互联网的发展给我们购物、存取款以及与周围的人交流的方式都带来了很多极其便利的进步。然而与此同时,层出不穷的各种山寨、欺诈和钓鱼网站也带来了新的风险——针对那些毫无防范的人,犯罪分子有了新的犯罪途径:网络欺诈。事实上,这些黑客和网络犯罪分子们并不比新时代的骗子们高明多少。他们的骗局也都是一些古老的伎俩——自古以来,人们一直就在互相欺骗。和古代的以及那些过时的江湖骗子们一样,今天的网络诈骗犯追逐的也是同样的东西——你的钱。其惯用的伎俩就是网络钓鱼。
什么是网络钓鱼?
网络钓鱼是一种网络欺诈行为,攻击者们通过精心制作的假冒网站诱使个人用户或机构用户透露敏感信息(有时还会是有害信息)。这样的攻击行为有多种方式,通常会综合使用多种媒介,精妙地制造出令人信以为真的假象。
这意味着什么?
嗯,我们来看一个例子。一个攻击者可能会从一个看起来像是某个官方账号的邮箱给你发送一封看上去很正式的电子邮件,由此开始这次攻击。这封邮件可能会说一些类似“有人试图在其他国家登录你的账号,请更改你的口令”的话。
实际上,当初希拉里·克林顿总统竞选团队主席John Podesta的电子邮件账号正是这样遭到入侵的。
那封电子邮件包含一个指向被专门设计出来的网页的链接,该网页完美复制了谷歌的登录页面。对那些未经训练的人来说,几乎不可能判断出这是一个假冒的网站。你可以再看看用来窃取财务信息和医疗数据的方式与此多么相似。以下是一个假冒PayPal登录界面的例子:
而随着免费SSL服务和浏览器指示标志的最新变化的来临,将钓鱼网站伪装成合法网站正在变得比以往任何时候都更加容易。
钓鱼网站是最流行的的攻击方式之一,但不是你在互联网上需要警惕的唯一攻击方式。下面有几个其他类型互联网违法行为的例子:
第三方内容注入——这种攻击方式最普遍的例子就是通过WiFi热点进行攻击。你是否曾经注意到,当你在购物中心或机场时,你浏览的网站中会出现大量平时没有的附加广告或弹窗?这就是一个第三方内容注入的例子。因为这个网站缺少SSL,所以网络服务供应商(ISP)可以向其注入自己的内容。这意味着,你看到的东西并不是网站想让你看到的。而如果第三方有恶意的话,它可以注入有害的内容。
窃听——如果一个攻击者知道他们怎样能够窃听一个连接并窃取通过该连接传输的任何信息,那么这就和网络钓鱼类似了。这增加了对于连接安全性的需要——否则,当你在线上发送任何信息时,那些想要截获和窃取这些信息的人都可能得逞。
过时但仍有效的骗局——你见过199元的iPad吗?反正我没见过。不是说你就不会在网站上看到这类广告,它们就完全不存在。说不定你正准备给一个菲律宾的账户汇款呢!你满怀渴望地盯着弹窗里那低分辨率的图片的那一刻,可能是你最接近拥有这台平板电脑的机会。
5种方法确定网站是否仿冒、欺诈或钓鱼
以下有5种方法确定一个网站是否仿冒——还有一些额外的提示帮助你安全上网:
密切注意URL
多数人在上网时几乎完全不注意地址栏。往往这就是你入坑的开始。地址栏包含大量极其重要的信息,这些信息显示了你在哪里以及你的安全程度。所以,当你访问一个新的网页时,养成向上看一眼地址栏的习惯。
网络钓鱼的主要策略之一就是创建一个几乎可以以假乱真的网站。为达到这一目的,黑客和网络犯罪分子们在复制URL方面都有着精巧的技艺。在这种能够创造出以假乱真的子域名的才能和浏览器混乱的短URL影响下,人们很容易受骗。
想知道怎么查找有用的信息,你需要了解URL是怎样构成的。
1.协议 2.主机名 3.路径 4.文件名
以下是一个利用第一级和第二级子域名来蓄意仿冒合法域名和TLD的钓鱼网站的例子:
别上当了!以上例子的实际域名是“yaraneaftab”。这不是真正的PayPal,而是一个钓鱼网站。注意,浏览器显示的“安全”标志是由于使用了SSL证书。
这就是你总是需要检查URL的原因。
检查连接安全指示标志
回到地址栏。如果上一点还没有能够强调浏览器的这个功能的重要性——那么这一点应该把事情讲清楚了。在地址栏内,有几个连接指示标志可以让你知道你与这个网站之间的连接是否私密。正如我们此前提到的那样,在互联网上窃听连接是可能的。
互联网是建立在HTTP(超文本传输协议)上的。不幸的是,该协议默认情况下是不安全的。任何通过HTTP进行的通信都可能被截获、操纵、窃取——随便你怎么叫。作为补救措施,SSL(安全套接层)被开发出来了。SSL后来被TLS(传输层安全)所继承。今天,我们通俗地把二者都称为SSL。
不管怎样,HTTP+SSL=HTTPS,这是一个HTTP的安全版本,它防止了通信被任何人截获和读取,除了你自己和你所连接的网站。这里面包含了大量的信息,但你只需要知道三点:
HTTP是不好的
HTTPS是好的
永远不要将你的个人信息暴露给一个HTTP网站。
那么安全标志到底长什么样呢?
长这样:
或者这样:
这两种标志表明,该网站使用的是HTTPS,你的连接是安全的。如果你看到其中任何一个,就说明你的连接是安全的,而且你与URL所指示的网站所进行的通信是私密的。
记住,所有安全连接都有挂锁图标,但其中一些可能还有绿色地址栏。
只有当一个网站使用特定类型的SSL证书(扩展验证证书)时,才会显示绿色地址栏。这种证书可用证明一个网站是由现实世界中的合法的公司运营的。浏览器通过在URL左侧显示该公司的名称来认可该网站。当你看到绿色地址栏时,你就可以放松一下了——你是安全的。绿色地址栏无法被仿冒,它是网站身份和扩展可靠性的无可辩驳的证明。
浏览器中这两种标志表现出的形式是多种多样的。有时候域名以绿色书写,有时候位于一个绿色矩形之内。下面是几个主要浏览器中EV证书的形式的例子。
在URL中可能会出现有HTTPS字样但挂锁图标未正确显示的情况。这说明,这个连接有某些安全问题,代表这是一个引起担忧的原因。如果遇到这种情况,最好假定你访问的连接是不安全的。
查看证书详情
如果一个网站没有绿色地址栏,那么你从安全连接标志中可以了解的最多就是,你的连接是安全的。这意味着,没有第三方可以偷听并窃取信息。尽管如此,它并不意味着你可以高枕无忧。
这是因为,你仍然不知道连接的那一端到底是谁。
幸运的是,这一信息可能会是可知的。下面就是找到它的方法:
大部分浏览器(如Safari和Firefox)允许你点击地址栏中的挂锁图标来查看证书。
对于Firefox浏览器:
点击挂锁图标
点击“更多信息”
点击“查看证书”
对于Safari浏览器:
点击挂锁图标
点击“查看证书”
对于Chrome浏览器:
点击三个点图标进入Chrome浏览器菜单
在“更多工具”菜单下选择“开发人员工具”子菜单
点击“安全”标签
点击“查看证书”
当你点击证书信息的时候,你会获得CA在颁发证书前核实的所有信息。
一旦你有了证书的详细信息,你就会查找下面这个字段:
主体。
“主体”是证书所代表的网站或机构。基于证书类型(DV、OV或EV)的不同,你会在“主体”字段中看到数量不等的信息。
一个DV证书只有一个域名。一个OV证书会包含有限的公司信息(名称、国家/省和郡)。一个EV证书会有详细的公司信息,甚至包括精确的街道地址。如果浏览器显示绿色地址栏的话,你就可以认可EV证书。扩展验证提供最详细的信息——这就是它有一个特殊的视觉标志的原因。
如果一个机构有OV SSL证书——这被看作是电子商务企业、金融机构等的基本标准——那么你就可以在证书中看到已核实的企业详细信息。倘若该网站是由相应的公司注册的,那么你就没事了。你基本上可以信任这个网站了。
但如果不是这样的话,你就需要小心了。
还有一种可能,这一信息并未被完全提供。如果是这种情况,该网站只有域验证SSL证书。这并不意味着你应该自动把该网站列入不信任名单,但的确意味着你需要继续对它保持怀疑,直到该网站可以证明自身的合法性为止。
寻找信用徽章
当一个公司或机构实实在在对客户的安全进行投入时,他们一般会需要一点信誉。这是信用徽章存在的原因之一。你以前在互联网上很可能已经见过很多信用徽章了。他们看起来是这样的:
信用徽章通常被放在网站首页、登录页面和退出页面。它们是清晰可辨认的,提醒访问者这个页面是安全的。它就像你院子里的一个记号或者你窗户上的一个标签,宣告你的系统是安全的。人们一看到这样的标志就知道它们的意义了。
但你以前知道还可以点击它们吗?
大部分SSL证书是和信用徽章一起出现的,当点击信用徽章时会显示已核实的信息。这很重要,因为它让你知道这个SSL证书状态正常,并且可能还会在适当位置告知你额外的安全机制,如恶意软件扫描或漏洞评估。
只是看看网站的信用徽章是不够的,点击它来核实网站的合法性至关重要!
更多互联网提示帮助你发现仿冒或欺诈网站
信任你的浏览器
浏览器是我们通往互联网的门户。浏览器带我们去哪里,我们才能去哪里,有时候,浏览器并不想让我们去某些地方。为了你自己好,请听从浏览器的建议,如果浏览器建议你不要访问某些网站,那就不要访问。无论是Chrome还是Mozilla浏览器,甚至Edge或Safari浏览器——当你可能误入某些不安全网站时,这些浏览器都会提示你。这种提示不仅仅是臆测。这是建立在明确指出这些网站存在威胁的有关数据和用户报告的基础上。所以,请认真对待这种威胁:听从你的浏览器的建议。
寻找文字上的错误
好的网站以他们自己为傲。这意味着,这些网站图片清晰、拼写和语法运用准确、整体感觉流畅优美。如果你访问的网站看起来像是个只上过三年级或第一语言不是英语的人写的,那你可能就要小心一点了。特别是当那些错误出现在重要的网页上时。每个人都会偶尔犯错误——大公司也是。但如果错误很严重的话,你就需要谨慎一些了。
看看“联系我们”
另一个可能暴露假冒网站的迹象可能会出现在“联系我们”段落。那里有多少信息?提供地址了吗?有电话号码吗?该号码真的是这家公司的吗?这里提供的信息越多,你就越会相信它——假如这些信息是真实的。如果他们给你提供的只是一个电子邮件地址,或者更糟,没有任何联系方式——那就赶快跑吧。
过多的广告
广告是生活的一部分。不管你去哪里,你都会遇到广告。但如果你访问的是一个广告比正经内容还多的网站,那你就要小心一点了。如果你不得不点击多个链接来关闭那些烦人的弹窗,或者你被诱导进了原本不想去的网页——那么你很可能是在访问一个假冒网站,至少是欺诈网站。在良好的用户体验和和广告销售之间存在着明显界线。当一个网站不尊重这条界线时,你就要小心了。
检查Who.Is
对高级用户还有另一个提示。
如果你真的想知道谁在运营一个网站,那么有一个数据库叫做Who.Is,它可以告诉你该网站注册的电子邮件地址是什么。有大量的免费网站可以供你查询网站的官方WHO.IS注册信息。这是一个选项。
WHO.IS注册信息可以告诉你一个网站的所有者以及该网站的所有者到底是个人还是公司。如果是公司的话,会显示“机构”,并且有它的地址和电话号码。如果是个人的话,会显示“姓名”,并且有他的地址。
这可能是个无价的工具,特别是当你要和大品牌做生意的时候。如果你正在访问一个声称自己属于一家大公司但却注册到另一个国家的地址的网站时,你很可能是在访问一个假冒的网站。
查询发货及退货条款
任何合法的电子商务公司都会有发货及退货条款,这被认为是最好的方法。所以,任何声称销售一些商品但却没有发货及退货条款的网站就自然很可疑了。同样地,如果你点击一个链接看到该条款夸大其词或是直接从其他网站复制粘贴过来的,那么这个网站也很可疑。看看吧,我们并不是在告诉你要把所有内容都看一遍——我们也不会傻到相信你会那么做——而快速查看一下几个要点会告诉你所有需要知道的东西。
查看电子足迹
互联网的好处之一在于,没有任何东西是存在于真空之中的。可能是其他人已经有过与这家公司打交道的经验——好的或者坏的——他们已经把自己的经验分享出来了。只需要一点点的挖掘,你很可能就会查出这个网站是个冒牌货。在谷歌上查询这个网站的名称加上“评论”。去商业改进局查询。稍微查看一下。互联网在告诉你什么是好东西方面可能不是最好的,但当某些东西是假冒的时候,它绝对能告诉你。你需要做的所有事情就是花费三分钟上网搜一搜。
去哪里举报假冒或欺诈网站
我们鼓励你举报假冒网站。这对互联网来说是好事,对你的内心也是好事,而如果你觉得自己很渺小——那么这件事会使你感觉非常不错。下面是举报恶意网站的地方:
谷歌——“安全浏览”
Mozilla——“保护狐狸”
微软公司为其用户提供了一个在浏览器内举报恶意网站的机会。如果需要,可以在工具/安全菜单,选择钓鱼网站过滤器/SmartScreen过滤器,然后点击“举报不安全网站”。
互联网是一个令人惊异的世界,而你可以用它来做数不清的值得去做的事情。但是,和生活中的其他事物一样,这里也会有一些危险。不要让这些危险阻挡你,只要你保持足够警惕,你就不太可能遇到很多问题。
继续走别人走过的路吧,信任那些在认证方面进行了投资的网站,如果你曾经有种感觉,觉得有些东西可能很奇怪,那么你就要小心咯!