最近出现了使用弹出窗口伪装Internet Explorer(IE)地址栏
网页仿冒(Phishing)——这是反欺诈业界团体“Anti-Phishing Working Group”当地时间11月1日发出警告(英文)
实际上
本刊编辑部就曾收到过被诱往假冒网站WebSite邮件美国花旗银行也于10月25日就使用同样伎俩欺诈发出警告(英文)如果点击邮件中
链接就会被引诱到伪装成美国花旗银行假冒网站WebSite假冒网站WebSite会显示地址栏记有花旗银行正式URL弹出窗口假冒网站WebSite真实URL则被隐藏起来使用弹出窗口(Script
“window.createPopup
”思路方法)伪装屏幕显示思路方法本身并不新鲜2004年7月就作为伪装IE对话框思路方法的
被发现现在出现网页仿冒只是利用了这思路方法而已正如相关报道(日文)所述
即使是 XP SP2个网页也允许出现个由window.createPopup建立弹出窗口因此就算是XP SP2环境也有可能被欺诈虽然将活动脚本设为无效
就不会打开弹出窗口、可以防止上当但这样会导致多数网站WebSite无法完整显示画面或无法接收服务比如在笔者系统( 2000+IE 6)中将活动脚本设为无效后访问美国花旗银行正式网页( http://web.da-us.Citibank.com/cgi-bin/cit
i/scripts/login2/login.jsp )时就无法显示完整页面网页仿冒
手段越来越高明了在这种形势下建议采取以下各种措施来防止中招如“不要在被邮件诱往Web网页中输入重要信息”、“为了弄清链接地址以文本形式显示所有邮件(不显示HTML邮件)”、“输入重要信息时在确认表示正在进行SSL通信‘锁定记号’同时点击锁定记号检查数字证书内容(
锁定记号有可能被伪装因此只有锁定记号是不可靠)”、“用网页‘属性’来确认URL”等虽然不能怀疑
切但现在已经到了“眼见”并不为实地步因此务必多加小心另外多数情况下被“做手脚”对象是IE(以及利用IE邮件软件Software)因此使用除IE的外浏览器(不使用IE邮件软件Software)也算是种防范措施不过在其他浏览器中也发现了允许伪装漏洞总的切忌过于相信切!Web网站WebSite
开发人员和管理员也要引起重视最好能制作“即使将活动脚本设为无效也能提供最低限度必要服务”、“准确显示地址栏和状态栏”、“不使用框架和弹出窗口”这样网站WebSite令网页仿冒无法假冒
最新评论