周所周知，互聯(lián)網(wǎng)的發(fā)展為我們了帶來(lái)大量的便利，購物、支付和與他人進(jìn)行溝通交流都變得極其方便

但與此同時(shí)，互聯(lián)網(wǎng)的發(fā)展也引入了新的危險——罪犯用它來(lái)騙取毫無(wú)戒備心的受害者

不可否認的是，移動(dòng)互聯(lián)網(wǎng)內充斥著(zhù)各種虛假信息，在我們日常瀏覽網(wǎng)站的過(guò)程中，容易遭受“釣魚(yú)網(wǎng)站”侵害

什么是釣魚(yú)網(wǎng)站？

釣魚(yú)網(wǎng)站是指欺騙用戶(hù)的虛假網(wǎng)站

“釣魚(yú)網(wǎng)站”的頁(yè)面與真實(shí)網(wǎng)站界面基本一致，欺騙消費者或者竊取訪(fǎng)問(wèn)者提交的賬號和密碼信息

釣魚(yú)網(wǎng)站一般只有一個(gè)或幾個(gè)頁(yè)面，和真實(shí)網(wǎng)站差別細微

釣魚(yú)網(wǎng)站是互聯(lián)網(wǎng)中最常碰到的一種詐騙方式，通常偽裝成銀行及電子商務(wù)、竊取用戶(hù)提交的銀行賬號、密碼等私密信息的網(wǎng)站

釣魚(yú)網(wǎng)站

2019年全年，移動(dòng)端攔截釣魚(yú)網(wǎng)站類(lèi)型主要為境外彩票，占比高達 74.7%

其次為網(wǎng)站被黑(17.8%)、假藥(2.9%)、虛假購物(1.4%)、虛假中獎(1.2%)、金融證券(1.1%)等

數據來(lái)源于360

從城市分布來(lái)看，移動(dòng)端遭受釣魚(yú)網(wǎng)站攻擊最多的城市為廣州市，占全國攔截量的 4.4%

其次為深圳(3.4%)、北京(3.1%)、東莞(2.8%)、泉州(2.4%)，此外上海、杭州、南寧、 石家莊、佛山的釣魚(yú)網(wǎng)站攔截量也排在前列

數據來(lái)源于360

釣魚(yú)網(wǎng)站是如何“釣魚(yú)”的？

網(wǎng)絡(luò )釣魚(yú)利用人類(lèi)常見(jiàn)的各種感情，如信任、恐懼、貪婪和善良

幾乎所有的網(wǎng)絡(luò )釣魚(yú)都涉及社會(huì )工程學(xué)的技巧

釣魚(yú)途徑主要包括郵件、短信、廣告彈窗等

例如

人們收到銀行這類(lèi)影響力很大的商務(wù)郵件，或者是法院等官方機構發(fā)來(lái)的文件或短信時(shí)幾乎都會(huì )緊張，很多人都不曾懷疑信件的真實(shí)性，更會(huì )下意識地根據要求打開(kāi)郵件或短信里面指定的網(wǎng)站地址進(jìn)行操作

其次，頁(yè)面打開(kāi)后，我們通常都只會(huì )留意頁(yè)面內容而不會(huì )注意瀏覽器地址欄的顯示，正是這點(diǎn)讓“垂釣者”有了可乘之機

還有的釣魚(yú)方式是利用了人類(lèi)的貪婪

讓收到郵件的用戶(hù)填寫(xiě)一個(gè)表單，以便得到職位、獎金或者禮物

在各種節假日前，釣魚(yú)者發(fā)出很多釣魚(yú)郵件

引誘用戶(hù)說(shuō)：“XX節將至，我們正在組織促銷(xiāo)活動(dòng)，請單擊下面的鏈接使用你的賬號和密碼登錄以獲取獎品”

或者收到“央視某節目”短信，告知你中了一等獎，點(diǎn)擊鏈接進(jìn)行領(lǐng)取等

如何鑒別釣魚(yú)網(wǎng)站

• 密切注意URL（網(wǎng)址）

大部分的人很少或者根本沒(méi)有留心瀏覽器的地址欄，這是一個(gè)嚴重的錯誤

地址欄包含大量且極其重要的信息，這些信息顯示了你在哪里以及你的安全程度

所以，養成這樣一個(gè)習慣吧

當你訪(fǎng)問(wèn)一個(gè)新的網(wǎng)頁(yè)時(shí)，偶爾瞥一眼地址欄

網(wǎng)絡(luò )釣魚(yú)的主要策略之一就是創(chuàng )建一個(gè)幾乎難以辨別真假的網(wǎng)站

為達到這一目的，黑客和網(wǎng)絡(luò )罪犯在復制URL方面有著(zhù)精巧的技藝

在使用真正的域名模仿子域名的能力和瀏覽器令人疑惑的短URL的影響下，人們很容易上當受騙

比如在域名方面，假冒網(wǎng)站通常將英文字母I被替換為數字1，CCTV被換成CCYV或者CCTV－VIP這樣的仿造域名

拓展學(xué)習：

一個(gè)URL是如何構成的

URL構成

注：

1. Protocol：協(xié)議；Resource name：主機名；index.html：文件名

2. /前最后一個(gè)"."的右邊灰色部分稱(chēng)為頂級域名（TLD，也稱(chēng)為一級域名或域名），

常見(jiàn)如

.com 代表商業(yè)機構

.edu 代表教育機構

.net 代表網(wǎng)絡(luò )服務(wù)機構

.gov 代表政府機構

.cn 以地理地域命名的頂級域名，比如cn中國

最后一個(gè)"."的左邊藍色部分稱(chēng)為二級域名（SLD），二級域名的左邊黃色部分稱(chēng)為三級域名，以此類(lèi)推，每一級的域名控制它下一級域名的分配

例如在域名www.baidu.com中

baidu.com 二級域名（www一般代表默認主機名，只輸入二級域名時(shí)會(huì )指向默認主機）

tieba.baidu.com 三級域名（代表訪(fǎng)問(wèn)百度公司的貼吧網(wǎng)站）

detail.tieba.baidu.com 四級域名（貼吧某個(gè)帖子的詳細內容）

tieba.baidu.com/f/image/ 二級域名下的二級三級目錄（代表貼吧網(wǎng)站下的二級f目錄下的三級image圖片目錄）

各大機構或者個(gè)人注冊域名時(shí)，首先會(huì )選擇頂級域名如選擇.com或者.net等

然后再自命名二級域名（不可重復）如baidu

確定頂級域名后.com，自定義的二級域名就可作為唯一標識

baidu.com就歸百度公司所有，其他機構或者個(gè)人注冊時(shí)不可重復使用

一個(gè)公司或個(gè)人可以注冊多個(gè)頂級域名

如百度公司除了注冊了baidu.com，也注冊了baidu.net等

除了頂級域名.com和二級域名如baidu不可更改外，其他三級四級域名和二級三級目錄都是可以隨意修改的

也就是說(shuō)，釣魚(yú)的人會(huì )通過(guò)相近的二級域名或者修改三級四級域名來(lái)模仿真實(shí)的網(wǎng)站域名

如www.baidu.com的模仿網(wǎng)址可能是

• ww.baido.com 二級域名是baido

• www.bai-du.com 二級域名是bai-du

• baidu.test.com 二級域名是test

• baidu.com-test.com 二級域名是com-test

• www.baidu.vip 頂級域名不同

可以看到，假網(wǎng)站地址會(huì )通過(guò)嵌入baidu.com或其相近的字符標識，來(lái)讓大家相信這是真實(shí)的網(wǎng)址

那我們在辨別網(wǎng)址過(guò)程中

最主要也是最直接的辦法就是確定頂級域名和二級域名

當然，攻擊者除了通過(guò)模仿真實(shí)域名外，還有其他釣魚(yú)攻擊辦法

如通過(guò)修改路由器DNS表來(lái)進(jìn)行攻擊等

擴展學(xué)習：

有一定網(wǎng)絡(luò )基礎的同學(xué)可能會(huì )了解路由器的DNS協(xié)議，

簡(jiǎn)單來(lái)說(shuō)，你要訪(fǎng)問(wèn)的網(wǎng)址會(huì )被路由器翻譯成ip地址以便在網(wǎng)絡(luò )中傳輸，形如192.168.1.1

而不同的網(wǎng)站對應著(zhù)不同的ip地址，為了保證訪(fǎng)問(wèn)的地址正確，那么就會(huì )有一個(gè)專(zhuān)用的表來(lái)保存這種對應信息

當黑客拿下路由器后，便可以修改這個(gè)表格，將百度域名對應的ip修改為釣魚(yú)網(wǎng)站的ip地址，然后你輸入的百度域名訪(fǎng)問(wèn)百度時(shí)悄無(wú)聲息地變成了釣魚(yú)網(wǎng)站的地址，這樣，你無(wú)意中就訪(fǎng)問(wèn)了釣魚(yú)網(wǎng)站了

這就是我們要保護好路由器的原因

還有一些可以通過(guò)修改操作系統文件進(jìn)行攻擊，如Windows可以通過(guò)修改hosts文件，直接在本機將百度的ip設定為其他任何ip地址，這樣你訪(fǎng)問(wèn)的時(shí)候，手機就會(huì )直接按hosts文件描述，直接訪(fǎng)問(wèn)你設定的ip地址

這就是我們也要保護手機系統安全的原因

（國內某些破解程序為了持續使用，就會(huì )防止程序自動(dòng)更新，就會(huì )將程序更新網(wǎng)址指向其他不可達的IP地址）

• 除此之外，還可以關(guān)注證書(shū)

也可通過(guò)查看網(wǎng)站證書(shū)鑒別網(wǎng)站真實(shí)性，當你點(diǎn)擊證書(shū)信息時(shí)，你就會(huì )獲得CA頒發(fā)證書(shū)前核實(shí)過(guò)的所有信息，當然這個(gè)屬于對網(wǎng)絡(luò )比較熟悉的人使用了

還有一些其他的鑒別技巧，不過(guò)都是些比較少見(jiàn)了，也不一定通用，在此就不多做擴展了

作為普通人，我們就掌握好第一點(diǎn)就行

關(guān)注URL，確定頂級域名和二級域名的正確

面對各類(lèi)釣魚(yú)網(wǎng)站的威脅，我們該如何保護自己不被欺騙？

這個(gè)問(wèn)題怎么說(shuō)呢？！

重要的話(huà)說(shuō)三遍

就是不要亂點(diǎn)！不要亂點(diǎn)！不要亂點(diǎn)！

就算你鑒別手段再高超，也有疏漏馬虎的時(shí)候

所以，避免被騙，你要知道這4點(diǎn)

1. 不要隨意點(diǎn)擊別人發(fā)來(lái)的鏈接，即使你覺(jué)得這就是真的網(wǎng)站，也不要隨意去點(diǎn)

2. 不要隨意在網(wǎng)頁(yè)上輸入你的敏感信息，尤其是你的個(gè)人信息、銀行賬戶(hù)密碼等

3. 不要隨便相信郵件短信等發(fā)來(lái)的中獎信息、促銷(xiāo)信息等（天上不會(huì )掉餡餅）

4. 養成關(guān)注辨別URL的好習慣