利用搜索引擎实施钓鱼攻击渐成趋势

　　越来越多的攻击者开始利用搜索引擎将用户误导至钓鱼网站，上周，软件安全厂商Marshal在其博客中强调了钓鱼供给问题和搜索引擎优化的作用问题。

　　Marshal表示，那些被搜索结果误导至钓鱼网站的用户通常会看到一个假冒安全对话窗口告诉用户下载一个假的反恶意软件程序，这些假冒搜索结果包括模仿California Franchise Tax Board和大学篮球网站等。

　　搜索引擎供应商微软公司和Google发言人并没有直接表示正在采取哪些措施以确保其搜索排名不会将用户误导至恶意网站，这两家供应商都没有提供黑客信息或者泄漏的商业秘密。

　　微软公司发言人表示，微软公司采取的措施之一就是在其IE8浏览器中加入了SmartScreen过滤器，当用户点击可疑链接时会显示弹出警告。该过滤器是以网址信誉度为基础的，通过托管下载的服务器运行诊断扫描以确定这些服务器是否有恶意内容记录。不过估计用户一般会根据自己的常识判断，不会点击这样的网站。

　　Google发言人Nate Tyler在电子邮件中表示，Google对于网站管理员应该做和不应该做的事情都有明确指导，当网站管理员使用程序化查询以提高其搜索排名时，Google将会从其搜索结果中删除这些网页。另外，Google也禁止使用有隐藏编码的链接或者使用桥页(doorway page)以增加点击率和提高搜索排名。这里也暗示着，确定了这么多黄金规则后，用户应该能够根据自己的判断保护自己。

　　攻击者还会将恶意链接放到其他网站，特别是网站的评论部分。对于博客而言，这种做法被称为博客垃圾评论，攻击者通常使用自动化工具与链接连接以帮助他们进入用户计算机。

　　当然，很难完全杜绝人们点击恶意网站链接，总是会有一些人会无意识地去点击。

　　“没有任何产品可以解决这个问题，”Paul Henry表示，他是位于亚利桑那州Lumension市的Scottsdale公司的安全分析师，“最有效的做法当然是确保浏览器和所有相关加载程序的即时更新。”