2023年釣魚(yú)網(wǎng)站的危害及防范策略研究

第釣魚(yú)網(wǎng)站的危害及防范策略研究

隨著互聯(lián)網(wǎng)技術(shù)及應(yīng)用的飛速發(fā)展和日益普及，我國(guó)網(wǎng)民的數(shù)量急劇增長(zhǎng)。根據(jù)《第29次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》和《202x-202x年度中國(guó)互聯(lián)網(wǎng)安全報(bào)告》，中國(guó)網(wǎng)民規(guī)模已經(jīng)達(dá)到5.13億，網(wǎng)絡(luò)規(guī)模穩(wěn)居世界第一。同時(shí)，我們必須看到以下嚴(yán)峻現(xiàn)實(shí)，截至202x年3月，中國(guó)反釣魚(yú)網(wǎng)站聯(lián)盟累計(jì)認(rèn)定并處理釣魚(yú)網(wǎng)站81916個(gè)，占實(shí)際網(wǎng)站數(shù)的3.57%，每天約有超過(guò)1.2%網(wǎng)民遭遇網(wǎng)絡(luò)釣魚(yú)，且70%的釣魚(yú)網(wǎng)站并未被目前已有的安全工具識(shí)別。根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急中心估算，國(guó)內(nèi)網(wǎng)絡(luò)釣魚(yú)去年讓網(wǎng)民損失了76億元，給社會(huì)帶來(lái)的間接損失可能超過(guò)200億元。

與此同時(shí)，釣魚(yú)網(wǎng)站的數(shù)量呈逐步上升的趨勢(shì)，每天增加到800至900個(gè)。金山網(wǎng)絡(luò)發(fā)布的《202x-202x中國(guó)互聯(lián)網(wǎng)安全研究報(bào)告》表明，今年每月攔截網(wǎng)民訪問(wèn)次數(shù)比去年激增100倍。因此，打擊網(wǎng)絡(luò)釣魚(yú)、應(yīng)對(duì)釣魚(yú)網(wǎng)站已迫在眉睫。

1釣魚(yú)網(wǎng)站的本質(zhì)特征

“釣魚(yú)網(wǎng)站”是不法分子利用各種技術(shù)手段，精心設(shè)計(jì)與目標(biāo)組織網(wǎng)站非常相似的仿冒網(wǎng)站，或者利用網(wǎng)絡(luò)服務(wù)器上的漏洞，在網(wǎng)站的關(guān)鍵頁(yè)面中插入危險(xiǎn)的網(wǎng)頁(yè)代碼，以此來(lái)騙取用戶姓名、手機(jī)號(hào)、通信地址、身份證號(hào)、銀行賬號(hào)、網(wǎng)絡(luò)游戲賬號(hào)和密碼等重要私密信息，進(jìn)而盜取受害者銀行資金，假冒受害者進(jìn)行欺詐性在線交易活動(dòng)，假冒受害者向好友發(fā)送信息進(jìn)行行騙，從而獲得非法經(jīng)濟(jì)利益?！搬烎~(yú)網(wǎng)站”實(shí)質(zhì)是一種網(wǎng)絡(luò)欺詐行為。

2釣魚(yú)網(wǎng)站的識(shí)別方法

2.1安全標(biāo)志查驗(yàn)法

用戶在進(jìn)行網(wǎng)絡(luò)交易等重要操作時(shí)應(yīng)養(yǎng)成查看網(wǎng)站身份標(biāo)識(shí)信息的使用習(xí)慣。在使用微軟IE9瀏覽器、360安全瀏覽器、騰訊瀏覽器、阿云瀏覽器和115瀏覽器時(shí)，瀏覽器地址欄右邊顯示網(wǎng)站身份標(biāo)識(shí)銘牌。網(wǎng)站身份標(biāo)識(shí)是以瀏覽器公司作為第三方認(rèn)證機(jī)構(gòu)，經(jīng)過(guò)對(duì)有認(rèn)證需求的企業(yè)網(wǎng)站進(jìn)行全面審核并對(duì)其身份和安全狀態(tài)給予確認(rèn)的服務(wù)。

認(rèn)證通過(guò)的企業(yè)

網(wǎng)站能得到認(rèn)證標(biāo)識(shí)，網(wǎng)民只要看到此標(biāo)識(shí)，便可放心訪問(wèn)該網(wǎng)站。

2.2域名結(jié)構(gòu)分析法

對(duì)域名結(jié)構(gòu)進(jìn)行分析是識(shí)別釣魚(yú)網(wǎng)站最基本的方法。域名最前面的http://或https://是超文本傳輸協(xié)議，域名的httx://……到第一個(gè)單斜杠“/”之間，這是域名所在的位置。在此從后往前倒數(shù)的第二個(gè)點(diǎn)“.”后面的部分才是真正的主域名，前面的部分是三級(jí)、四級(jí)……多級(jí)域名，不要理會(huì)，無(wú)論域名前面有多長(zhǎng)，也不管第一個(gè)單斜杠以后有多長(zhǎng)。這是識(shí)別當(dāng)前頁(yè)面網(wǎng)址的主域名屬于哪一個(gè)網(wǎng)站的唯一必殺技。

2.3網(wǎng)站地址對(duì)比法

當(dāng)訪問(wèn)某一網(wǎng)站時(shí)，要仔細(xì)查看所打開(kāi)頁(yè)面后的具體網(wǎng)址，而不是只看打開(kāi)網(wǎng)頁(yè)前的網(wǎng)址。如果在登陸頁(yè)面和個(gè)人信息填寫(xiě)頁(yè)面網(wǎng)址出現(xiàn)了跳轉(zhuǎn)，不是官方域名，哪怕頁(yè)面再相似，都可以斷定為釣魚(yú)網(wǎng)站。釣魚(yú)網(wǎng)站一般用外觀字形容易混淆的字符來(lái)代替使用，達(dá)到迷惑用戶的目的。用戶在使用敏感信息和進(jìn)行電子交易時(shí)，要仔細(xì)辨別其不同之處，比如c和o、O和0、a和e、I和L、I和1、L和1等字母和數(shù)字從外形看非常相近。

2.4QQ傳輸驗(yàn)證法

如果是QQ聊天中發(fā)來(lái)的鏈接，要注意鏈接前的標(biāo)識(shí)，如果是綠色盾牌并且上面有釣勾標(biāo)志，說(shuō)明此網(wǎng)站為QQ信任的網(wǎng)站，在大多數(shù)情況下訪問(wèn)是安全的；如果是藍(lán)色盾牌并且上面是問(wèn)號(hào)標(biāo)志，說(shuō)明此網(wǎng)站可能存在安全隱患，訪問(wèn)時(shí)要提高警惕。

如果QQ消息中包含網(wǎng)站鏈接，QQ將根據(jù)系統(tǒng)記錄為其添加四種不同類(lèi)型的安全提示圖標(biāo)：“騰訊網(wǎng)圖標(biāo)”、“綠色√號(hào)圖標(biāo)”、“藍(lán)色？號(hào)圖標(biāo)”和“紅色×號(hào)圖標(biāo)”。當(dāng)鼠標(biāo)移到鏈接前面圖標(biāo)時(shí)，系統(tǒng)會(huì)自動(dòng)彈出相應(yīng)提示。

前兩類(lèi)為信任網(wǎng)站，一般都是日訪問(wèn)量較高的大型正規(guī)網(wǎng)站，可放心訪問(wèn)。第三類(lèi)屬安全性未知的網(wǎng)站，第四類(lèi)屬于危險(xiǎn)網(wǎng)站。

2.5信息嘗試輸入法

當(dāng)收到他人發(fā)來(lái)的一個(gè)網(wǎng)址，或正在訪問(wèn)一個(gè)不太了解的網(wǎng)站，在不能確定這個(gè)網(wǎng)頁(yè)是否安全時(shí)，可以打開(kāi)這個(gè)網(wǎng)站，一旦提示需要登錄或者輸入個(gè)人信息時(shí)，您可以采用“信息嘗試輸入法”，也就是在登錄框內(nèi)連續(xù)多次輸入錯(cuò)誤的用戶名和密碼，此時(shí)如果居然還可以登錄成功，那么您就可以斷定這個(gè)網(wǎng)站為套取用戶密碼的釣魚(yú)網(wǎng)站了。

2.6網(wǎng)站內(nèi)容比較法

仔細(xì)辨認(rèn)，會(huì)發(fā)現(xiàn)釣魚(yú)網(wǎng)站在字體的顏色和樣式上，與正規(guī)網(wǎng)站還是存在一定差異的。有的圖片和字體模糊不清，有的在網(wǎng)頁(yè)上沒(méi)有或很少鏈接。用戶可以點(diǎn)擊欄目或圖片中的各個(gè)鏈接，測(cè)試是否能順利打開(kāi)。出現(xiàn)登錄界面要求輸入驗(yàn)證碼時(shí)，可多次刷新更換驗(yàn)證碼，如果只有少量的驗(yàn)證碼在循環(huán)顯示，完全可斷定該網(wǎng)站就是釣魚(yú)網(wǎng)站。正規(guī)的網(wǎng)站驗(yàn)證碼是不可能循環(huán)和重復(fù)的。

2.7網(wǎng)站備案查詢法

通過(guò)工信部ICP備案管理網(wǎng)站(/)可以查詢網(wǎng)站擁有者、網(wǎng)站的基本情況、ICP經(jīng)營(yíng)性許可證和合法備案，查詢網(wǎng)站名稱(chēng)、經(jīng)營(yíng)內(nèi)容是否與備案相符。

3釣魚(yú)網(wǎng)站的防范策略

為了抵制釣魚(yú)網(wǎng)站，作為被釣魚(yú)網(wǎng)站方可采取如HTTPS協(xié)議、多重密碼保護(hù)、動(dòng)態(tài)口令牌、數(shù)字證書(shū)認(rèn)證、預(yù)留驗(yàn)證信息、短信提醒和用戶端安全保護(hù)措施等多種方法，增加被假冒的難度。作為普通的網(wǎng)絡(luò)用戶，應(yīng)對(duì)釣魚(yú)網(wǎng)站主要有以下七種防范策略。

3.1增強(qiáng)安全防范意識(shí)

釣魚(yú)網(wǎng)站是利用人們的心理弱點(diǎn)來(lái)進(jìn)行的一種詐騙行為，之所以有不少人上當(dāng)受騙，一是缺乏安全防范意識(shí)，在網(wǎng)上填寫(xiě)有關(guān)個(gè)人信息，特別是電子商務(wù)和網(wǎng)上銀行等重要信息時(shí)，缺乏安全防范意識(shí)，根本沒(méi)有注意到驗(yàn)證網(wǎng)頁(yè)的合法性與真實(shí)性；二是相信有天上掉餡餅的好事，在中“大獎(jiǎng)”或其他物質(zhì)獎(jiǎng)勵(lì)誘惑下興奮不已，放松了戒備；三是缺乏對(duì)網(wǎng)站合法性與真實(shí)性進(jìn)行驗(yàn)證的知識(shí)和方法。要防患于未然，認(rèn)識(shí)騙局、認(rèn)識(shí)釣魚(yú)網(wǎng)站，早發(fā)現(xiàn)、早拒絕，免受時(shí)間和財(cái)物的損失。網(wǎng)上交易時(shí)要選擇具有良好信譽(yù)的知名公司網(wǎng)站，其中最安全的方法就是手工輸入網(wǎng)址，并添加到瀏覽器的收藏夾中，以便下次使用。

3.2使用安全的個(gè)人電腦

防火墻能夠檢查來(lái)自網(wǎng)絡(luò)的信息，