URL 填充是一种恶意手段,网路犯罪分子利用它来欺骗毫无防备的受害者,特别是那些使用手机浏览器的人,让他们信任虚假的网址。
一种新的网络钓鱼攻击正在迅速扩散,主要针对毫无防备的 Facebook 用户及其他储存敏感个人资讯的网站,例如金融机构。这种攻击利用用户的注意力不集中,甚至能欺骗最警觉的网路使用者。因此,让我们仔细看看这种攻击是如何运作的。
在不断寻求欺骗受害者的过程中,骇客们拥有了一种创建虚假和可信网址的新方法。为了让假网址看起来更合法,骇客们会在较大的网址末尾添加连字符,以掩盖地址栏中的实际目的地。这种手法尤其有效,因为它利用了手机设备的限制,手机的网址栏通常较窄,使得用户难以区分真实网址和假网址。
继续阅读以了解更多有关 URL 填充的资讯,以及如何在手机上保护自己免受此类网络攻击。
URL 填充是一种主要针对手机浏览器的 网络钓鱼 技术。
在这种攻击中,钓鱼者会在网址的末尾添加额外的字符或单词,以营造合法性的假象,然后将受害者引导至他们的网站。这样一来,攻击者能在受害者的心中建立某种可信度,最终导致他们点击该链接。
这些攻击非常有效,因为它们利用了人类信任复杂看起来的、符合 familiar格式的网址的倾向。同时,它们也利用了手机浏览器狭窄的网址显示栏,这使得用户无法查看整个链接内容。一旦点击,受害者将被重定向到网络钓鱼网站或感染恶意软体的页面,危及他们的敏感信息并使其安全性遭受威胁。
攻击者利用手机用户界面的限制,使用子域名和连字符来填充网址,使其看起来真实以欺骗用户。
为了说明 URL 填充攻击是如何运作的,让我们以登录页面的网址“examplecom/login”为例,手机网站可能显示为“mexamplecom/login”。
攻击者会在这个网址的末尾添加额外字符,例如“mexamplecom/loginsession=secureampauth=uservalidateevilhoodiehackercom /”。
这个网站的真实域名是“evilhoodiehackercom”,而不是“examplecom”。但因为手机浏览器只显示网址的第一部分,使用者只能看到“mexamplecom”这个域名及一些具有误导性的参数。
海外npv加速器来源 PhishLabs
这里还有另一个例子,感谢 Phishlabs,他们首次发出了对这种攻击方法的警告。
让我们透析这个诈骗 Facebook 的网址: mfacebookcomvalidatestep1rickytaylk[dot]com /signinhtml
乍一看,这个网址可能看起来像是一个合法的 Facebook 网页,因为它以“mfacebookcom”开头。然而,仔细查看后,你会注意到实际域名是 rickytaylk(dot)com,这清楚地显示这是一个钓鱼企图。
更糟的是,骇客还会使用“登录”、“安全”、“帐户”、“官方”或“验证”等误导性文字,进一步误导用户。这些策略旨在使网址看起来更具可信性和说服力。用户看到额外的字符以及这些短语的确认偏见,可能会假设该网址是合法且安全的,最终在不知情的情况下上当受骗。
URL 填充攻击越来越复杂,骇客们使用看似真实的网址和登录页面来欺骗毫无防备的受害者。 Facebook 帐户是被抓取的最常见目标,攻击者利用手机用户的忽视来引诱他们点击诈骗链接。类似的攻击也被用来针对其他流行的服务,包括 iCloud、Gmail 和网上银行网站。
一旦受害者点击链接,他们会被带到像前面例子中那样的虚假登录页面,无意中输入他们的用户名和密码。这些信息随即被攻击者捕获,并可用于不法用途。
研究人员警告,这些攻击通常通过 SMS、社交聊天应用程序和电子邮件传播,因为人们通常会认为这些方式是合法的信息来源。
不幸的是,没有钓鱼阻挡器或万无一失的方法可以防止 URL 填充攻击。但这种攻击会利用那些不专心的人;只要多加留意、保持警觉,再加上一丝健康的谨慎,你就能保护自己。使用以下技巧识别和避免 URL 填充攻击:
在电脑上,将鼠标悬停在链接上以查看实际的目的地 URL,然后再点击。在手机上,将 URL 复制到剪贴板中,以便在继续点击之前仔细检查。在输入敏感信息之前,始终仔细检查你所在页面的完整 URL。如果 URL 看起来异常长或包含连字符,考虑使用网址扫描器以验证其合法性。不要点击来自未知来源的链接。对于意外的信息或请求即使你认识发件人保持谨慎,尤其是如果它们涉及登录凭证或个人信息。记住,你是保护自己网上帐户和个人信息的最佳武器。通过保持专注和警惕,你可以抵御 URL 填充及其他网络攻击的危险。
Crysta Timmerman
Crysta 是 IPVanish 的长期撰稿人,拥有超过十年的网络安全最佳实践分享经验。她是位于奥兰多的 ADDY 奖获得者,并热爱当地的运动队。