【转贴】识别欺骗性(冒牌)Web 站点和恶意超链接

别欺骗性(冒牌)Web 站点和恶意超链接及进行自我防护的方法(Microsoft)

以下内容来源于微软帮助和支持站点.

概要

当您在 Microsoft Internet Explorer、Microsoft Outlook Express 或 Microsoft Outlook 中指向某个超链接时,相应的 Web 站点的地址通常显示在窗口底部的状态栏中。当您单击的链接在 Internet Explorer 中打开后,相应 Web 站点的地址通常显示在 Internet Explorer 的地址栏中,同时相应 Web 页的标题通常显示在窗口的标题栏中。

然而,恶意用户可能会创建一个指向欺骗性(冒牌)Web 站点的链接,并让该链接在状态栏、地址栏和标题栏中显示合法 Web 站点的地址或 URL。本文介绍您可以采用哪些方法减轻此问题造成的影响以及采用哪些方法识别欺骗性(冒牌)Web 站点或 URL。



本文还讨论了您可以采用哪些方法来防范冒牌 Web 站点。现将这些方法总结如下:

• 安装 MS04-004 Internet Explorer 累积安全更新 (832894)。
• 在键入任何个人信息或敏感信息前,确保右下方状态栏中有一个锁形图标,并验证提供您正在查看的页面的服务器的名称。
• 不要单击任何您不信任的超链接。您应在地址栏中亲自键入这类信息。

安装 MS04-004 Internet Explorer 累积安全更新 (832894)
有关此安全更新的其他信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/security/Bulletin/MS04-004.asp

本文还讨论了可帮助您识别冒牌 Web 站点和恶意超链接的方法。

如何防范冒牌 Web 站点

在键入任何敏感信息前,确保 Web 站点使用 Secure Sockets Layer/Transport Layer Security (SSL/TLS),并检查服务器的名称。

人们通常使用 SSL/TLS 对通过 Internet 传输的信息进行加密,以保护信息。不过,SSL/TLS 还可用来验证您是否将数据发送给了正确的服务器。通过检查 SSL/TLS 的数字证书用户上的名称,您可以验证提供您正在查看的页面的服务器的名称。为此,请确保 Internet Explorer 窗口的右下角显示有锁形图标。

注意:如果状态栏未启用,则不会显示锁形图标。要启用状态栏,请单击“查看”,然后单击选中“状态栏”。

要验证数字证书上显示的服务器名称,请双击锁形图标,然后检查“颁发给”旁边显示的名称。如果 Web 站点未使用 SSL/TLS,则不要向站点发送任何个人信息或敏感信息。如果“颁发给”旁边显示的名称与您认为提供了您正在查看的页面的站点的名称不相同,请关闭浏览器以退出站点。有关如何执行此操作的其他信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/security/incident/spoof.asp

如何防范恶意超链接

最有效的防范恶意超链接的方法是不单击这类超链接,而在地址栏中亲自键入要访问的 URL。通过手动在地址栏中键入 URL,您可以验证 Internet Explorer 访问目标 Web 站点时将使用的信息。为此,请在地址栏中键入 URL,然后按 Enter 键。

注意:如果未启用地址栏,则地址栏不显示。要启用地址栏,请单击“查看”,指向“工具栏”,然后单击选中“地址栏”。


Web 站点未使用 SSL/TLS 时如何识别冒牌站点

要验证提供您正在查看的页面的站点的名称,最有效的方法是使用 SSL/TLS 来验证数字证书上的名称。但是,如果站点不使用 SSL/TLS,您就无法最终验证提供您正在查看的页面的站点的名称。不过,在某些情况下,您可以采取一些方法来帮助您识别冒牌站点。

警告:下面的信息针对已知的攻击提供了一些一般性的准则。因为攻击经常会发生变化,恶意用户可能会使用此处未介绍的方法来创建冒牌 Web 站点。为了帮助您保护自己,您只应在验证了数字证书上的名称后,才可键入个人信息或敏感信息。此外,如果您基于任何理由怀疑一个站点的真实性,请立即通过关闭浏览器窗口来离开此站点。通常情况下,最快捷的关闭浏览器窗口的方法是按 ALT+F4。

尝试识别当前 Web 页的 URL

要尝试识别当前 Web 站点的 URL,请使用下面的方法。


使用 Jscript 命令尝试识别当前 Web 站点的实际 URL

在 Internet Explorer 中使用 JScript 命令。 在地址栏中键入以下命令,然后按 Enter 键:

javascript:alert("Actual URL address:" + location.protocol + "//" + location.hostname + "/");

警告:您直接在地址栏中键入脚本时要小心。您直接在地址栏中键入的脚本能够在本地系统上执行当前登录用户可以执行的操作。

JScript 消息框将显示您正在访问的 Web 站点的实际 URL Web 地址。

您还可以复制以下 JScript 代码并将其粘贴到地址栏中,以获取有关该 Web 站点 URL 的更详细描述:

javascript:alert("The actual URL is:\t\t" + location.protocol + "//" + location.hostname + "/" + "\nThe address URL is:\t\t" + location.href + "\n" + "\nIf the server names do not match, this may be a spoof.");

将实际 URL 与地址栏中的 URL 进行比较。如果它们不相符,则该 Web 站点有可能是在谎报。在这种情况下,您可能需要关闭 Internet Explorer。


使用 Internet Explorer 中的“历史记录”窗格来识别当前 Web 站点的实际 URL

在 Microsoft 已经验证的一些情形中,您还可以使用 Internet Explorer 中的“历史记录”浏览器栏来帮助识别 Web 页的 URL。 在“查看”菜单上,指向“浏览器栏”,然后单击“历史记录”。将地址栏中的 URL 与“历史记录”栏中显示的 URL 进行比较。如果他们不匹配,则该 Web 站点很可能是谎报了自己,您可能需要关闭 Internet Explorer。

将 URL 粘贴到 Internet Explorer 的一个新实例的地址栏中

您可以将 URL 粘贴到 Internet Explorer 的一个新实例的地址栏中。这样,您可能能够验证 Internet Explorer 访问目标 Web 站点时将使用的信息。在 Microsoft 已经验证的一些情形中,您可以通过以下方法来验证 Internet Explorer 访问目标 Web 站点时实际使用的信息:复制显示在地址栏中的 URL 并将其粘贴到 Internet Explorer 的一个新会话的地址栏中。这一方法与上文“如何防范冒牌 Web 站点”一节介绍的方法相近。

警告:如果您在某些站点(例如电子商务站点)上执行此操作,则此操作可能会导致您的当前会话丢失。例如,在线购物车的内容可能会丢失,这样,您就必须重新填充该购物车。

要将 URL 粘贴到 Internet Explorer 的一个新实例的地址栏中,请按照下列步骤操作:

1. 选中地址栏中的文本,右键单击该文本,然后单击“复制”。

2. 关闭 Internet Explorer。

3. 启动 Internet Explorer。

4. 在地址栏中单击,单击右键,然后单击“粘贴”。

5. 按 Enter 键。


用于识别恶意超链接的方法

用来验证 Internet Explorer 在访问目标 Web 站点时需要使用的信息的唯一方法是在地址栏中手动键入 URL。但是,在某些情况下,您可以采用一些方法来帮助您识别恶意超链接。

警告:下面的信息针对已知的攻击提供了一些一般性的准则。因为攻击经常会发生变化,恶意用户可能会使用此处未介绍的方法来创建冒牌 Web 站点。为了帮助您保护自己,您只应在验证了数字证书上的名称后,才可键入个人信息或敏感信息。此外,如果您基于任何理由怀疑一个站点的真实性,请立即通过关闭浏览器窗口来离开此站点。通常情况下,最快捷的关闭浏览器窗口的方法是按 ALT+F4。


尝试识别一个超链接将要使用的 URL

要尝试识别一个超链接要使用的 URL,请按照下列步骤操作:

1. 右键单击该链接,然后单击“复制快捷方式”。

2. 单击“开始”,然后单击“运行”。

3. 键入 notepad,然后单击“确定”。

4. 在“记事本”中的“编辑”菜单上,单击“粘贴”。

这样,您就能够查看任何超链接的完整 URL,并且可以检查 Internet Explorer 将使用的地址。以下列出了 URL 中可能会出现的一些有可能将您引到冒牌 Web 站点的字符:

• %00
• %01
• @

例如,以下形式的 URL 将打开 http://example.com,但是该 URL 可能在 Internet Explorer 的地址栏或状态栏中显示为

http://www.wingtiptoys.com:
http://www.wingtiptoys.com%01@example.com

其他可以采用的方法

虽然这些操作不能帮助您识别一个欺骗性(冒牌)Web 站点或 URL,但它们有助于限制从冒牌 Web 站点或恶意超链接成功发起的攻击所造成的损害。不过,它们会限制电子邮件和 Internet 区域中的 Web 站点运行脚本、ActiveX 控件和其他可能具有破坏作用的内容。 • 使用您的 Web 内容区域来帮助阻止 Internet 区域中的 Web 站点在计算机中运行脚本、ActiveX 控件或其他具有破坏作用的内容。首先,在 Internet Explorer 中将 Internet 区域安全级别设置为“高”。为此,请按照下列步骤操作:

1. 在“工具”菜单上,单击“Internet 选项”。

2. 单击“安全”选项卡,单击“Internet”,然后单击“默认级别”。

3. 将滑块移动到“高”,然后单击“确定”。

然后,将您信任的 Web 站点的 URL 添加到“可信站点”区域。为此,请按照下列步骤操作:

1. 在“工具”菜单上,单击“Internet 选项”。

2. 单击“安全”选项卡。

3. 单击“可信站点”。

4. 单击“站点”。

5. 如果您要添加的站点不需要服务器验证,请单击以清除“该区域中所有站点都需要服务器验证(https:)”复选框。

6. 键入您要添加到“可信站点”列表中的 Web 站点的地址。

7. 单击“添加”。

8. 对您要添加的每个 Web 站点重复步骤 6 和 7。

9. 单击“确定”两次。

• 以纯文本格式阅读电子邮件。

对于 Outlook 2002 和 Outlook 2003:


307594 OL2002:用户能够以纯文本格式阅读不安全的电子邮件(http://support.microsoft.com/kb/307594/EN-US/)

831607 How to View All E-Mail Messages in Plain Text Format in Outlook 2003(http://support.microsoft.com/kb/831607/EN-US/)


对于 Outlook Express 6:
291387 OLEXP:在 Outlook Express 6 中使用病毒防护功能 (http://support.microsoft.com/kb/291387)

通过以纯文本格式阅读电子邮件,您可以查看任何超链接的完整 URL,并可检查 Internet Explorer 将使用的地址。以下列出了 URL 中可能会出现的一些有可能将您引到冒牌 Web 站点的字符:

• %00
• %01
• @

• 例如,以下形式的 URL 将打开 http://example.com,但是在 Internet Explorer 的地址栏中显示的 URL 可能为 http://www.wingtiptoys.com:
http://www.wingtiptoys.com%01@example.com

参考
有关统一资源定位符 (URL) 的更多信息,请访问下面的 WWW 联合会 Web 站点:
http://www.w3.org/addressing/url/url-spec.txt

最后编辑2005-10-25 21:36:41