钓鱼网站和垃圾邮件l 是怎么骗走你的密码的?
其实有很多方法来骗走您的密码典型的就是使用另类字符伪装字体。
下面有两组地址看起来都是一样的。
http://www.cibcredit.com/paly.html
http://www.cibcredit.com/pаly.html
其实并不是这样的,您试着分别吧这两组地址复制到IE 7的地址栏中看看(IE6可能无法显示出正确信息,所以新版本的软件还是有好处的。)
看出区别了么?字母a和а并不属于同一类字符,所以浏览器并不认为他们是相同的地址。而只凭眼见为实的我们通常很容易被欺骗。
另外用的最多的网站XSS攻击,总之做网管这几年,我认为最不安全的就是互联网络。网络诈骗离我们很近,而且越来越近。只有你了解的越多,那么受害的几率就越小。
下面文章出自“Xhinker” 博客,http://xhinker.blog.51cto.com/640011/128458
--------------------------------------------------------
本文通过一个例子,告诉你钓鱼网站和立即email 是如何骗走你密码的。
1.在浏览器中输入 [url]http://testasp.acunetix.com/Search.asp[/url]
2.在搜索栏中填写:""内的字符
"
Please login with the form below before proceeding:
然后点击search, 你会很奇怪的发现 搜索栏下面出现了一个用户登录界面,你再看看上面的代码action="destination.asp"
你如果真的输入了用户名和密码,点击提交,那么你的密码就主动送给别人了。
当然那些心怀恶意的人不可能这么做,这只是一个例子。他们会提供一个链接比如:
您中了10万元大奖
这个链接的指向的是:
[url]http://testasp.acunetix.com/Search.asp?tfSearch=%3Cbr%3E%3Cbr%3EPlease+login+with+the+form+below+before+proceeding%3A%3Cform+action%3D%22destination.asp%22%3E%3Ctable%3E%3Ctr%3E%3Ctd%3ELogin%3A%3C%2Ftd%3E%3Ctd%3E%3Cinput+type%3Dtext+length%3D20+name%3Dlogin%3E%3C%2Ftd%3E%3C%2Ftr%3E%3Ctr%3E%3Ctd%3EPassword%3A%3C%2Ftd%3E%3Ctd%3E%3Cinput+type%3Dtext+length%3D20+name%3Dpassword%3E%3C%2Ftd%3E%3C%2Ftr%3E%3C%2Ftable%3E%3Cinput+type%3Dsubmit+value%3DLOGIN%3E%3C%2Fform%3E[/url]
就是你起先看到的页面。 这时你看到域名不是由tencent 或者其他看起来很正规的网站的吗? 于是你很确信的填写了用户名和密码。然后过几天你发现你的qq密码被人改了,邮箱登陆不上去了.etc...
另外一些不怀好意的人甚至不用你填写用户名,直接从你的IE cookie里窃取 你的用户信息。你都不知道发生了什么事情的时候,你的用户信息就被窃取了。
以上这种方法也叫XSS(Cross Sites Stripting) 攻击。
所以上网也要小心,邮箱,msn, qq 里的链接不要乱点。
----------------------------------------------------------------
0 评论:
发表评论