假冒网站的鉴别——从一个实例谈起
作者:EricCRC 原文出自:格物致知 转载请保留
如果你的好友告诉你腾讯庆祝成立八周年,点击下面地址可免费给QQ号升级,你怎么办?
如果有一天你使用网上支付的时候要你去“中国工商银行”交款,你怎么判断真假?
作者结合自己的经验,向大家介绍几种最基本的鉴别假冒网站的方法。
最近碰到朋友发的这么一篇文章(这里QQ号乱填的,保护隐私,嘻嘻……):
腾讯八周年升级活动已经出来了 和百度合作 轻松升到30级 大家快去看看 到2007年9月15日就结束了 时间有限
http://imgnews.baidu.com/%69%72?t=1&u=&f=%68%74%74%70%3A%2F%2F%71%71%2D%6C%6C%2E%63%6E?QQ=12345678
咱们从这个例子入手讲起。
一、分析原始地址。
1、比如某个页面上说
请点击http://www.icbc.com.cn到中国工商银行进行支付。
但是"http://www.icbc.com.cn"这行字并不一定就是指向了这个地址。
任何一个Web页面的编辑器,会自动分析页面中的URL并且作为超级链接,地址默认是本身,所以我们绝大部分情况下看到的页面中的URL就是指向自身,但这个指向显然是可以更改的,比如这里的例子中作者就把它指向了博客的首页。
2、另外一种情况是地址很复杂,复杂得你不想仔细分析它。比如我们这个案例就是。
imgnews.baidu.com是百度的图片搜索页面,但是百度有相当多的页面是自动跳转的,甚至很多地址只支持跳转,比如ma.baidu.com后面加上一些别的,都是跳转地址。跳转以后一般情况下会显示真实地址,也有一些情况会隐藏真实地址,可以进一步用后面的方法鉴别。
在本例中,最复杂的是诸如“%68%74%74%70%……”的一串符号。
这是一种用在URL中的编码方法,比如在www.google.cn搜索“中国”,结果页面URL是http://www.google.cn/search?complete=1&hl=zh-CN&q=%E4%B8%AD%E5%9B%BD&meta=,这里的"%E4%B8%AD%E5%9B%BD"就是"中国"。如果要反过来查,就把这种编码替换上面这个地址,输入浏览器,看google搜索的是哪些文字。
比如“%68%74%74%70%3A%2F%2F%71%71%2D%6C%6C%2E%63%6E”实际上是:"http://qq-ll.cn"。注意:一个URL中出现了两个地址,这是很危险很值得注意的。实际上,我们这个页面最后就是跳转到了http://qq-ll.cn?qq=12345678。
3、注意IP地址的多种形式和一个特殊的URL规则。
一般见到的IP地址是点分十进制,也可以使用点分十六进制、点分二进制或者纯粹的十进制,最后面这种是最常见的骗术。比如59.151.21.101,做59乘上256的3次方,151乘上256的2次方,21乘上256,101乘上1,把结果相加,得到999757157,有兴趣的朋友可以试一试http://999757157/可以到哪里。
最隐蔽的骗局是,把这种形式的IP地址和URL中下面的规则结合起来使用:
http://www.a.com@www.b.com指向www.b.com,www.a.com在这里被忽略;
http://www.a.com#www.b.com指向www.a.com,www.b.com在这里被忽略.
比如,大家试试这个地址:http://999757157/#xiaozihang.com,看上去是指向了我的主页,实际上呢?有相当多的URL欺骗采用这种方法。
二、分析实际域名
不论原始地址是否真实,你总会进入到一个实际的页面,它有实际的域名,而且基本上你是可以想办法搞到它的URL。如果你进入一个重要的网站,只有IP地址没有URL,那么可以肯定是骗人的了——任何一个人有一个固定的IP地址都可以搭一个Web服务来干这个活的。
分析出顶级域名。比如我们这个实例中,跳转到了http://qq-ll.cn?qq=12345678,顶级域名就是qq-ll.cn,然后用whois查询这个域名。
对于.cn的页面,进入CNNIC的Whois查询页面http://ewhois.cnnic.net.cn/,查询qq-ll.cn,得到结果如下:
域名 | qq-ll.cn |
域名状态 | ok |
域名联系人 | 张三三 |
管理联系人电子邮件 | test@163.com |
所属注册商 | 北京万网志成科技有限公司 |
域名服务器 | dns17.hichina.com |
域名服务器 | dns18.hichina.com |
注册日期 | 2007-07-28 16:53 |
过期日期 | 2008-07-28 16:53 |
注意注意,注册的责任人张三三是谁?明显的化名。邮箱是什么?明显的假的。注册日期?几天之前。结论是,这个域名不但和腾讯、百度没有一点关系,而且有明显做假痕迹。
小提示:国际域名可以到http://www.whois-search.com/查询,这里也可以查询IP地址,功能强大。
三、分析页面
如果一个网站要假冒另一个网站,肯定想把自己做的和那个真实的几乎一摸一样。当然不可能完全一样,那样就没有什么假冒了。我们分析页面的目的就是找到这不一样的地方,搞清除它在干什么。
1、分析页面基本元素
包括页面的布局、页面的链接等。如果你对真实的网站比较熟悉,总会发现一些问题。
比如我们这个实例中,页面布局非常像腾讯官方网站。如果你点击链接的话也发现没任何问题。事实上,稍微注意一下链接地址,它就是链接到了腾讯的网站,当然没有问题啦。但还是有破绽,左上脚和左下脚的两个图片分别链接到了一个56xm.cn的网址。另外,页脚有一个到第三方统计网站流量的链接。
2、分析ICP备案资料
正规的因特网内容提供商,都需要在当地工商部门登记,在网站首页最下面发布登记的ICP号以及前往查询该ICP号的链接——一般就是那个红色的“工商”的章。
假冒网站一般有三种情况:一、没有这个ICP号,因为盗用是要负法律责任的;二、假冒一个ICP号,这个时候可以进一步去工商局查询是否真实;三、盗用真实网站ICP号,这个我们真没办法了,不过可以举报,呵呵。
3、分析网站源代码
这个是最有用的。还是拿实例来说。
分析源文件,发现最关键的要输入QQ号码和提交的页面是嵌入了/index/vip2.htm这个页面,进入这个页面,继续查看源文件,发现以下描述:
<!-- saved from url=(0024)http://74242.cn/vip2.htm -->
<!--本站做的此页来源于网络,是从网上复制而来。
本站决不用此获取网友的邮箱,决不向网友的邮箱发任何邮件,决不获取网友QQ号和密码,决不传播病毒。
只是为了提高网站的流量。没有任何商业目的。
如果本站侵犯了你的版权,请联系我们QQ:18**584 email:18**584@qq.com 我们会立即删除、改正。为谢!-->
呵呵,狐狸尾巴露出来了吧。看来这个网站作者还是比较胆小的,呵呵。继续分析,按了提交以后进入了./qq2.htm?QQ=这个页面,后面参数是QQ的值,随便输一个,我们就看到最后页面了。
通过分析源代码,假冒网站要干什么,也就清楚了。
四、检查数字证书
对于银行业务类网页,在登录、查看信息、支付等窗口肯定会通过SSL进行加密来传输双方信息,所以一定要检验银行方的数字证书。
首先,强烈建议使用Microsoft Internet Explorer。现在流行的一些几百K甚至几十K的绿色浏览器,根本没有SSL功能,极为不安全。不要贪图节省那么十来M的硬盘空间。
由于Google提供的Gmail邮件服务采用SSL加密,所以我们本节使用www.gmail.com做示例。
在IE浏览器中,使用SSL传输的页面,下面状态栏的右边会出现一把金黄色的小锁,鼠标移上去,出现"可靠的SSL(128位)"字样。双击,就可以查看数字证书了。查看以下几个地方:
颁发给:本例中是www.google.com,由于Gmail的地址是mail.google.com,这里是一致的;
有效期限:应该要没有过期;
证书路径的“证书状态”:应该显示“该证书没有问题。”
假冒网站有这样几种可能:
1、没有数字证书,也没有采用SSL加密。
2、使用过期的证书。
3、盗用数字证书,证书颁发对象和当前页面不同。
4、颁发对象和当前网址符合,但和真实地址有细微差别。例如字幕"l"和数字"1"的互换、字母"O"和数字"0"的互换等。
最后讲一段历史。国际互联网前身最初是美国国防部一个叫APRANET的项目,该项目的目的是要保证在网络基本设施中的一部分在战争时期遭到破坏(冷战?呵呵)仍然能够使用,就是所谓的健壮性。另外,互联网初期的开发是交给美国高校那些天真的研究生们来做的,他们所追求的是资源的共享。这两个原因,导致互联网的安全性基础并不好,有各种难以弥补的问题。安全性问题在80年代以前似乎并不是那么重要。但当政治、金钱、声誉等等各种因素和互联网结合到一起,安全性问题就成了互联网最大的问题。
网站假冒是最近几年流行起来的,一直使用户遭受或大或小的损失,希望能引起大家的警惕。
本文只是初步介绍了一些网站假冒的手段和识别方法,希望能起抛砖引玉之用,能对大家有所帮助。更进一步的学习,大家可以去搜索“网站钓鱼技术”,这是新近出现的比较厉害的一种手段,也较难防范。
作者:EricCRC 原文出自:格物致知 转载请保留