标准产品系列数据中心产品系列专业级产品系列安全产品系列标准产品系列标准产品系列标准产品系列标准产品系列AD产品系列规格图DDI-DHCP页(新版)NACS页面新版GSLB新版页面DIAS新版页面下一代DNS云——ZDNS CLOUD下一代DNS核心网络设备产品型号及规格图高可靠专用硬件应用交付 智能应用负载ZDNS-AD智能负载均衡(GSLB)网络核心设备分布式权威解析递归缓存解析DNS安全防护注册配置工作流智能解析 ( DNS )可视化地址管理旧DHCP页留存网络动态感知地址实名审计IPAM页面新版海量弹性数据报表业务导向报表运营大数据分析 ( AM )综合管理平台私有云虚拟化云管理和虚拟化ZDNS SafeguardDNS 云解析动态流量调度CDN BalanceDNS 云容灾全网管控ZDNS Cloud域名管家新通用顶级域名申请注册局安全锁TMCHSSLDPMLAdultBlockTLD注册局业务监测云注册商业务支撑云注册局业务支撑云注册局业务统计云DNE下载文件顶级域名云平台域名审核云企业域名资产管理云应用交付 智能应用负载ZDNS-ADIPAM旧版留存DNS新产品系列——3.15.2.9攻防演练解决方案性能优化-了解详情互联网安全混合云路由互联网行业解决方案本地化运营解决方案顶级域名解决方案大型企业解决方案教育行业解决方案广电行业解决方案新华社北京航空航天大学恒丰银行中国劳动关系学院华数传媒陕西师范大学泰康人寿中国石油信创产品中国民生银行大型企业金融行业解决方案广电解决方案教育行业解决方案政府行业解决方案大型企业解决方案下一代DNS实践案例服务保障培训认证在线学院公告信息已是合作伙伴售后工程师认证政策申请认证培训申请认证考试证书查询合作伙伴培训与认证解决方案技术资料ZDNS云学堂资源中心合作伙伴渠道政策行业标准100+专利软著招贤纳士联系我们news图片链接ZDNS客户psirt法律声明ZDNS大事记
新闻详情

防钓鱼网站,无需再“孤注一掷”!

234
发表时间:2023-08-29 09:24

电影《孤注一掷》作为首部揭秘境外网络诈骗全产业链内幕的犯罪电影,通过群像视角,从境外诈骗工厂、网络诈骗受害者、反诈警察等多视角揭开境外网络诈骗的层层内幕,展示了一条完整的诈骗产业链。


图片


正如影片中咏梅所饰演的反诈警官所说,骗子们早就从你平时的消费记录、网页访问记录,以及其他信息中获取了你的消费习惯,琢磨你的心理特征。不管你警惕性多么高,当骗子对你了如指掌到这种程度的时候,上当受骗只是时间问题。


这其中,网络钓鱼通常采用网站、语音、邮件等手段引诱受害者上钩是网络诈骗最为常见的一种方式,国际反网络钓鱼工作组(APWG)的数据显示,2022第一季度网络钓鱼攻击次数创历史新高首次超过100万次。


网络钓鱼最常见的一种套路就是假冒、仿冒网站,不法分子利用技术手段构建与真实网站相似的域名、图片、场景来混淆用户视线,在用户未仔细辨别的情况下,一旦登入账号信息进行资金交易,个人财产将会遭受重大损失。


图片

这些“李鬼”网站,你分辨的出来吗?


中国银保监会曾发布“关于防范短信的钓鱼诈骗风险提示”,一些不法分子通过群发短信,假冒多家银行名义发送服务信息,声称客户手机银行、银行卡、身份证等过期或失效,诱导客户点击短信中网站链接访问虚假手机银行系统,客户一旦受骗提供银行卡号或手机号、账户密码、短信验证码等信息,不法分子将迅速冒用客户身份进行转账,盗取银行卡内资金。



制作成本降低,钓鱼网站日渐猖獗


据了解,钓鱼网站的愈发猖獗很大程度上源于网络钓鱼技术门槛和价格的不断降低。例如,近期出现的新型网络钓鱼服务平台,提供现成的网络钓鱼工具包,其目的是为了快速制作高质量、以大型金融组织的客户为目标的钓鱼网页,而制作一个以假乱真的金融机构网站成本仅为200美元。该钓鱼平台的目标包括了花旗银行、美国银行、Capital One、Wells Fargo、PNC、美国银行、劳埃德银行、澳大利亚联邦银行和桑坦德银行等各国知名金融机构。


一个新的高质量平台的出现对互联网用户是一个不好的消息,因为它促进了低技能的网络犯罪分子的钓鱼行为,并增强了有害信息的轰炸力。



旷日持久的“钓鱼”与“反钓鱼”攻防战


当前,市面上防范钓鱼网站的方法基本包括两类:一类是一些互联网安全公司利用互联网大数据和人工智能实现对网络钓鱼攻击侦测、发现、关停和追踪,一类则是浏览器或者搜索平台会对经过认证的官网打上安全标识,用于提醒用户。


可以说 ,以上两种方法一定程度上对于钓鱼网站的泛滥进行了抑制,但似乎并无法完全消除其危害。一方面是上文提到的,钓鱼网站目前的制作难度和成本之低令人咋舌,而获利却是如此之高,这使得铤而走险的犯罪分子“络绎不绝”,大量钓鱼网站你方唱罢我登场,与安全公司形成了某种意义上的动态平衡。


而另一方面,浏览器提供的“安全(Secure)”字样,能代表的仅仅加密了浏览器和服务器之间信息,连接到了对应的域名。至于这个网站是不是真的官网,是无法保证的。骗子也就往往利用这一点,堂而皇之的给“钓鱼网站”也装上了“安全”的标志。


雪上加霜的是,市面上已经出现了一种几乎无法靠肉眼识别的钓鱼网站,它通过浏览器对不同语言字符的转化处理,制造“同形异义字”伪装。它的原理是这样的,西里尔语里的a和英文里的a都是A,且看起来是一模一样的,但其实际含义不同,会让计算机对其进行异化处理。


以苹果官网为例,正规网址为apple.com,而通过处理后的假网址也为apple.com,这两串字符在电脑的地址栏中看起来一模一样,被不法分子利用后,将假网址做成弹窗广告挂在网站上或者通过SEO排到百度首页,完全可以以假乱真,引导用户点击,用户很容易上当,因为地址栏的显示也是apple.com,根本无法肉眼分辨。


图片

以假乱真的苹果官网


在这种情况下,面对海量金融用户完成市场教育,指望每一个用户都练就了一双“火眼金睛”,几乎成为了不可能完成的任务。



用好顶级域名,不怕被钓鱼!


在面对要求极端安全保障的场景下,很多组织都会选择采取一种类似于绝对保险的操作进行兜底。例如,民航的自动节点保障技术已经相当成熟,但是最后一道关卡一定是人工检查,面对一些要求极端安全的服务器环境中,安全团队会采取物理断绝对外网络连接的动作,也就是俗称的“拔网线”来保证绝对的可控。那么,面对钓鱼网站这种安全威胁,域名体系是否有效力等同于“拔网线”的操作呢?


不同于关键词+.com这种二级域名,品牌顶级域名,例如“.citic”、 “.baidu”、 “.联通”,将在未来极大改变企业对域名资源的理解和使用方式。除了能助力企业在品牌形象方面有所提升,其自身的技术优势也会让企业在部署灵活度、安全指数、自主可控等方面受益匪浅。


图片


企业对品牌顶级域名的使用将在某种程度上从源头上杜绝钓鱼网站对其的侵扰。不用依赖于.com、.net等传统顶级域名,品牌顶级域名授权到根区域,其注册局拥有对于此顶级域名旗下二级域名的分配和管理权限,企业可以按照自己的业务群规划二级域名的使用,进一步防止钓鱼网站,提高用户粘性风险可控,避免发生域名劫持,反垃圾邮件。而顶级域名的权威性,也让之前提到足以以假乱真的钓鱼网站无从施展。


在用户教育上,顶级域名依托于其无与伦比的数字品牌属性,在推广难度上有着得天独厚的优势,“认准.brand,谨防钓鱼网站”,也将成为最简洁、最有力的宣传口号。



如果说,目前关于网站的钓鱼与反钓鱼就如同“最强之矛”与“最强之盾”,顶级域名的出现,或许就将从源头上,为正义一方落下制胜一手。

_______________
_______________
_______________
_______________
友情互联:
_______________________________________________________________________________________________________________________________
邮箱:support@zdns.cn
7*24小时客户服务
咨询电话:400-6688-876
标签:
请输入要描述的内容进行内容补充 请输入要描述的内容
01
03
请输入要描述的内容进行内容补充 请输入要描述的内容
_______________________________________________________________________________________________________________________________
互联网域名系统北京市工程研究中心有限公司 版权所有 © 2022 
官方微信
DDI网络核心服务
顶级域名申请
IP 地址管理
DNS 安全
智能 DNS
域名资质
两地三中心
流量调度
DNS 云解析
新顶级域直通车
________________________________________________________________________________________________________________________________