代码(图4),其中最关键的一句代码是 window.location.href="http://xxx.net "+Request("id");。
句代码的作用是,当浏览器打开图片后立即跳转到指定的链接,http://xxx.net就是钓鱼网站的地址。为了更好地迷惑用户,骗子还会对钓鱼网址进行伪装,让用户误以为是真正的网站地址,例如伪装成taobao1.com。
看到这里,相信你已经豁然开朗,图片式钓鱼就是在普通钓鱼手法上多了一个跳转,具备双重迷惑性,被识破的难度提高了不少。继续操作吧,将文本文件另存为图片格式的文件,例如GIF、JPG格式等,最后将图片上传到网站即可。
其实,利用图片作恶不是什么新鲜事,网页挂马就曾经大范围使用过,祸害过无数的网民。现今,钓鱼网站也盯上了图片,值得所有网站管理员警惕,需要加入校验图片真伪的机制。小编担忧的是,不法分子在未来极有可能利用图片同时进行网络钓鱼和网页挂马,谋求利益最大化。
网友评论