Phishing,即网路钓鱼方法,早有耳闻,只是一直没有意识到它会以什么样的形式成功欺骗广大善良劳苦大众的。今天看在屋顶唱着你的歌的偶也遇到 phishing 了,其中列了一封他收到的欺诈邮件,指明其中第一个链接就是一个明显的鱼钩,于是我算是知道其中的奥妙了。
那个欺诈链接如下:http://www.paypal.com/cgi-bin/webscr?cmd=_login-run。不能被它的表面现象迷惑,它实际的地址是 http://3395258098/icons/small//,用户点击那个链接访问的不是真的 PayPal 登录界面,而是一个伪装的很像的假页面。这种明文列写地址的链接让人联想到浏览器地址栏上显示的内容,从而忘记链接表里分离的本质:链接实际上是一个由任意字符组成的文本,该文本被赋予一个资源地址的属性,这个地址与我们看到的文本可以没有任何的联系。想到这个真是心里一颤,我接收了很多验证邮箱的邮件,其中很多验证链接都是直接把地址以明文写在链接文本里。虽然一个验证邮件并没有涉及什么太大不了的隐私问题,但是的确造成了严重的隐患,我从来都不会在意那个看上去像模像样的链接下隐藏了怎样的面目。也就是说我是极其容易被钓的!@@
以前我很纳闷,这个鱼是怎么钓的啊?一个链接点击以后,地址栏里不是会显示实际的地址么?现在看问题不简单了,如果一开始那个链接的文本就让人联想到地址栏的内容,加上伪造网页酷似真实网页,那么谁还会那么留意地址栏里实际显示的东西?好在现在的邮件客户端很多都可以检测这样的钓鱼手法。不过最好还是用户自己小心,看见以明文列写地址的链接时一定留意一下它的实际地址是不是真的像它写的那样。方法很简单,用网页浏览邮件时,鼠标指着链接,浏览器左下角会显示链接的实际地址。用客户端浏览时,考虑到有些客户端没有显示链接地址的功能,所以需要留意打开的网页地址栏中的内容。浏览网页时也存在这个被钓鱼的可能性,遇到明文列写地址的链接时,一定注意实际的地址是什么。
钓鱼的鱼钩不止上述这一种,希望引以为戒。