360自家產品打臉:出現QQ郵箱釣魚廣告,開啟還會被360衛士攔截
首先是百度的尷尬。近期有網友在百度搜索QQ郵箱登陸的時候,出現在頂置位置的付費廣告竟然是高仿版的且經過認證的釣魚網站。此釣魚網站持有百度搜索域名認證,歸屬於宿遷某某電子商務有限公司。此後百度在接到反饋後已經將此網站刪除,而百度的解釋則是付費推廣使用者擅自修改網頁落地頁面進而跳入非法的釣魚網站。一波未平一波又起,360也鬧出了尷尬。
360自家產品打臉
就有網友在事件後特意到360搜尋引擎搜尋同樣的“QQ郵箱”詞條,結果果然也出現了偽裝為QQ郵箱的釣魚網站,而且是作為付費廣告而處於置頂位置。訊息最先由微博網友@Cuvage放出,從截圖上看(親測:現在網頁版已經看不到了)該網友再搜尋“qq郵箱登陸”關鍵詞後出現了兩個登陸連結,頂置的就是釣魚網站,點選後會跳轉到新頁面誘騙使用者賬號密碼。
然而,然而。。。最搞笑的是360搜尋到的這個釣魚網站在開啟後,360安全衛士會提示此頁面存在安全風險。這就是很矛盾的一點了:既然都是自家產品,那360安全衛士都能檢測出網站存在安全風險,那此釣魚網站為何還能存在得安然無恙?難道是要考驗自家的產品防毒效果如何?但卻是也是啪啪打臉了!
經過網友的反饋現在網頁搜尋已經沒有再出現此釣魚網站,然而當小編在通過換手機搜和換關鍵詞(郵箱)再次驗證後,依然可以看到這個付費廣告釣魚網站。也就說也只是“QQ郵箱登陸”這一個關鍵搜尋被官方修正,其他依然存在釣魚網站露出的情況,這個網站竟然還活著而且活的很好,可以看到當用“郵箱”作為關鍵詞搜尋後僅僅退到了第二位。點選之後依然是跳轉到了同樣的釣魚頁面。真的是讓人目瞪口呆的操作!
黑手盜取密碼賬號的方式
這個釣魚網站可以說偽裝技術十分高超,頁面關鍵介紹和佈局都和官方網站一模一樣,都會在使用者輸入賬號和密碼後進行頁面跳轉只不過一個登入到了QQ郵箱,而另一個則耍了一個花招將賬號密碼洩露給了幕後黑手。他們行騙的手段很隱蔽:使用者在此網站進行登入時,第一次正確輸入密碼賬號後會出現網頁倒退再次出現輸入登入框,估計很多網友也不會多想再次登入就是了。果然第二次登入成功跳轉到官方網站,然而賬號密碼早已傳送到黑手手裡了。
從此事件看到網路亂象
我們也不難猜測,無論是百度遇到的釣魚網站還是360遇到的釣魚網站應該都是出自同一幕後團隊。從這裡我們也可以看到當今中國網際網路環境中的一些亂象和隱患。那些想要搞釣魚網站的非法者其實只需要兩步就能實現他們的目的,企業資質和域名備案,然而這兩個對他們來說都不是難事,也就是有非法渠道。
首先是企業營業資質證明。想要在這兩個國內最大的搜尋引擎上散播付費廣告,需要進行資質認證,或者說要有相關的企業營業執照並提交稽核通過才行。然而這對這些“行家”來說就是小菜一碟,想找個已經通過資質認證的賬號可以通過內部洩露和盜號來取得。也正是這些非法手段讓其在搜尋引擎中堂而皇之地行騙。
然後就是網站域名備案。根據我國的網路管理辦法規定,所有在國內運營的網站無論大小都需要進行工信部域名備案,就相當於身份證,有了身份證才能被准入並開通付費推廣。就好比此次的釣魚網站,其域名備案和實際使用方並不相同,按道理兩者不同是不會被通過推廣稽核的。然而,當小編進行實際測試時發現此網站的域名備案方又不一樣了,跳轉的目標網站更是沒有備案資訊。可以猜想這些幕後團隊就是從一些非法渠道買來域名備案,而一個有意思的事情也證明了這個猜想。在此域名註冊資訊中我們可以看到聯絡郵箱一欄寫著:出售備案域名。這簡直就是明明白白的違規!
搜尋引擎方該做的工作
雖然黑手有其陰招,但搜尋引擎方的百度和360也有其工作的缺陷。就像百度官方的迴應解釋,說是推廣方擅自修改了落地頁面,這個也確實是一種解釋。但主要問題還是兩大家還是沒有做好平時的淨網工作,也就是進行二次審查制度沒有落實。
就像車檢每年都要進行,隱於無形的網站更是需要時常稽核才行。所以最專業的解決方案不是通過普通使用者來發現(況且又有多少使用者能夠準確分辨),或者只靠那些專業使用者去給官方當反饋員,而是應該兩家公司做好日常的複檢工作。責任心要長存!