提高警惕 謹防圖片式釣魚陷阱
作者: 萬立夫 文章來源: 電腦報 本站發布時間:2010-07-09 00:00
1210
有時候收到QQ發來的網址�,從域名看明明就是真正的淘寶網址�����,而且網址前也有表示安全的綠盾標志����,但點擊后你卻被引向了假冒淘寶的釣魚網站����,導致錢財盡失��。你納悶自己已經看得夠仔細了為何還會被騙�����?其實你遭遇了一種新型的圖片式釣魚。nn 這是一種目前正在淘寶等網購平臺上流行的釣魚手段,由于迷惑性更強,受害者不在少數。nn 在受害者看來,詐騙者發來的網址鏈接似乎沒有任何問題(圖1):域名是官方域名�����,同時QQ中有綠盾標志(QQ安全中心采用白名單驗證機制�,如果是假網址,是不會出現綠盾標志的)?�?吹竭@些表象�,受害者通常都不會再懷疑,一旦受害者點擊鏈接,就會進入詐騙者精心設計的釣魚網站��,等待受害者的就是錢財��、賬號丟失的結果了���。nn 事實上�����,這個網址鏈接盡管迷惑性很強,但也并非毫無破綻。如果你再仔細看,就會發現這其實是一個圖片地址(由于網址本身很長,受害者很容易忽略這點�,只注意前面的域名去了)����,而釣魚的玄機就在這個圖片中。nn 詐騙者會特制一個圖片,圖片中含有釣魚網站(圖2)的地址,然后將圖片上傳到正規網站中��,得到圖片的鏈接地址并發給受害者���。由于這個鏈接的確來自官方網站��,自然也就能通過QQ安全中心的驗證。但當受害者點擊鏈接后���,就會跳轉到圖片中包含的那個釣魚網站。nnn 也就是說���,只要允許上傳圖片的知名網站,都有可能被用來進行針對性的圖片式釣魚(如針對新浪的釣魚攻擊�,就把圖片傳到新浪網上)��。那么,面對如此詭異的圖片式釣魚���,有什么好的預防方法嗎?nn 利用工具攔截釣魚網站nn 這種最新的圖片式釣魚網站迷惑性很大���,從目前的情況來看,最好的方法是利用安全輔助工具���,它們的反網絡釣魚功能可以有效地對付最新的圖片式釣魚��,例如銳甲、金山網盾��、360安全衛士等��。nn 以金山網盾為例�����,點擊“釣魚網站智能攔截”的“開啟”命令,激活反網絡釣魚功能,再點擊“廣告過濾”后的“設置”按鈕���,在彈出窗口的“不良網站過濾”處選擇“立即訂閱”(圖3),這樣就會獲得最新的釣魚網站信息,提高攔截的成功率。nnn 靠經驗識破釣魚網站nn 目前安全輔助工具攔截釣魚網站����,主要還是靠收錄這種方式,最新的釣魚網站是可以突破安全輔助工具的�,如果安全輔助工具不起作用了����,又該怎么辦呢�����?圖片式釣魚再高明�,最終呈現在用戶眼前的還是釣魚網站�。nn 常見的釣魚網站不外乎就是中獎活動(騙匯款費、稅費)���、支付頁面(騙錢)、驗證頁面(騙網游�、QQ賬號和密碼)���,看到這三類頁面就要提高警惕����,先看看內容是不是太夸張��、域名是否可疑�����。nn 如果還是不能確定網站的真偽,不妨點擊網頁左上角的網站圖標�,如果沒有跳轉到網站首頁�,就說明網站是假冒的�����。nn 如果還不能得到答案����,不妨將網址復制到文本文件中�����,鼠標移到網址上,安全輔助工具會給出提示,如果看到“訪客稀少”���,就說明網站是假冒的。nn n 揭秘圖片式釣魚手法nn 看完上文是不是意猶未盡,是不是還有疑問沒有想通——圖片中怎么會有釣魚網址�?騙子是怎么做到的��?其實,騙子上傳的圖片是特制的,小編給大家演示一下。首先創建一個文本文件��,輸入跳轉代碼(圖4)��,其中最關鍵的一句代碼是 window.location.+Request("id")���;�����。nnn 這句代碼的作用是,當瀏覽器打開圖片后立即跳轉到指定的鏈接�����,http://xxx.net就是釣魚網站的地址。為了更好地迷惑用戶�����,騙子還會對釣魚網址進行偽裝��,讓用戶誤以為是真正的網站地址��,例如偽裝成taobao1.com�。nn 看到這里,相信你已經豁然開朗,圖片式釣魚就是在普通釣魚手法上多了一個跳轉,具備雙重迷惑性����,被識破的難度提高了不少�����。繼續操作吧,將文本文件另存為圖片格式的文件,例如GIF�����、JPG格式等��,最后將圖片上傳到網站即可�����。nn 其實,利用圖片作惡不是什么新鮮事,網頁掛馬就曾經大范圍使用過�,禍害過無數的網民?�,F今,釣魚網站也盯上了圖片,值得所有網站管理員警惕��,需要加入校驗圖片真偽的機制���。小編擔憂的是�����,不法分子在未來極有可能利用圖片同時進行網絡釣魚和網頁掛馬���,謀求利益最大化。n
注:本文轉載自電腦報����,轉載目的在于傳遞更多信息����,并不代表本網贊同其觀點和對其真實性負責��。如有侵權行為��,請聯系我們,我們會及時刪除��。
