防釣魚相關措施
防釣魚邏輯
2013-03-27 10:52
我們的生活越來越離不開網際網路了,越來越喜歡網購了。可是在網購的過程中,我們時不時的都會聽說,某某人被釣魚了,某某人的賬號資訊被到用了。作為程式設計師的我,回溯最近的幾個年頭,也有好些次差點被這些網際網路上的連結給騙了。故事1: 有一天,一QQ qun裡的兄弟, 發了一連結(這個連結和QQ空間的連結好相似),然後說:“這個QQ空間裡面有很多的xxxx”.一時興起的同學立即點開,然後彈出的頁面,和QQ空間的模子一個樣,要想再進一步點選觀看,需要登入。 然後,你輸入使用者名稱密碼,發現什麼也沒有,或是真有什麼。。。。不過請知道,你的QQ賬號已經被竊取了。你被網站的假象給矇騙了。
故事2: 接著故事1,假如這不是一個QQ空間,還可能是一個有交易的假冒網站(比如移動,聯通的官網),故事繼續發展,我們在這個網站上,進行手機充值,之前輸入的是自己的手機號碼,然後,選擇了某某支付方式,比如第三方的支付公司,等我們支付完成了後,恍然才發現,我們給別人衝了值。 我的個去啊。
釣魚場景還很多,大概都是這樣的:假冒網站盜號然後獲取資訊; 假冒請求,直接獲取財富或資料
面對故事1這種,大概只能自求多福,眼睛多觀察,多留心了
面對故事2這種,我們有理由要求,支付公司為我們提供一定的安全保障,明明不是在他們的合作伙伴網站上支付,竟然支付成功了
這裡研究了一下,
我們的生活越來越離不開網際網路了,越來越喜歡網購了。可是在網購的過程中,我們時不時的都會聽說,某某人被釣魚了,某某人的賬號資訊被到用了。作為程式設計師的我,回溯最近的幾個年頭,也有好些次差點被這些網際網路上的連結給騙了。
故事1: 有一天,一QQ qun裡的兄弟, 發了一連結(這個連結和QQ空間的連結好相似),然後說:“這個QQ空間裡面有很多的xxxx”.一時興起的同學立即點開,然後彈出的頁面,和QQ空間的模子一個樣,要想再進一步點選觀看,需要登入。 然後,你輸入使用者名稱密碼,發現什麼也沒有,或是真有什麼。。。。不過請知道,你的QQ賬號已經被竊取了。你被網站的假象給矇騙了。
故事2: 接著故事1,假如這不是一個QQ空間,還可能是一個有交易的假冒網站(比如移動,聯通的官網),故事繼續發展,我們在這個網站上,進行手機充值,之前輸入的是自己的手機號碼,然後,選擇了某某支付方式,比如第三方的支付公司,等我們支付完成了後,恍然才發現,我們給別人衝了值。 我的個去啊。
釣魚場景還很多,大概都是這樣的:假冒網站盜號然後獲取資訊; 假冒請求,直接獲取財富或資料
面對故事1這種,大概只能自求多福,眼睛多觀察,多留心了
面對故事2這種,我們有理由要求,支付公司為我們提供一定的安全保障,明明不是在他們的合作伙伴網站上支付,竟然支付成功了
這裡研究了一下,
傳統進行防釣魚的措施有3種:白名單校驗, 時間戳校驗, IP檢查
1. 白名單檢查
商戶呼叫支付公司系統,其http請求的Referer欄位應該是支付公司合作伙伴的某個URL連結。支付公司會收集合作夥伴的網站域名做成一個集合叫做“白名單”
邏輯:
1、refer為空,交易直接失敗。
2、refer不為空,refer域名不屬於白名單列表時,失敗交易
2. 時間戳檢查
商戶在發出http請求前先呼叫支付公司提供的一個介面來拿到支付公司伺服器上的當前時間T1,把時間T1作為支付請求連結的一個引數加在url中傳遞給支付公司伺服器,支付公司伺服器接收到請求後先取出url中的時間引數T1,然後再取一下支付寶伺服器當前的系統時間T2,計算兩個時間的間隔,如果時間差超過一定範圍,則時間戳檢查失敗,拒絕服務,可以跳轉到error頁面。時間間隔的設定預設是60秒,可以根據配置靈活的調整
3. IP檢查
商戶首先在商戶平臺內獲取使用者客戶端的IP地址,然後將該IP地址作為支付介面的引數加到URL中。支付公司伺服器在接受到支付請求後先取出URL中的IP值,然後再重新獲取當前操作使用者的客戶端IP地址,比對兩者是否一致,如果不一致,則IP檢查失敗,然後提醒風險(這裡是提示風險,由使用者決定是否下一步操作,因為IP可能獲取不同,比如某公司有雙網路出口)
面對故事2中的事情,很明顯支付公司可以有個白名單攔截,這裡就可以避免無辜的老百姓上當受騙。
1. 白名單檢查
商戶呼叫支付公司系統,其http請求的Referer欄位應該是支付公司合作伙伴的某個URL連結。支付公司會收集合作夥伴的網站域名做成一個集合叫做“白名單”
邏輯:
1、refer為空,交易直接失敗。
2、refer不為空,refer域名不屬於白名單列表時,失敗交易
2. 時間戳檢查
商戶在發出http請求前先呼叫支付公司提供的一個介面來拿到支付公司伺服器上的當前時間T1,把時間T1作為支付請求連結的一個引數加在url中傳遞給支付公司伺服器,支付公司伺服器接收到請求後先取出url中的時間引數T1,然後再取一下支付寶伺服器當前的系統時間T2,計算兩個時間的間隔,如果時間差超過一定範圍,則時間戳檢查失敗,拒絕服務,可以跳轉到error頁面。時間間隔的設定預設是60秒,可以根據配置靈活的調整
3. IP檢查
商戶首先在商戶平臺內獲取使用者客戶端的IP地址,然後將該IP地址作為支付介面的引數加到URL中。支付公司伺服器在接受到支付請求後先取出URL中的IP值,然後再重新獲取當前操作使用者的客戶端IP地址,比對兩者是否一致,如果不一致,則IP檢查失敗,然後提醒風險(這裡是提示風險,由使用者決定是否下一步操作,因為IP可能獲取不同,比如某公司有雙網路出口)
面對故事2中的事情,很明顯支付公司可以有個白名單攔截,這裡就可以避免無辜的老百姓上當受騙。
全網最實用最簡單的防釣魚網站方法(親身經驗),你被釣魚了麼?
2014-12-07 22:39:29
url:
你是否遇到過釣魚網站?你是否被釣魚網站釣走資金?你是怎樣防範釣魚網站的呢?據有關報道釣魚網站的危害已經超過木馬和病毒危害,現在流行的無線蹭網,不乏風險路由器WIFI,二維碼掃描隱含風險。
很多人防止釣魚網站依賴於安全瀏覽器,沒錯,大部分的釣魚風險網站都是可以被安全瀏覽器是別的,但是瀏覽器是防禦型得,無法做到高程度的預測風險網站,也就是說瀏覽器的安全性是滯後的。
萬一有一個釣魚網站在被瀏覽器列為風險網站之前,你就遇到了呢?你是如何分辨的呢?
常見的方法有:
第一、查驗“可信網站”
通過第三方網站身份誠信認證辨別網站真實性。(缺點:新的釣魚網站難以防範)
第二、核對網站域名
假冒網站一般和真實網站有細微區別,有疑問時要仔細辨別其不同之處,比如在域名方面,假冒網站通常將英文字母I被替換為數字1,CCTV被換成CCYV或者CCTV-VIP這樣的仿造域名。(缺點:很少有人核對,而且比較相似難以察覺)
第三、比較網站內容
仿冒網站上沒有連結,使用者可點選欄目或圖片中的各個連結看是否能開啟。(缺點:現在很多釣魚網站做的跟真實網站一模一樣,也有正確的連結,除了登陸框的連結不一樣,根本無法從感官上察覺)
第四、查詢網站備案
通過ICP備案可以查詢網站的基本情況、網站擁有者的情況。(缺點:我們不可能每進入一個網站或者連結就去查詢,實際中幾乎用不到)
第五、檢視安全證書
目前大型的電子商務網站都應用了可信證書類產品,這類的網站網址都是“https”打頭的,如果發現不是“https”開頭,應謹慎對待。(缺點:這個不是絕對的)
掃碼有風險,一定不要隨意掃碼,更不要隨意登陸不明來源的網頁哦!
以上的方法都有一定的效果,但是在時間緊迫的今天我們不可能將上述一一試用,那麼最簡單又最實用的方法有木有?
以下介紹最實用最簡單,適合目前所有網購的方法(包括手機與PC),根據自己的實際測試,百試不爽!
開啟任何一個登陸介面後,輸入你的賬號或者隨意一個號碼,然後故意輸入一個錯誤的密碼(可以試用兩次或者不超過最大鎖定次數),出現以下結果:
•提示密碼或賬號錯誤-------可以判斷此網站為非釣魚網站(正確率非常高)
•自然登入--------幾乎可以完全判斷為釣魚網站(歪打正著的機率幾乎為零)
親,你學會了麼?一定不要超過最大次數以免被鎖定哦
求贊,求分享---如果幫到你了請親給個贊!