如何識別網絡真假網站？

如何識別網絡真假網站？

一段時間來，假冒網站和木馬病毒盜取持卡人銀行卡的密碼和資金事件頻繁發生。相關人士稱，識破這些假網站其實並不難。遼寧科技學院信息工程系劉慧宇老師介紹，犯罪分子的手段並不高明，他們往往是冒充知名公司，特別是銀行寄來的電子郵件，誘騙不知情的使用者連上假造的網站，要他們輸入使用者名稱、密碼，或是銀行賬號等機密信息。網絡釣魚伎倆不外乎下面幾種：url欺騙最普遍劉慧宇老師說，url欺騙是網絡釣魚最普遍的一種形式，即通過一定的技術手段構建虛假的url地址，給用戶造成錯覺以為是在正確的網站上。目前常見的構建虛假url的方式有三種。1、顯示文字和鏈接地址不同例子：百度以上代碼的作用是使得用戶在網頁或郵件中看到顯示的是百度”，實際上是鏈接到google的網站上。識別這類欺騙還是比較簡單的，只要將鼠標移動到鏈接上，就可以在狀態欄中看到實際的鏈接地址。2、把兩個url和一個表格插入到html的href標記中例子：google這類欺騙很難識別，你在網頁中看到的網址是google，即使你把鼠標移動到鏈接上，在狀態欄上看起來依然鏈接到www．google．com的網站上，可是一旦你單擊該鏈接你才發現，你鏈接到的是百度的站點。用戶在上網過程中要時常注意地址欄上的url變化，一旦發現地址欄上的域名發生變化就要提高警惕，只有這樣才能有效避免被釣。3、利用ie的語法錯誤例子：百度在許多沒有打過補丁的計算機中，如果把url地址寫成 http：／／www．baidu．com＠www．redhat．com／”或者 http：／／www．baidu．com＠3633633987／”，通過鏈接欄和地址欄都將看到你鏈接的是http：／／www．baidu．com，可實際上顯示的頁面內容是http：／／www．redhat．com，很難想像用戶遇到這樣的鏈接會不上當。目前用戶能做的就是盡快地給升級系統或打上補丁。利用跨站腳本漏洞竊取信息所謂的跨站腳本就是攻擊者利用合法網站服務器程序上的漏洞，在站點的某些網頁中插入危險的html代碼，竊取用戶信息。克隆網站成騙錢捷徑由於制作一個網站的成本很低，造假者使用假身份證花幾百元很容易申請到一個域名，並租到服務器空間。1、url地址克隆使用和真實網址非常相似的域名，如：中國農業銀行的互聯網地址是 www．95599．cn”、 easyabc．95599．cn”、 www．abc95599．com”、 www．e95599．com”。近日出現的www．95569．cn（該網站已被查封）和www．95599．cn只有一字之差，然而卻是天壤之別。 2、頁面形式內容克隆在假冒網站上使用正規網站的logo、圖表、新聞內容和鏈接，惟一區別之處是輸入的賬號的位置，一旦用戶登陸網站，很難通過一般的常識來區別哪個是正規的網站，哪個是假冒網站。做好預防避免上當其實最好的自我保護方式不需要多少技術，可從鏈接來源和使用場合等方面來預防。1、鏈接來源1）對於銀行發來的手機短信，應認真核實短信的來源，如涉及到賬號問題要和銀行進行電話確認。2）對要求重新輸入賬號信息，否則將停掉信用卡賬號之類的郵件不予理睬。3）不要回復或者點擊郵件的鏈接，如果你想核實電子郵件的信息，可以使用電話聯系。4）若想訪問某個公司的網站，使用浏覽器直接訪問，輸入網址前，有必要確認網址的來源。點擊郵件中的鏈接、短信即時通信工具如qq、msn都是不可取的。5）如果一個網址中含有＠”符號，應該意識到，一般網址是完全沒有必要使用＠”符號的，因此不要使用這個網址。2、網上銀行安全使用技巧一個簡便的方法可幫你安全地使用網上銀行，現以中國工商銀行的網站為例進行介紹。進入網上銀行後，在看到輸入框時，不要急於輸入信息，此時要檢查ie是否啟用加密鏈接（看看是不是有小鎖的圖標），並檢查證書是否有效（雙擊小鎖圖標，打開證書”界面，查看其有效期），最好還要檢查證書是否與地址欄的地址相匹配（在證書”界面中選擇證書路徑”，並查看證書路徑”最後一項是不是與地址欄中的地址一致）。如果其中一項不符合，那麼就要小心了。接下來，為了防止計算機中可能有木馬竊取重要的信息，建議輸入卡號與密碼時采取如下方式：如卡號為 123456789”，密碼為 654321”，輸入卡號時先輸入 567891234”，再利用剪切／復制功能改為正確的卡號。這樣一來，記錄鍵盤操作的木馬也無法取得正確的卡號。提示：有的銀行登錄密碼和取款密碼可以設置為不同的密碼，如果銀行有這樣的服務，請一定將取款密碼與查詢/登錄密碼設為不同密碼，這樣即使查詢/登錄密碼洩漏，也不會影響資金安全。為什麼要輸入錯誤密碼呢？一是為了防止木馬記錄鍵盤操作，二是防止克隆網站。我們輸入錯誤密碼並點擊登錄後，應該給出明確的錯誤信息。而一些克隆網站會給出一些似是而非的信息，比如系統忙”、服務器出錯”等等。如果發現網站能夠給出正確的錯誤信息，我們再用正確密碼登錄不遲。如果使用正確密碼登錄出錯，無論什麼原因，都應該立刻修改密碼。如何防范鑒別釣魚網站? 在任何情況下，支付寶的任何密碼都是在加密鏈接中輸入。請牢記，需要您輸入支付或登陸密碼的環節一定要確認浏覽器的地址欄中的地址是：

開頭的，並且在浏覽器的下方或是地址欄上有 ”標志的安全站點。如果不是，請不要輸入任何信息。已經在釣魚網站輸入了密碼怎麼辦? 如果您還能登陸您的帳戶： 1.如果您能登陸請立刻修改您的支付密碼和登陸密碼。 2.並進入安全中心檢查上一次登陸地。進入交易管理查看是否有可疑交易。如果有請立刻致電支付寶0571-88156688。 3.進入安全中心，點擊

填寫此網站地址進行舉報  如果您還輸入了銀行的卡信息：  請立刻致電銀行申請臨時凍結帳戶或
[url=#]
電話
[/url]
掛失(此時您的銀行帳戶只能入賬不能出帳)  如果您已經不能登陸：  請立刻致電支付寶0571-88156688申請對您的帳戶進行暫時監管。  最後需要做的：使用最新版的
[url=#]
殺毒軟件
[/url]
對電腦進行全面掃描，確xxx魚網站沒有掛木馬。如果發現有，請在確認
[url=#]
電腦
[/url]
安全後再次修改登陸與支付密碼。      揭穿網絡釣魚謠傳正確識別防止網絡釣魚    現在，每一個在線的銀行站點都把反網絡釣魚技巧”作為他們站點的一項活動，來教給普通電腦用戶如何對付那些想收集他們私人信息的討厭的電子郵件。當這項教育活動剛剛有些起色的時候，這些技巧中的許多、甚至有些還是來自安全專家的建議，事實上是很可疑的、不正確的或者容易對用戶產生誤導的。本文揭穿了大多數的謠傳。並且，在本文的後半部分，我們還給出了一些提示，可以幫助你識別正當的和冒牌的web站點。謠傳1：安全的、加密的web頁面是一個正當web站點的象征。與常規的建議相反，決不要僅僅依靠 https//”前綴或者一個掛鎖的圖標就認為那是一個安全”的頁面。對於一個釣魚站點來講，擁有一個有效的ssl認證是完全可以做到的。你應該檢查一下認證的詳細信息，來查看一下對用戶名”字段的認證是否能夠匹配該組織網站的主機名，但是這可能需要掌握一些專門的技術。謠傳2：通過輸入授權的用戶名”進行安全保護，單擊這裡進行認證。你曾經看到過這個嗎?知道嗎，它們是沒有用的。這個提示通常出現在splash窗口上，點擊要求進行認證的鏈接並不能夠保證你就能夠連接到一個合法的web站點上。謠傳3：地址欄總是顯示正確的url。另一個有缺陷的建議就是說要查看地址欄，看是否是一個正確的url。這並不足以確定一個web站點就是合法的。網絡釣魚者能夠利用浏覽器軟件中的漏洞在地址欄中使用欺騙的信息。另一種類型的攻擊(dns欺騙)也能夠欺騙你讓你相信你所訪問的是一個合法的web站點。謠傳4：把鼠標移動到鏈接上你就會在狀態欄上看到真實的url。狀態欄的顯示的文本很容易就可以改變的。事實上，它甚至比在地址欄進行欺騙更容易。謠傳5：反釣魚軟件能夠防止欺騙發生。與防病毒軟件類似，它對新的惡意代碼是無能為力的，你的反釣魚浏覽器插件(通常是在互聯網上可以免費下載的)是不能夠發現所有的釣魚企圖的。相反的是，這樣會在你的浏覽器中增加軟件(通常是可疑的軟件)讓你容易受到特定軟件的攻擊。謠傳6：一封包含你個人信息的電子郵件合法的。如果你收到一封來自銀行的電子郵件，其中包含你的姓名和你的帳戶信息(或者一部分信息)，這可能就是一封進行欺騙的電子郵件。網絡釣魚者能夠通過一些組織的公共數據庫或者數據漏洞獲得一些你的個人信息。謠傳7：登錄你曾經知道是合法的web站點就是安全的。不，千萬不要這樣認為。網站的漏洞(稱作cross-sitescripting漏洞)能夠讓一個老練的攻擊者使用表單在公司的站點上進行重定向，把你重定向到攻擊者的web站點上，一旦你點擊了 login”或者 enter”按鈕它就會捕捉到你的認證信息。閱讀下面的建議能夠防止這樣的事情發生。你應該怎麼做才能夠避免被欺騙：提示1：不要點擊你的電子郵件中的鏈接。如果你收到了一封銀行的郵件向你詢問一些事情，不要點擊電子郵件中的鏈接，也不要使用電子郵件中的表單進行登錄。取而代之的是，打開你的浏覽器，直接打開該銀行的web頁面，在那裡進行登錄，然後再做你要做的事情。即使這封郵件來自你知道的某人，也不要點擊這個鏈接。提示2：無效的認證信息通常在假扮的web站點上起作用。如果你感覺到一個站點有些可疑，就使用虛構的用戶名和密碼進行登錄。如果這個站點出現登錄失敗”的頁面，只能說明你可能是在一個合法的站點上。它不可能總是使用模擬的登陸失敗來仔細檢查用戶的輸入的，在收集了認證信息後它就會重定向到合法的站點上了。如果你用虛構的認證信息通過了認證，那很顯然，這是一個釣魚陷阱了。提示3：使用電子郵件向你懷疑的公司報告信息。大多數財政機關都設立專門的電子郵箱來接收安全問題報告。如果你懷疑一個消息有釣魚企圖，就把這個消息轉發給那個機關。你應該包含完整的電子郵件頭部信息。不要期望得到它們的回復，因為他們收到了數以千計這樣的報告!    識別釣魚網站大揭秘

分類型，geotrust的quicksslpremium證書只要域名驗證

[1] [2] 下一页