防钓鱼网站，无需再“孤注一掷”！

电影《孤注一掷》作为首部揭秘境外网络诈骗全产业链内幕的犯罪电影，通过群像视角，从境外诈骗工厂、网络诈骗受害者、反诈警察等多视角揭开境外网络诈骗的层层内幕，展示了一条完整的诈骗产业链。

正如影片中咏梅所饰演的反诈警官所说，骗子们早就从你平时的消费记录、网页访问记录，以及其他信息中获取了你的消费习惯，琢磨你的心理特征。不管你警惕性多么高，当骗子对你了如指掌到这种程度的时候，上当受骗只是时间问题。

这其中，网络钓鱼通常采用网站、语音、邮件等手段引诱受害者上钩是网络诈骗最为常见的一种方式，国际反网络钓鱼工作组(APWG)的数据显示，2022第一季度网络钓鱼攻击次数创历史新高首次超过100万次。

网络钓鱼最常见的一种套路就是假冒、仿冒网站，不法分子利用技术手段构建与真实网站相似的域名、图片、场景来混淆用户视线，在用户未仔细辨别的情况下，一旦登入账号信息进行资金交易，个人财产将会遭受重大损失。

这些“李鬼”网站，你分辨的出来吗？

中国银保监会曾发布“关于防范短信的钓鱼诈骗风险提示”，一些不法分子通过群发短信，假冒多家银行名义发送服务信息，声称客户手机银行、银行卡、身份证等过期或失效，诱导客户点击短信中网站链接访问虚假手机银行系统,客户一旦受骗提供银行卡号或手机号、账户密码、短信验证码等信息，不法分子将迅速冒用客户身份进行转账，盗取银行卡内资金。

据了解，钓鱼网站的愈发猖獗很大程度上源于网络钓鱼技术门槛和价格的不断降低。例如，近期出现的新型网络钓鱼服务平台，提供现成的网络钓鱼工具包，其目的是为了快速制作高质量、以大型金融组织的客户为目标的钓鱼网页，而制作一个以假乱真的金融机构网站成本仅为200美元。该钓鱼平台的目标包括了花旗银行、美国银行、Capital One、Wells Fargo、PNC、美国银行、劳埃德银行、澳大利亚联邦银行和桑坦德银行等各国知名金融机构。

一个新的高质量平台的出现对互联网用户是一个不好的消息，因为它促进了低技能的网络犯罪分子的钓鱼行为，并增强了有害信息的轰炸力。

当前，市面上防范钓鱼网站的方法基本包括两类：一类是一些互联网安全公司利用互联网大数据和人工智能实现对网络钓鱼攻击侦测、发现、关停和追踪，一类则是浏览器或者搜索平台会对经过认证的官网打上安全标识，用于提醒用户。

可以说 ，以上两种方法一定程度上对于钓鱼网站的泛滥进行了抑制，但似乎并无法完全消除其危害。一方面是上文提到的，钓鱼网站目前的制作难度和成本之低令人咋舌，而获利却是如此之高，这使得铤而走险的犯罪分子“络绎不绝”，大量钓鱼网站你方唱罢我登场，与安全公司形成了某种意义上的动态平衡。

而另一方面，浏览器提供的“安全（Secure）”字样，能代表的仅仅加密了浏览器和服务器之间信息，连接到了对应的域名。至于这个网站是不是真的官网，是无法保证的。骗子也就往往利用这一点，堂而皇之的给“钓鱼网站”也装上了“安全”的标志。

雪上加霜的是，市面上已经出现了一种几乎无法靠肉眼识别的钓鱼网站，它通过浏览器对不同语言字符的转化处理，制造“同形异义字”伪装。它的原理是这样的，西里尔语里的ａ和英文里的a都是A，且看起来是一模一样的，但其实际含义不同，会让计算机对其进行异化处理。

以苹果官网为例，正规网址为apple.com，而通过处理后的假网址也为apple.com，这两串字符在电脑的地址栏中看起来一模一样，被不法分子利用后，将假网址做成弹窗广告挂在网站上或者通过SEO排到百度首页，完全可以以假乱真，引导用户点击，用户很容易上当，因为地址栏的显示也是apple.com，根本无法肉眼分辨。

在这种情况下，面对海量金融用户完成市场教育，指望每一个用户都练就了一双“火眼金睛”，几乎成为了不可能完成的任务。

在面对要求极端安全保障的场景下，很多组织都会选择采取一种类似于绝对保险的操作进行兜底。例如，民航的自动节点保障技术已经相当成熟，但是最后一道关卡一定是人工检查，面对一些要求极端安全的服务器环境中，安全团队会采取物理断绝对外网络连接的动作，也就是俗称的“拔网线”来保证绝对的可控。那么，面对钓鱼网站这种安全威胁，域名体系是否有效力等同于“拔网线”的操作呢？

不同于关键词+.com这种二级域名，品牌顶级域名，例如“.citic”、 “.baidu”、 “.联通”，将在未来极大改变企业对域名资源的理解和使用方式。除了能助力企业在品牌形象方面有所提升，其自身的技术优势也会让企业在部署灵活度、安全指数、自主可控等方面受益匪浅。

企业对品牌顶级域名的使用将在某种程度上从源头上杜绝钓鱼网站对其的侵扰。不用依赖于.com、.net等传统顶级域名，品牌顶级域名授权到根区域，其注册局拥有对于此顶级域名旗下二级域名的分配和管理权限，企业可以按照自己的业务群规划二级域名的使用，进一步防止钓鱼网站，提高用户粘性风险可控，避免发生域名劫持，反垃圾邮件。而顶级域名的权威性，也让之前提到足以以假乱真的钓鱼网站无从施展。

在用户教育上，顶级域名依托于其无与伦比的数字品牌属性，在推广难度上有着得天独厚的优势，“认准.brand，谨防钓鱼网站”，也将成为最简洁、最有力的宣传口号。

如果说，目前关于网站的钓鱼与反钓鱼就如同“最强之矛”与“最强之盾”，顶级域名的出现，或许就将从源头上，为正义一方落下制胜一手。