您的位置:首页网络冲浪安全资讯 → 网页仿冒又出新招 用弹出窗口伪装地址栏

网页仿冒又出新招 用弹出窗口伪装地址栏

时间:2004/10/15 0:27:00来源:本站整理作者:蓝点我要评论(0)

    最近出现了使用弹出窗口伪装Internet Explorer(IE)地址栏的网页仿冒(Phishing)——这是反欺诈业界团体“Anti-Phishing Working Group”当地时间11月1日发出的警告。实际上,本刊编辑部就曾收到过被诱往假冒网站的邮件,美国花旗银行也于10月25日就使用同样伎俩的欺诈发出警告。





    如果点击邮件中的链接,就会被引诱到伪装成美国花旗银行的假冒网站。假冒网站会显示地址栏记有花旗银行正式URL的弹出窗口,假冒网站的真实URL则被隐藏起来。


    使用弹出窗口(JavaScript的“window.createPopup()”方法)伪装屏幕显示的方法本身并不新鲜。2004年7月就作为伪装IE对话框的方法之一被发现。现在出现的网页仿冒只是利用了这一方法而已。


    正如报道所述,即使是Windows XP SP2,一个网页也允许出现一个由window.createPopup()建立的弹出窗口。因此就算是XP SP2环境也有可能被欺诈。


    虽然将活动脚本设为无效,就不会打开弹出窗口、可以防止上当,但这样会导致多数网站无法完整显示画面,或无法接收服务。比如在笔者的系统(Windows 2000+IE 6)中将活动脚本设为无效后,访问美国花旗银行的正式网页(https://web.da-us.Citibank.com/cgi-bin/citifi/scripts/login2/login.jsp)时就无法显示完整的页面。


    网页仿冒的手段越来越高明了,在这种形势下,建议采取以下各种措施来防止中招,如“不要在被邮件诱往的Web网页中输入重要信息”、“为了弄清链接地址,以文本形式显示所有邮件(不显示HTML邮件)”、“输入重要的信息时,在确认表示正在进行SSL通信的‘锁定记号’的同时,点击锁定记号检查数字证书内容(因为锁定记号有可能被伪装,因此只有锁定记号是不可靠的)”、“用网页‘属性’来确认URL”等。


    虽然不能怀疑一切,但现在已经到了“眼见”并不为实的地步,因此务必多加小心。另外,多数情况下被“做手脚”的对象是IE(以及利用IE的邮件软件),因此使用除IE之外的浏览器(不使用IE的邮件软件)也算是一种防范措施。不过,在其他浏览器中也发现了允许伪装的安全漏洞。总之,切忌过于相信一切!


    Web网站的开发人员与管理员也要引起重视,最好能制作“即使将活动脚本设为无效,也能提供最低限度的必要服务”、“准确显示地址栏与状态栏”、“不使用框架与弹出窗口”这样的网站,令网页仿冒无法假冒。

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 设置高强度密码技巧之

最新文章 360连回家是什么 360wifi密码怎么设置才不 电信级的RSA加密后的密码的破解方法范海辛的惊奇之旅分辨率修改方法eset nod32 最新用户名和密码 eset nod32 最关于近期PC6遭受DDOS攻击声明

人气排行 盗号者的常用盗号方法最新瑞星升级助手v7.1.5及防杀方法wifi密码怎么设置才不会被破解?wifi防蹭网网站Tags标签对网站关键词排名的意义eset nod32 最新用户名和密码 eset nod32 最网站导航栏设计趋势目前最新的计算机病毒有哪些如何彻底删除QQ医生