钓鱼,一般都是仿照正规网站的页面和登录样式诱导人输入账号密码从而窃取。
鉴别方法
钓鱼网站一般从界面上都是无法鉴别的,因为仿一个一模一样的网站实际上毫无技术难度。唯一可以识别的只有网站的域名。以百度为例:
baidu.com为顶级域名,是辨识网站来源的主要途径,而顶级域名下可以随意设置子级域名,例如:
pan.baidu.com(百度网盘) image.baidu.com(百度图片) tieba.baidu.com(百度贴吧)
同理,腾讯的顶级域名为qq.com,也有子级域名qzone.qq.com(空间) mail.qq.com(邮箱)
我的网站顶级域名为riki.xyz,子级域名music.riki.xyz(音乐下载) movie.riki.xyz(影视播放)
所以判断网站是否正规只看顶级域名,如qq.pianzi.com就是pianzi.com的网站而非QQ,当然我也可以建一个qq.riki.xyz网站当然也是属于我而不是QQ。
看起来似乎很简单,但成熟的钓鱼网站域名还是有一定迷惑性,下面给出几个链接,看看大家能否一眼识别真伪:
asdfghj.qq.comuser.qzone.qq.com/1287812463pan.bai-du.com/vbd11Ecv4mail.qq.hkmail.google.com/mail/u/0/?tab=wm&obgl#inboxqzone.qq.com.download-image.user.com/Ae89o612google.com/amp/tinyurl.com/1ljNh78K
答案:
具体操作
有些情况下可能不是那么容易地获取网站的地址,有些同学甚至不知道浏览器中网址显示在哪里:
浏览器
浏览器上方地址栏显示的就是当前网站的网址。将鼠标移动到网页中的超链接按钮、文本等,浏览器底部会显示目标跳转链接(仅限电脑)。
微信/QQ链接
下拉页面,上方显示网页由XXXX提供,即为网站地址,如果不是.qq.com结尾,则大概率为假网站
实际案例
以常用的QQ盗号钓鱼网站为例,这类网站也一直在不断进化
钓鱼方式
- 骗子在自己的服务器上部署钓鱼网站的代码,把自己的域名解析到该网站。
- 由于有些骗子会用一个顶级域名建立很多个钓鱼网站,链接可能较长让人容易识破,于是骗子可能会使用短链接生成工具,缩短后的链接往往长这样
t.cn/c12scSSZ01 - 腾讯为了防止用户受骗,在QQ内部浏览器中点击文本框,网页顶端就会显示
警惕盗号风险,请勿输入QQ密码,机智的骗子把文本框部件换了,加了个软键盘,QQ顶端就不会显示盗号风险提示了。
传播方式
- 此前传播方式大多是通过窃取到的QQ号群发消息,诱导更多人打开钓鱼链接,病毒式传播。
- 但大多数人发现自己账号群发了垃圾信息都会意识到自己账号被盗了然后修改密码,骗子费了周折盗取的密码就失效了,所以后来骗子就改成了让用户主动分享的方式,”送你1年svip,分享到5个群即可领取“就是最近很常见的新手段,无数人中招,并且甚至都不知道自己的密码已经泄露了。
但是,无论钓鱼这种骗术如何进化,看网址还是最直接、有效、科学的鉴别方法。而不是谨小慎微地凡是链接都不点,QQ的消息卡片功能使得钓鱼网站可以伪装成腾讯文档、群通知、群作业等,不从原理上区分难免会中招,多了解一些网络常识就能轻松避免隐私泄露,也不至因噎废食。
版权属于:Riki
本文链接:https://riki.xyz/index.php/archives/91/
转载时须注明出处及本声明