最近出现了使用弹出窗口伪装Internet Explorer(IE)地址栏
![](/icons/86687de.gif)
网页仿冒(Phishing)——这是反欺诈业界团体“Anti-Phishing Working Group”当地时间11月1日发出
![](/icons/86687de.gif)
警告(英文)
![](/icons/86687dou2.gif)
实际上
![](/icons/86687dou.gif)
本刊编辑部就曾收到过被诱往假冒网站WebSite
![](/icons/86687de.gif)
邮件
![](/icons/86687dou.gif)
美国花旗银行也于10月25日就使用同样伎俩
![](/icons/86687de.gif)
欺诈发出警告(英文)
如果点击邮件中
![](/icons/86687de.gif)
链接
![](/icons/86687dou.gif)
就会被引诱到伪装成美国花旗银行
![](/icons/86687de.gif)
假冒网站WebSite
![](/icons/86687dou2.gif)
假冒网站WebSite会显示地址栏记有花旗银行正式URL
![](/icons/86687de.gif)
弹出窗口
![](/icons/86687dou.gif)
假冒网站WebSite
![](/icons/86687de.gif)
真实URL则被隐藏起来
使用弹出窗口(Script
![](/icons/86687de.gif)
“window.createPopup
![](/icons/86687kh.gif)
”思路方法)伪装屏幕显示
![](/icons/86687de.gif)
思路方法本身并不新鲜
![](/icons/86687dou2.gif)
2004年7月就作为伪装IE对话框
![](/icons/86687de.gif)
思路方法的
![](/icons/86687yi.gif)
被发现
![](/icons/86687dou2.gif)
现在出现
![](/icons/86687de.gif)
网页仿冒只是利用了这
![](/icons/86687yi.gif)
思路方法而已
正如相关报道(日文)所述
![](/icons/86687dou.gif)
即使是 XP SP2
![](/icons/86687dou.gif)
![](/icons/86687yi.gif)
个网页也允许出现
![](/icons/86687yi.gif)
个由window.createPopup
![](/icons/86687kh.gif)
建立
![](/icons/86687de.gif)
弹出窗口
![](/icons/86687dou2.gif)
因此就算是XP SP2环境也有可能被欺诈
虽然将活动脚本设为无效
![](/icons/86687dou.gif)
就不会打开弹出窗口、可以防止上当
![](/icons/86687dou.gif)
但这样会导致多数网站WebSite无法完整显示画面
![](/icons/86687dou.gif)
或无法接收服务
![](/icons/86687dou2.gif)
比如在笔者
![](/icons/86687de.gif)
系统( 2000+IE 6)中将活动脚本设为无效后
![](/icons/86687dou.gif)
访问美国花旗银行
![](/icons/86687de.gif)
正式网页( http://web.da-us.Citibank.com/cgi-bin/cit
![](/icons/86687if.gif)
i/scripts/login2/login.jsp )时就无法显示完整
![](/icons/86687de.gif)
页面
网页仿冒
![](/icons/86687de.gif)
手段越来越高明了
![](/icons/86687dou.gif)
在这种形势下
![](/icons/86687dou.gif)
建议采取以下各种措施来防止中招
![](/icons/86687dou.gif)
如“不要在被邮件诱往
![](/icons/86687de.gif)
Web网页中输入重要信息”、“为了弄清链接地址
![](/icons/86687dou.gif)
以文本形式显示所有邮件(不显示HTML邮件)”、“输入重要
![](/icons/86687de.gif)
信息时
![](/icons/86687dou.gif)
在确认表示正在进行SSL通信
![](/icons/86687de.gif)
‘锁定记号’
![](/icons/86687de.gif)
同时
![](/icons/86687dou.gif)
点击锁定记号检查数字证书内容(
![](/icons/86687yinwei.gif)
锁定记号有可能被伪装
![](/icons/86687dou.gif)
因此只有锁定记号是不可靠
![](/icons/86687de.gif)
)”、“用网页‘属性’来确认URL”等
虽然不能怀疑
![](/icons/86687yi.gif)
切
![](/icons/86687dou.gif)
但现在已经到了“眼见”并不为实
![](/icons/86687de.gif)
地步
![](/icons/86687dou.gif)
因此务必多加小心
![](/icons/86687dou2.gif)
另外
![](/icons/86687dou.gif)
多数情况下被“做手脚”
![](/icons/86687de.gif)
对象是IE(以及利用IE
![](/icons/86687de.gif)
邮件软件Software)
![](/icons/86687dou.gif)
因此使用除IE的外
![](/icons/86687de.gif)
浏览器(不使用IE
![](/icons/86687de.gif)
邮件软件Software)也算是
![](/icons/86687yi.gif)
种防范措施
![](/icons/86687dou2.gif)
不过
![](/icons/86687dou.gif)
在其他浏览器中也发现了允许伪装
![](/icons/86687de.gif)
漏洞
![](/icons/86687dou2.gif)
总的
![](/icons/86687dou.gif)
切忌过于相信
![](/icons/86687yi.gif)
切!
Web网站WebSite
![](/icons/86687de.gif)
开发人员和管理员也要引起重视
![](/icons/86687dou.gif)
最好能制作“即使将活动脚本设为无效
![](/icons/86687dou.gif)
也能提供最低限度
![](/icons/86687de.gif)
必要服务”、“准确显示地址栏和状态栏”、“不使用框架和弹出窗口”这样
![](/icons/86687de.gif)
网站WebSite
![](/icons/86687dou.gif)
令网页仿冒无法假冒
延伸阅读
最新评论