網路安全

2017/04/20 14:59:41Kshini

猜猜看,下圖是誰的官網網址? 不難猜吧?

再仔細看一次,確定不更改答案?

其實這是個不折不扣的釣魚網站。沒錯,它是假的。您可能很懷疑:「這不是Apple官網嗎 ? 域名沒錯啊 !」「還有SSL憑證背書呢!沒問題吧」。

請再看看下面這張對照圖。

看出來了吧。魔鬼藏在細節裡!

 

“道高一尺,魔高一丈”

 

先來解釋這個網站是如何做到幾近完美的偽裝。首先我們知道這世界上有非常多種語言,先前介紹過的IDN(國際域名)就是因應這種情況而誕生的,使得域名不再限定於使用英文命名,但同時也衍生出了新的釣魚犯罪型態。

不同語言間存在著差異,但使用的文字(符號)可能外表非常像,常見的例子像是「 a、ɑ與α」和「B與β」等等。這些差異使用肉眼可能不易辨別,但對於電腦來說可是完全不一樣的。上面的圖片說明了一切,看起來一模一樣的域名其實是使用完全不同的語言,如此一來卻助長了釣魚網站的威力。

 

“眼見為憑? 不不不”

 

大部分人都是使用「肉眼辨別網址」與「SSL憑證的小鎖頭」來辨別網站可靠性,但上述的情況告訴我們眼睛並不可靠,而SSL憑證也可能偽造,到底該怎麼保護自己呢?

我們有一些簡單建議供您參考,首先,盡量不要點擊連結來進入新的網站,自行在瀏覽器裡手動輸入域名即可避免被視覺欺騙,另外,坊間免費的憑證其實不難找,但一分錢一分貨,為了自己與客戶的安全著想,請使用來源可靠有信譽的SSL憑證,自己在瀏覽網頁時,即使有看到綠色鎖頭,還是應點擊該鎖頭檢視憑證的詳細內容來檢視是否為合格廠商所核發,才能避免誤入釣魚網站導致權益受損。

目前主流的瀏覽器Chrome與Firefox都有此種情況,希望未來瀏覽器能夠改進,以提供更安全的使用環境給用戶。

圖片來源 : 雷鋒網

頁面