网页仿冒又出新招 用弹出窗口伪装地址栏
时间:2005-11-24 | 作者:日经BP社 | 阅读:192
最近出现了使用弹出窗口伪装Internet Explorer(IE)地址栏的网页仿冒(Phishing)——这是反欺诈业界团体“Anti-Phishing Working Group”当地时间11月1日发出的警告。实际上,本刊编辑部就曾收到过被诱往假冒网站的邮件,美国花旗银行也于10月25日就使用同样伎俩的欺诈发出警告。
如果点击邮件中的链接,就会被引诱到伪装成美国花旗银行的假冒网站。假冒网站会显示地址栏记有花旗银行正式URL的弹出窗口,假冒网站的真实URL则被隐藏起来。
使用弹出窗口(JavaScript的“window.createPopup()”方法)伪装屏幕显示的方法本身并不新鲜。2004年7月就作为伪装IE对话框的方法之一被发现。现在出现的网页仿冒只是利用了这一方法而已。
正如报道所述,即使是Windows XP SP2,一个网页也允许出现一个由window.createPopup()建立的弹出窗口。因此就算是XP SP2环境也有可能被欺诈。
虽然将活动脚本设为无效,就不会打开弹出窗口、可以防止上当,但这样会导致多数网站无法完整显示画面,或无法接收服务。比如在笔者的系统(Windows 2000+IE 6)中将活动脚本设为无效后,访问美国花旗银行的正式网页(https://web.da-us.Citibank.com/cgi-bin/citifi/scripts/login2/login.jsp)时就无法显示完整的页面。
网页仿冒的手段越来越高明了,在这种形势下,建议采取以下各种措施来防止中招,如“不要在被邮件诱往的Web网页中输入重要信息”、“为了弄清链接地址,以文本形式显示所有邮件(不显示HTML邮件)”、“输入重要的信息时,在确认表示正在进行SSL通信的‘锁定记号’的同时,点击锁定记号检查数字证书内容(因为锁定记号有可能被伪装,因此只有锁定记号是不可靠的)”、“用网页‘属性’来确认URL”等。
虽然不能怀疑一切,但现在已经到了“眼见”并不为实的地步,因此务必多加小心。另外,多数情况下被“做手脚”的对象是IE(以及利用IE的邮件软件),因此使用除IE之外的浏览器(不使用IE的邮件软件)也算是一种防范措施。不过,在其他浏览器中也发现了允许伪装的安全漏洞。总之,切忌过于相信一切!
Web网站的开发人员与管理员也要引起重视,最好能制作“即使将活动脚本设为无效,也能提供最低限度的必要服务”、“准确显示地址栏与状态栏”、“不使用框架与弹出窗口”这样的网站,令网页仿冒无法假冒。
如果点击邮件中的链接,就会被引诱到伪装成美国花旗银行的假冒网站。假冒网站会显示地址栏记有花旗银行正式URL的弹出窗口,假冒网站的真实URL则被隐藏起来。
使用弹出窗口(JavaScript的“window.createPopup()”方法)伪装屏幕显示的方法本身并不新鲜。2004年7月就作为伪装IE对话框的方法之一被发现。现在出现的网页仿冒只是利用了这一方法而已。
正如报道所述,即使是Windows XP SP2,一个网页也允许出现一个由window.createPopup()建立的弹出窗口。因此就算是XP SP2环境也有可能被欺诈。
虽然将活动脚本设为无效,就不会打开弹出窗口、可以防止上当,但这样会导致多数网站无法完整显示画面,或无法接收服务。比如在笔者的系统(Windows 2000+IE 6)中将活动脚本设为无效后,访问美国花旗银行的正式网页(https://web.da-us.Citibank.com/cgi-bin/citifi/scripts/login2/login.jsp)时就无法显示完整的页面。
网页仿冒的手段越来越高明了,在这种形势下,建议采取以下各种措施来防止中招,如“不要在被邮件诱往的Web网页中输入重要信息”、“为了弄清链接地址,以文本形式显示所有邮件(不显示HTML邮件)”、“输入重要的信息时,在确认表示正在进行SSL通信的‘锁定记号’的同时,点击锁定记号检查数字证书内容(因为锁定记号有可能被伪装,因此只有锁定记号是不可靠的)”、“用网页‘属性’来确认URL”等。
虽然不能怀疑一切,但现在已经到了“眼见”并不为实的地步,因此务必多加小心。另外,多数情况下被“做手脚”的对象是IE(以及利用IE的邮件软件),因此使用除IE之外的浏览器(不使用IE的邮件软件)也算是一种防范措施。不过,在其他浏览器中也发现了允许伪装的安全漏洞。总之,切忌过于相信一切!
Web网站的开发人员与管理员也要引起重视,最好能制作“即使将活动脚本设为无效,也能提供最低限度的必要服务”、“准确显示地址栏与状态栏”、“不使用框架与弹出窗口”这样的网站,令网页仿冒无法假冒。
福利游戏
相关文章
更多精选合集
更多大家都在玩
大家都在看
更多-
- 以闪亮之名顾苏澄鉴赏家怎么样
- 时间:2024-11-23
-
- 以闪亮之名辰祈夜谭怎么样
- 时间:2024-11-23
-
- 以闪亮之名星钥分解商店怎么样
- 时间:2024-11-23
-
- 《Cosmic Royale》Steam页面 12月12日发行
- 时间:2024-11-23
-
- 公会管理冒险游戏《The Blue Cut Hook》Steam页面开放 明年发售
- 时间:2024-11-23
-
- 无期迷途胡椒有群小羔羊怎么样
- 时间:2024-11-23
-
- 光遇中国绊爱联动直播怎么玩
- 时间:2024-11-23
-
- 以闪亮之名银月漫游礼包怎么样
- 时间:2024-11-23