网络钓鱼新模式 黑客用连字符伪造URL

北京时间6月19日,来自PhishLabs的安全研究人员表示他们发现了一种新型的钓鱼方式,这一手段已经让大量在手机端使用Facebook的用户中招,黑客利用了手机端URL地址栏长度不足的劣势引导用户进入钓鱼网站。

研究人员透露,新的攻击策略依赖于移动浏览器具有URL地址栏过窄,从而阻碍了用户查看全部链接内容的漏洞。利用这个漏洞,黑客用子域名和连字符等字符串来填充URL,这让整个链接在移动设备中看起来十分真实,可一旦用户进入则会引导用户到钓鱼网址。

该公司还提供了一个例子比如-hxxp://m.facebook.com,这里http已经被hxxp替代了。而很多时候用户并不能很好的分辨清楚,但是他们访问的已经是一个钓鱼网址,他们在该网址的所有动作都会把自己的数据送给黑客,而黑客再利用这些数据传递垃圾邮件把钓鱼网址发送给给用户的朋友,从而传染更多用户。

事实上,这一点曾在PC端也有出现过,但是由于PC端的地址栏较长,一些钓鱼网址很容易识破。而在手机端,URL填充方法就非常有效地掩盖了网站的真实域名,移动用户很难发现这一问题。

而解决这一问题的办法在于确认并检查完整域名,而不仅仅是HTTP的部分,每一个字符的错误都可能进入钓鱼网站;安全扫描,屏蔽大多数钓鱼网站;不要点击短信和邮件里的链接,这些链接的危险度较高,如果有必要一定要仔细检查。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2017-06-20
网络钓鱼新模式 黑客用连字符伪造URL
来自PhishLabs的安全研究人员表示他们发现了一种新型的钓鱼方式,这一手段已经让大量在手机端使用Facebook的用户中招,黑客利用了手机端URL地址栏长度不足的劣势引导用户进入钓鱼网站。

长按扫码 阅读全文