有多种方法可以用来识别一个网站是否是虚假的,一起来看看我们的建议吧。
互联网上充斥着大量的虚假和欺诈网站。这是一个十分可悲的事实。周所周知,互联网的发展为我们了带来大量的便利,购物、支付和与他人进行沟通交流都变得极其方便。但与此同时,互联网的发展也引入了新的危险——罪犯用它来骗取毫无戒备心的受害者。
确实,这全都要归结于欺诈。事实上,这些攻击者和网络罪犯并不比新时代的骗子们高明多少。他们的骗局也都是一些古老的伎俩——自古以来,人类就一直在相互欺骗。与过时的江湖骗子一样,他们追逐的也是同样的东西:你的钱。现在,他们倾向使用的策略是网络钓鱼。
什么是网络钓鱼?
网络钓鱼是网络诈骗的一种类型,攻击者通过发动巧妙的诈骗诱使个人或企业披露敏感信息(有时是有害的信息)。这样的攻击行为有多种表现形式,通常会综合使用多种媒介,精妙地制造出令人信以为真的假象。
这意味着什么?
恩,让我们来看一个例子。一个攻击者首先可能会给你发送一封看起来很正式的邮件,地址与一个官方账号很相像。之后,这封邮件可能会说这样的话:“有人试图在其他国家登录你的账号,请修改你的密码。”
事实上,希拉里•克林顿总统竞选团队主席John Podesta也正是这样泄露其电子邮件账号的。
那封邮件包含一个能跳转到指定网页的链接,该网页完美地复制了谷歌的登录页面。对那些没有接受过培训的人来说,要想识别出假冒的网站几乎是不可能的。你可以看看用来窃取金融信息或医学数据的方法与此是多么类似。以下是一个假冒的PayPal登录界面:
随着免费SSL服务的出现和近来对浏览器指示标志的更改,将钓鱼网站伪装成合法的网络钓鱼网站比以往任何时候都要容易。
其他需要提防的网络攻击类型
在所有攻击的策略中,网络钓鱼最为流行,但它不是唯一一个需要引起注意的类型。以下是一些其他类型的网络违法行为的例子:
第三方内容注入——最常见的例子就是通过公共WiFi热点进行攻击。你是否有曾注意过,当你在商场或飞机场时,你当时访问的网站上出现了大量的额外广告或弹窗吗?而通常,这些内容不会出现。这就是一个第三方内容注入的案例。因为这个网站缺少SSL证书,所以ISP(互联网服务提供商)可以将他自己的内容注入到这个网站上。这意味着你现在看到的网站不是它原来的样子。并且,如果第三方有不良打算,那么它就有可能注入有害的内容。
窃听——如果一个攻击者知道他们如何能够窃听一个链接并窃取通过该连接传输的任何信息,那么这就和网络钓鱼类似了。这就强调了对连接安全性的需要——没有它,任何你发送到网络上的东西都有可能被拦截和窃取。
效果良好的老式诈骗——你看到过一台价值20美元的iPad吗?反正我们没见过。但这并不意味着你不会在网站上看到它们——它们只是几乎完全不存在。很有可能你正准备给一个菲律宾账户汇钱呢。你满怀渴望地盯着弹窗里那低分辨率的图片的那一刻,可能是你最接近拥有这台平板电脑的机会。
识别虚假和欺诈网站的5个方法
以下是识别一个网站是否是虚假的5个方法——以及保证上网安全的其他几个技巧。
1.)密切注意URL(网址)
如果你知道有多少人很少或根本没有留心浏览器的地址栏,那么你就会大吃一惊。这是一个严重的错误。地址栏包含大量极其重要的信息,这些信息显示了你在哪里以及你的安全程度。所以,养成这样一个习惯吧:当你访问一个新的网页时,偶尔瞥一眼地址栏。
网络钓鱼的主要策略之一就是创建一个几乎难以辨别真假的网站。为达到这一目的,黑客和网络罪犯在复制URL方面有着精巧的技艺。在使用真正的域名模仿子域名的能力和浏览器令人疑惑的短URL的影响下,人们很容易上当受骗。
想知道怎么查找有用的信息,你需要知道一个URL是如何构成的。
注:1. Protocol:协议;Resource name:主机名;index.html:文件名
2. /前最后一个"."的右边部分称为顶级域名(TLD,也称为一级域名或域名),最后一个"."的左边部分称为二级域名(SLD),二级域名的左边部分称为三级域名,以此类推,每一级的域名控制它下一级域名的分配。)
现在,知道了这些知识后,一定要确保你知道你所在的实际的域是什么。子域也可能具有误导性。以下是一个利用一级和二级子域名来蓄意仿冒合法域名和TLD的例子:
不要被骗了,上面的例子中,实际的域名是“yaraneaftab。”这不是一个真正的PayPal,而是一个网络钓鱼网站。注意,浏览器显示的“安全”标志是由于使用了SSL证书。
这就是你总是需要检查URL的原因。
2.)检查连接安全指示标志
回到地址栏。如果上一点还不能表明浏览器的这个功能的重要性,那么这点应当能使你明白。地址栏内有几个连接指示标志,能让你知道你与这个网站的连接是否是私密的。如前所述,在互联网上窃听连接是可能的。
互联网是建立在HTTP(超文本传输协议)之上的。不幸的是,默认情况下,该协议是不安全的。通过HTTP进行的任何通信都可能被截获、操纵和窃取——随便你怎么叫。为了解决这个问题,人们研发了SSL或安全套接字层。后来,TLS(安全传输层协议)继承了SSL。今天,我们通俗地把两者都称为SSL。
不管怎样,HTTP + SSL = HTTPS,这是一个HTTP的安全版本,它防止了除你之外的其他人和你连接的网站截获和阅读通信内容。这里面包含的知识点很多,但你真正需要知道的是以下几点:
HTTP = 不良
HTTPS =良好
永远不要将你的个人信息暴露给一个HTTP网站。
现在,让我们来看一看连接安全标志。你应当看以下两个指标之一:
挂锁图标
或者,绿色的地址栏
这两个图标表明,该网站使用了HTTPS,你的连接很安全。如果你看到这两个图标的其中一个,那么你的连接就是安全的,而且你与网站上列出的网站所进行的通信是私密的。
记住,所有安全连接都有挂锁图标,但有些可能还有绿色地址栏。
只有当一个网站使用了一种特定类型的SSL证书(扩展验证(EV)证书)时,才会显示绿色地址栏。这种证书能证明现实世界中一个合法的股份有限公司正在运行这个网站。浏览器通过在URL的左侧显示该公司的名称来认可该网站。当你看到绿色地址栏时,你就可以放松一下了——你是安全的。绿色地址栏是不能被伪造的,通过扩展可信度,它是一个无可辩驳的身份证明。
根据浏览器的不同,这两种标志的具体外观也会不同。有时公司名称以绿色书写,有时位于一个绿色矩形框内。下面是几个主要的浏览器中EV证书的形式的例子:
在浏览器中可能会出现有HTTPS字样但挂锁图标未正确显示的情况。这表明这个连接存在一些安全问题,需要引起注意。如果遇到这种情况,最好假定你的连接是不安全的。
3.)查看证书详情
这种方法只有高级用户才可以使用,因为它要求更进一步查看你的浏览器的菜单。如果对SSL没有一个正确的理解,那么就有可能造成误解。
如果一个网站没有绿色地址栏,那么没有安全连接标志最能表明的是,你的连接是安全的。这意味着没有第三方可以窃听并窃取信息。但是,这并不意味着你就是完全安全的。
这是因为你还不知道连接的另一端到底是谁。幸运的是,这个信息可能也可以获得。下面就是找到它的办法:
大多数的浏览器(比如Safari和Firefox)允许你点击地址栏内的挂锁图标来查看证书。
对于Firefox浏览器:
点击挂锁图标
点击“更多信息”
点击“查看证书”
对于Safari浏览器:
点击挂锁图标
点击“查看证书”
对于Chrome浏览器:
点击三个点图标进入浏览器菜单
在“更多工具”菜单下选择“开发人员工具”菜单。
点击“安全”标签
点击“查看证书。”
当你点击证书信息时,你就会获得CA颁发证书前核实过的所有信息。
一旦你有了证书的详细信息,你就会想要查看以下这项信息:主体。
主体是该证书所代表的网站或组织。根据证书(DV、OV或EV)类型的不同,你会在主体中看到数量不等的信息。一个DV证书只有一个域名。一个OV证书会包括有限的公司信息(名称、州/省和国家)。一个EV证书会有详细的公司信息,甚至包括精准的街道地址。如果浏览器显示绿色地址栏的话,你就可以认可EV证书。扩展验证证书提供的信息最多——这就是为什么它有一个特殊的视觉标志的原因。
如果一个组织拥有OV SSL证书——这被看作是电子商务企业、金融机构等的基本标准——那么你就可以在证书信息中看到已核实的企业详细信息。如果改网站是有相应的公司注册的,那么你就没事了。你基本上可以信任这个网站。
但如果不是这样的话,你就需要小心了。
还有一种可能,这一信息并未被完全提供。如果是这种情况,该网站只有域验证SSL证书。这并不意味着你应该自动把该网站列入不信任名单,它只是意味着你需要继续持怀疑的态度,直到这个网站可以证明自身的合法性为止。
4.)寻找信用图章
当一个公司或机构实实在在对客户的安全进行投入时,他们一般会需要一点信誉。这就是信用图章存在的众多原因之一。你或许在网络上已经看过一些信用图章了。它们看起来像这样:
信用图章通常被放在主页、登录页面和结账页面。它们是清晰可辨的,提醒访问者这个页面是安全的。它跟宣传你的系统是安全的东西,如你院子中的一个记号或窗户上的一个标签,是不一样的。人们看到这些信用图章时就知道它们的含义。
但你以前知道你还可以点击它们吗?
是的,大多数SSL证书都带有信用图章,当点击这些信用图章时,核实过的信息就会显示出来。这很重要,因为它让你知道,这个SSL证书信誉良好,并且还可能带有额外的安全机制,如恶意软件扫码或漏洞评估。
只看网站的图章是不够的,你还需要点击它来验证网站的合法性。
5.)查阅谷歌安全透明度报告
这是辨别假冒网站的最后一个办法,但也是最后的一个良好的保护措施:照字面意思来说就是,谷歌它。谷歌安全透明度报告允许你将URL复制粘贴到一个区域,然后它会为你出具一个报告,告诉你是否可以信任这个网站。这种方法不那么高级,但它确实是一个确定网站是否安全有效的方法。
它不能保证包含所有的信息,但它会尽可能多地将所有的信息囊括其中。谷歌确实偶尔会漏掉一些信息,但这种情况不会持续太久。当你像谷歌那样广泛存在时,没有什么能太久逃过你的法眼。谈及保护用户安全时,谷歌的安全浏览服务在网络上是最好的。如果你曾经有所质疑,谷歌一下就知道了。
注:这种方法需要翻墙。
更多互联网技巧,帮助你辨别虚假或欺诈网站
我们不如把接下来这一个部分称做常识吧。话虽这么说,但一旦你知道有很多人经常忽视了这些常识,你就会大感吃惊的。以下是另外的7条技巧,帮助你实现上网安全。
信任你的浏览器
浏览器是我们通向网络世界的大门。我们只能去到它们带我们去的地方,因为有时候,浏览器并不想带我们去到某个地方。为了自己的上网安全,请听从浏览器的建议,如果浏览器不建议你访问某个网站,那就不要访问。不管这个浏览器是Chrome还是Mozilla,或者甚至是Edge或Safari——它们都在告诉你你将去到一个令人十分讨厌的地方。这种提示也不是凭空猜测的。这是基于一些数据和用户报告,它们清楚地表明存在一个威胁。所以请严肃对待这种威胁:听取你的浏览器的建议。
寻找文字上的错误
好的网站会以自己为骄傲。这意味着这些网站图形鲜明,拼写和语法正确,整个体验流畅优美。如果你访问的网站像是只上过三年级或母语不是英语的人写的,你可能就要小心一点了。特别是当那些错误出现在重要的页面上时。每个人,甚至是大型公司都会偶尔错误,但当这些错误异乎寻常时,你就需要小心一点了。
查看“联系我们”
另一个可能暴露假冒网站的迹象可能会出现在“联系我们”部分。那里有多少信息?提供地址了吗?有电话号码吗?地址和电话号码确实是这家公司的吗?这里提供的信息量越大,你就越应该感到自信——假设这些信息确实是真实的。如果他们给你提供的只是一个电子邮件地址,或者更糟糕的是,完全没有联系信息,或者是其他信息——那就赶快跑吧。
过多的广告
广告是生活的一部分。无论你去到哪里,你都会遇到广告。但如果你遇到一个网站含有大量的广告,你就要小心了。如果你不得不点击几个链接来关闭那些烦人的弹窗,或者你被诱导进了原本不想去的网页,那么你现在所访问的网站就很有可能是仿冒的或者至少是欺诈性的。在用户体验和广告销售之间存在着一条明显的界线,当一个网站明显不尊重这条界线时,你就需要谨慎了。
检查“Who.Is”
高级用户还可以使用另外一个小技巧。如果你确实想知道是谁在运行一个网站,那么有一个叫“Who.Is”的数据库,能告诉你该网站注册的电子邮件地址是什么。有大量免费的网站可以供你查询网站的官方“Who.Is”注册信息。这是一个选项。“Who.Is”注册信息可以告诉你一个网站的所有者以及这个所有者是个人还是公司。如果是公司的话,会显示“机构”,并且有它的地址和电话号码。如果是个人的话,会显示“姓名”,并且有他的地址。这可能是一个无价的工具,尤其当你要和大品牌做生意的时候。如果你正在访问一个声称属于一个大型公司但注册的地址又在另外一个国家的网站时,你很有可能是在访问一个假冒的网站。
查看发货和退货条款
任何一家合法的电子商务公司都会有发货和退货条款,这被认为是一个最好的做法。所以,任何一个声称将销售一些商品但又没有发货和退货条款的网站都应当被列入怀疑名单。同样地,如果你点击一个链接,看到这两个条款夸大其词或是直接从其他网站复制粘贴过来的,那么这个网站也很可疑。看看吧,我们不是让你把所有的东西都看一遍——也不会天真地以为你会这样做,但快速地扫一眼会告诉你所有你需要知道的事。
查看电子足迹
互联网的好处之一在于,没有任何东西是存在于真空之中的。其他人可能已经有过与这家公司打交道的经验——好的或者坏的,他们很有可能其他人在其他地方,他们已经把自己的经验分享出来了。仅用一点时间挖掘一下,你就很有可能会发现一个网站是否是虚假的。你只需要谷歌网站的名字并加上“评论”两个字。去商业改进局查询,稍微查看一下。在辨别好坏方面互联网可能不是最好的,但当某些东西是假冒的时候,它绝对可以告诉你。你所需要做的就是抽出三分钟上网搜一搜。
去哪儿举报虚假或欺诈网站?
我们鼓励你举报假冒网站。这对互联网来说是好事,对你的自己也是好事。下面是举报恶意网站的地方:
谷歌—“安全浏览”
Mozilla—“保护狐狸”
微软也为其用户提供了一个在浏览器内部举报恶意网站的机会。方法如下:找到工具/安全菜单,选择网络钓鱼过滤器/智能屏过滤器,点击“举报不安全的网站。”
结语
阅读完这篇文章后,你有可能会感到一丝不安。但这并不是我们的初衷。互联网是一个令人赞叹不已的世界,你可以用它来做数不清的值得去做的事情。但是,与生活中的其他事物一样,这里也存在危险。不要因危险阻步不前,只要保持足够的警惕,你就很有可能不会遇到很多问题。
遵循惯例吧,相信那些在身份验证方面进行了投资的网站。当你感觉到有什么很奇怪的时候,请保持谨慎的态度。