阿碼外傳-阿碼科技非官方中文 Blog: 2010/9/20

2010年9月20日

模擬實戰釣魚網站(Challenge to Phishing-II) Part-II


<截圖自 www.phish-no-phish.com 網站>
有個網站:
https://www.phish-no-phish.com/
上面有五題考題(同樣題目五題,但有兩種不同問法,所以是十題),測驗你對釣魚網站的識別能力。我覺得挺好的。
身為網路的一份子,你一定得要試試。還有中文的...cool
https://www.phish-no-phish.com/tw/default.aspx

這是 VeriSign 提供的一個測試網站。
我把心得寫在後面,建議大家測試完畢再看心得分析。
您有心得,也可以留下意見喔!

一、威脅、利誘,甚至是恐嚇的字眼。
這類字眼確實很常出現,因為,效果真的很好,也很常出現在詐騙的電子郵件中,可以参考這篇。在大部分騙取帳密的手法中,這是很常出現的字眼,目的當然是要你乖乖把帳密交出來。

二、網址列(URL)中搞把戲。
這裡還有一些手法,不過,當瀏覽器吃進這些怪 URL 後,應該都會解碼回來,超連結是比較常利用這手法的。另外一種花樣就是利用相似字元,如 1-l, 0-O, V-U, ...等,還有很多字元,甚至不同字型間也會有意想不到的效果,你有警覺嗎?想想,你連線的網站,確切是你要連往的嗎?
我想,URL 搞怪方事還很多,如何識別,我想窮舉不完。但是,你只要知道一種就好,啥是正常的...XD,學校沒講、老師沒教。下面這些 wiki 你一定得看:
http://zh.wikipedia.org/zh-tw/URL
http://zh.wikipedia.org/zh-tw/域名
同鞋,網路上都有,不能怪老師、學校啦。

三、這題很難,語意不順、文字不對。
這真得是挑錯字。只能說正式官網應該會經多重查核,才會進行上線,因此,"比較"不會出錯。但是,詐騙網站經常會出現語意不順或用詞錯誤,甚至是語系的問題。

四、網站加密圖示。
這題應該比較簡單,因為,"宣傳"夠多。你必須能正確識別「你的網頁瀏覽是否正處於加密的狀態」。每個瀏覽器還都會有些不同,甚至不同版本間還有些小差異。你務必花點時間了解。畢竟,該加密時,網站與瀏覽器之間就該處於加密的狀態。
另外一個進階問題:你會正確識別正確的加密簽章嗎?如果釣魚網站隨便用個簽章做加密呢?課後題。

五、這題也很難,關建在 URL 中,即便知道哪有問題,但又該如何判斷。
首先,多一個「-」符號,在數位世界它就是不一樣,且是完全不一樣。判斷得靠直覺,那個判斷點很重要。留給你仔細思考。
「提示:如果你是銀行單位你會申請哪一個網域」

最後,釣魚網站可以做到與真實網站一模一樣嗎?這通常還需要搭配其它攻擊手法,如 網址嫁接(Pharming),正因這類手法配合條件不易,這也是為何釣魚網站必須一直在 URL 處動手腳的原因。
網址嫁接攻擊有很多種手法,如DNS快取汙染(DNS cache poisoning)手法是一種。另外本機的 Hosts 檔案竄改也是其一手法。當然,還有其他的...XD。

本文亦張貼於「資安之我見」。

繼續閱讀全文...