五種方法教你識別虛假和欺詐網站
一起來看看我們的建議,如何識別一個網站是否是虛假。
眾所周知,互聯網的發展為我們了帶來大量的便利,購物、支付和與他人進行溝通交流都變得極其方便。但另一個十分可悲的事實,就是互聯網上也衍生大量的虛假和欺詐網站,用它來騙取毫無戒備心的受害者。
這些攻擊者和網路罪犯並不比新時代的騙子們高明多少。他們的騙局也都是一些古老的伎倆——自古以來,人類就一直在相互欺騙。與過時的江湖騙子一樣,他們追逐的也是同樣的東西:你的錢。現在,他們傾向使用的策略是網路釣魚。
什麼是網路釣魚 (Phishing)?
網路釣魚是網路詐騙的一種類型,攻擊者通過發動巧妙的詐騙誘使個人或企業披露敏感資訊(有時是有害的資訊)。這樣的攻擊行為有多種表現形式,通常會綜合使用多種媒體工具,精妙地製造出令人信以為真的假像。
這意味著什麼意思?
我們來看一個例子。黑客首先會給你發送一封看起來很正式的郵件,位址與一個官方帳號很相像。之後,這封郵件可能會說這樣的話:“有人試圖在其他國家登錄你的帳號,請修改你的密碼。”
那封郵件包含一個能跳轉到指定網頁的連結,該網頁複製了大通銀行的登錄頁面。對那些沒有接受過培訓的人來說,要想識別出假冒的網站幾乎是不可能的。你可以看看用來竊取金融資訊或醫學資料的方法與此是多麼類似。以下是一個假冒的PayPal登錄介面:
隨著免費SSL服務的出現和近來對流覽器指示標誌的更改,將釣魚網站偽裝成正式網站比以往任何時候都要容易。
其他需要提防的網路攻擊類型
在所有攻擊的策略中,網路釣魚是現今最為流行的網路詐騙,但它不是唯一一個需要引起注意的類型。以下是一些其他類型的網路詐騙行為的例子:
第三方內容注入 —— 最常見的例子就是通過公共WiFi熱點進行攻擊。你是否有曾注意過,當你在商場或飛機場時,你當時訪問的網站上出現了大量的額外廣告或彈窗嗎?而通常,這些內容是不會出現。這就是一個把第三方內容插入的案例。因為這個網站缺少SSL證書,所以ISP(互聯網服務提供者)可以將他自己的內容插入到這個網站上。這意味著你現在看到的網站不是它原來的樣子。並且,如果協力廠商有不良打算,那麼它就有可能插入有害的內容或網站代碼 (malicious code injected)。
竊聽 —— 如果一個攻擊者知道他們如何能夠竊聽一個連結並竊取通過該連接傳輸的任何資訊,那麼這就和網路釣魚類似了。這就強調了對連接安全性的需要性。沒有它,任何你發送到網路上的東西都有可能被攔截和竊取。
老式詐騙 —— 你看到過一台價值20美元的iPad嗎?反正我們沒見過。但這並不意味著你不會在網站上看到它們 —— 它們只是幾乎完全不存在。很有可能你正準備給一個菲律賓帳戶匯錢呢。你滿懷渴望地盯著彈窗裡那低解析度的圖片的那一刻,可能是你最接近擁有這台平板電腦的機會。
識別虛假和欺詐網站的5個方法
以下是識別一個網站是否是虛假的5個方法,以及保證上網安全的幾個技巧。
1. 密切注意URL(網址)
如果你知道有多少人很少或根本沒有留心流覽器的地址欄,那麼你就會大吃一驚。這是一個嚴重的錯誤。網址欄包含大量極其重要的資訊,這些資訊顯示了你在哪裡以及你的安全程度。所以,養成這樣一個習慣吧:當你訪問一個新的網頁時,偶爾瞥一眼網址欄。
網路釣魚的主要策略之一就是創建一個幾乎難以辨別真假的網站。為達到這一目的,駭客和網路罪犯在複製URL方面有著精巧的技藝。在使用真正的功能變數名稱模仿子功能變數名稱的能力和流覽器令人疑惑的短URL的影響下,人們很容易上當受騙。
想知道怎麼查找有用的資訊,你需要知道一個URL是如何構成的。
現在,知道了這些知識後,一定要確保你知道你所在的實際的域是什麼。子域也可能具有誤導性。以下是一個利用一級和二級子域名來蓄意偽冒的例子:
不要被騙到了,上面的例子中,實際的域名是“yaraneaftab.ir”,這不是一個真正的PayPal,而是一個網路釣魚網站。注意,流覽器顯示的“安全”標誌是由於使用了SSL證書所產生的安全性通訊協議 (HTTPS)。
這就是你總是需要檢查URL的原因。
2. 檢查連接安全指示標誌
回到網址欄。如果上一部分還不能表明瀏覽器上的網址﹝域名﹞的重要性,那麼這一點應該能使你明白。網址欄內有幾個連接指示標誌,能讓你知道你與這個網站的連接是否是私密的。如前所述,在互聯網上竊聽連接是可能的。
互聯網是建立在HTTP(超文字傳輸協定)之上的。不幸的是,預設情況下,該協定是不安全的。通過HTTP進行的任何通信都可能被截獲、和竊取。為了解決這個問題,人們研發了SSL或安全通訊端層。後來,TLS(安全傳輸層協議)繼承了SSL。今天,我們通俗地把兩者都稱為SSL (Secure Socket Layer)。
不管怎樣,HTTP + SSL = HTTPS,這是一個HTTP的安全版本,它防止了除你之外的其他人和你連接的網站截獲和閱覽通信內容。這裡面包含的知識點很多,但你真正需要知道的是以下幾點:
HTTP = 不良
HTTPS =良好
永遠不要將你的個人資訊暴露給一個HTTP網站。
現在,讓我們來看一看連接安全標誌。你應當看以下兩個指標之一:
這兩個圖示表明,該網站使用了HTTPS,你的連接很安全。如果你看到這兩個圖示的其中一個,那麼你的連接就是安全的,而且你與網站上列出的網站所進行的通信是私密的。
記住,所有安全連接都有掛鎖圖示,但有些可能還有綠色位址欄。
只有當一個網站使用了一種特定類型的SSL證書(擴展驗證(EV)證書)時,才會顯示綠色位址欄。這種證書能證明現實世界中一個合法的股份有限公司正在運行這個網站。瀏覽器通過在URL的左側顯示該公司的名稱來認可該網站。當你看到綠色位址欄時,你就可以放鬆一下了——你是安全的。綠色位址欄是不能被偽造的,通過擴展可信度,它是一個無可辯駁的身份證明。
根據瀏覽器的不同,這兩種標誌的具體外觀也會不同。有時公司名稱以綠色書寫,有時位於一個綠色矩形框內。
在瀏覽器中可能會出現有HTTPS字樣但掛鎖圖示未正確顯示的情況。這表明這個連接存在一些安全問題,需要引起注意。如果遇到這種情況,最好假定你的連接是不安全的。
3. 查看證書詳情
這種方法只有高級用戶才可以使用,因為它要求更進一步查看你的流覽器的菜單。如果對SSL沒有一個正確的理解,那麼就有可能造成誤解。
如果一個網站沒有綠色位址欄,那麼沒有安全連接標誌最能表明的是,你的連接是安全的。這意味著沒有第三方可以竊聽並竊取資訊。但是,這並不意味著你就是完全安全的。 這是因為你還不知道連接的另一端到底是誰。幸運的是,這個資訊可能也可以獲得。
大多數的瀏覽器都允許你點擊位址欄內的掛鎖圖示來查看證書。當你點擊證書資訊時,你就會獲得CA頒發證書前核實過的所有資訊。
一旦你有了證書的詳細資訊,你就會想要查看以下這項資訊:主體。
主體是該證書所代表的網站或組織。不同的SSL證書(DV、OV或EV)類型,會顯示數量不等的在主體資訊。一個DV SSL證書只有一個功能變數名稱。一個OV證書會包括公司資訊(名稱、州/省和國家)。一個EV證書會有詳細的公司資訊,甚至包括街道位址。如果瀏覽器顯示綠色位址欄,它就是認可的EV證書。EV證書提供的資訊最多,這就是它有一個特殊視覺標誌的原因。
如果一個組織擁有OV SSL證書,這被視作為電子商務企業、金融機構等的基本標準。那麼你就可以在證書資訊中看到已核實的企業詳細資訊。如果網站是有相應的公司註冊的,那麼你就可以放心了,基本上可以信任這個網站。但如果不是這樣的話,你就需要小心了。
還有一種可能,這一資訊並未被完全提供。如果是這種情況,該網站只有域驗證SSL證書。這並不意味著你應該把該網站列入不信任名單,只是意味著你需要繼續持有懷疑的態度,不要隨便把個人資料輸入到網站,直到這個網站可以證明自身的合法性為止。
信用圖章
當一家公司或機構實實在在對客戶的安全進行投入時,他們一般會需要一點信譽。這就是信用圖章存在的原因之一。你或許在網路上已經看過一些信用圖章了。它們看起來像這樣:
信用圖章通常被放在主頁、登錄頁面和結帳頁面。它們是清晰可辨的,提醒訪問者這個頁面是安全的。像是宣傳你的系統是安全的東西。
查閱谷歌安全透明度報告
這是辨別假冒網站的最後一個辦法,但也是最後的一個良好的保護措施:照字面意思來說就是,谷歌它。谷歌安全透明度報告允許你將URL複製粘貼到一個區域,然後它會為你出具一個報告,告訴你是否可以信任這個網站。這種方法不是那麼高級,但它確實是一個確定網站是否安全有效的方法。
它不能保證包含所有的資訊,但它會盡可能多地將所有的資訊囊括其中。谷歌確實偶爾會漏掉一些資訊,但這種情況不會持續太久。當你像谷歌那樣廣泛存在時,沒有什麼能長時間逃過你的法眼。談及保護用戶安全時,谷歌的瀏覽服務在網路上是最好、最安全的。如果你曾經有所質疑,谷歌一下就知道了。
更多互聯網技巧,幫助你辨別虛假或欺詐網站
我們不如把接下來這一個部分稱為常識吧。話雖這麼說,很多人經常忽視了這些常識,以下是另外的7條技巧,幫助你實現上網安全。
信任你的瀏覽器
瀏覽器是讓我們通向網路世界的大門。我們只能去到它們帶我們去的地方,因為有時候,瀏覽器並不想帶我們去到某個地方。為了自己的上網安全,請聽瀏流覽器的建議,如果瀏覽器不建議你訪問某個網站,那就不要訪問。不管這個瀏覽器是Chrome、是Mozilla、是Safari、還是Edge,它們都在告訴你你將去到一個危險的地方。這種提示也不是憑空猜測的。這是基於一些資料和使用者報告,它們清楚地表明存在一個威脅。所以請嚴肅對待這種威脅:聽取你的流覽器的建議。
尋找文字上的錯誤
好的網站會以自己為驕傲。這意味著這些網站圖形鮮明,拼寫和語法正確,整個體驗流暢優美。如果你訪問的網站像是文法不同,感覺像是網上翻譯器來編寫文句,那你便要多加留神小心一點了。
查看“聯繫我們”
另一個可能暴露假冒網站的跡象可能會出現在“聯繫我們”部分。那裡有多少資訊?提供地址了嗎?有電話號碼嗎?地址和電話號碼確實是這家公司的嗎?這裡提供的信息量越大,你就越應該感到自信﹝假設這些資訊確實是真實﹞。如果他們給你提供的只是一個電郵地址,或者更糟糕的是,完全沒有聯繫資訊,或者是其他資訊 —— 那就趕快跑吧。
過多的廣告
廣告是生活的一部分。無論你去到哪裡,你都會遇到廣告。但如果你遇到一個網站含有大量的廣告,你就要小心了。如果你不得不點擊幾個連結來關閉那些煩人的彈窗,或者你被誘導進了那些的網頁,那麼你現在所訪問的網站就很有可能是偽冒的或者欺詐性的。在用戶體驗和廣告銷售之間存在著一條明顯的界線,當一個網站明顯不尊重這條界線時,你就需要謹慎了。
檢查“Who.Is”
高級用戶還可以使用另外一個小技巧。如果你確實想知道是誰在運行一個網站,網路上有一個叫“Who.Is”的資料庫,能告訴你該網站註冊的資訊。另外,還有其他免費的網站可以供你查詢網站的註冊資訊。註冊資訊可以告訴你,網站的擁有人是個人還是公司。如果是公司的話,會顯示“機構”,並且有它的地址和電話號碼。如果是個人的話,會顯示“姓名”,並且有他的地址。這可能是一個無價的工具,尤其當你要和大品牌做生意的時候。如果你正在訪問一個聲稱屬於一個大型公司但註冊的位址又在另外一個國家的網站時,你很有可能是在訪問一個假冒的網站。
查看發貨和退貨條款
任何一家合法的電子商務公司都會有發貨和退貨條款,這被認為是一個最好的做法。所以,任何一個網站聲稱將銷售一些商品但又沒有發貨和退貨條款都應當被列入懷疑名單。同樣地,如果你點擊一個連結,看到這兩個條款誇大其詞或是直接從其他網站複製粘貼過來的,那麼這個網站也很可疑。看看吧,我們不是讓你把所有的東西都看一遍——也不會天真地以為你會這樣做,但快速地掃一眼會告訴你所有你需要知道的事。
查看電子足跡
互聯網好處之一,在於任何東西都可能存在,其他人可能已經有過與這家公司打交道的經驗 —— 好與壞,他們都會把自己的經驗分享出來了。僅用一點時間挖掘一下,你就很有可能會發現一個網站是否是虛假/偽冒的。你只需要谷歌網站的名字並加上“評論”兩個字。去政府機構查詢,稍微查看一下。在辨別好壞方面互聯網可能不是最好的,但當某些東西是偽冒的時候,它絕對可以告訴你。你所需要做的就是抽出三分鐘上網搜一搜。■
網站鏈結:https://beyondnews852.com/20210525/88588/