URL欺騙一般有何表現形式,該如何防范?
最簡單的URL欺騙就是注冊一個與用戶熟悉的域名相近的域名。像之前有人冒沖網上銀行就屬于典型的URL欺騙,這種方法雖然顯得沒有多少技術含量卻很有效。因為用戶在點擊某個鏈接后,一般是不會核對URL是否真實。
URL并不能和域名安全劃等號,也就是說URL不是我們常說的http://www.techtarget.com.cn/這么簡單。在某種意義上來說,http://www.techtarget.com.cn/只是URL的一部分,雖然后面的那部分對于用戶瀏覽來說不是必須的,但它也卻是URL欺騙的關鍵。
一個完整的URL由兩部分組成,舉個例子:“http://www.techtarget.com.cn@www.其他的網站.com”,這里真正會被瀏覽器接受的是@后面的其他網站,而之前的那部分并不是當作網絡地址使用。
如果將網頁上的某些文字或圖片鏈接到這樣的URL,相信用戶也很難一下看出有何不妥。
還有一個方法,如果和上面的方法混用,那欺騙就更具迷惑性。每個域名都有對應的IP,之間的解析由于大多由DNS來完成,因此用戶不必去記住那一長串IP地址。實際上這組IP地址就是一組二近制代碼,如果換算成十進制與原來的相比就面目全非了。再利用之前的方法,便將黑客的網站隱藏了起來。
其實URL欺騙方法不止這些,防范起來并不是沒有頭緒。在訪問敏感的網站,比如網上銀行、電子商務網站時,先確認網址的是否完全正確。再就是不去點那些可疑網站和來路不明電子郵件中的鏈接地址。如果有能力的用戶,還可以注意某些極有誘惑力的文字或廣告,在源代碼中的鏈接地址是不是設有陷阱。總之要防范URL欺騙要從提高自身的警惕做起。
