URL欺骗一般有何表现形式,该如何防范?
最简单的URL欺骗就是注册一个与用户熟悉的域名相近的域名。像之前有人冒冲网上银行就属于典型的URL欺骗,这种方法虽然显得没有多少技术含量却很有效。因为用户在点击某个链接后,一般是不会核对URL是否真实。
URL并不能和域名安全划等号,也就是说URL不是我们常说的http://www.techtarget.com.cn/这么简单。在某种意义上来说,http://www.techtarget.com.cn/只是URL的一部分,虽然后面的那部分对于用户浏览来说不是必须的,但它也却是URL欺骗的关键。
一个完整的URL由两部分组成,举个例子:“http://www.techtarget.com.cn@www.其他的网站.com”,这里真正会被浏览器接受的是@后面的其他网站,而之前的那部分并不是当作网络地址使用。
如果将网页上的某些文字或图片链接到这样的URL,相信用户也很难一下看出有何不妥。
还有一个方法,如果和上面的方法混用,那欺骗就更具迷惑性。每个域名都有对应的IP,之间的解析由于大多由DNS来完成,因此用户不必去记住那一长串IP地址。实际上这组IP地址就是一组二近制代码,如果换算成十进制与原来的相比就面目全非了。再利用之前的方法,便将黑客的网站隐藏了起来。
其实URL欺骗方法不止这些,防范起来并不是没有头绪。在访问敏感的网站,比如网上银行、电子商务网站时,先确认网址的是否完全正确。再就是不去点那些可疑网站和来路不明电子邮件中的链接地址。如果有能力的用户,还可以注意某些极有诱惑力的文字或广告,在源代码中的链接地址是不是设有陷阱。总之要防范URL欺骗要从提高自身的警惕做起。