信息安全3.1-视觉欺骗

这个话题本想上周一的时候提笔写,后来忙工作,忙了一周,还患了急性肠炎,期间去学了次游泳,整个人精神状态好了不少。今天工作结束的早,就简单的说一下这个事情。

对于绝大多数网民来讲,对于网站身份的识别主要来自于域名和页面的视觉效果。比如说有虚假域名的,见下图:(来源自雷锋网,文章地址:https://www.leiphone.com/news/201704/NyHGnviIh1lMKUCX.html)

这个原理是域名所用的字符是地方语言的字符集,我们常用的英文字符集,不少地方语言的字符会跟英文字符有相似的地方,单纯通过人眼是很难去识别的。所以解决办法就是对于重要的网站建议手动输入域名,或者通过书签栏收藏去访问。

上述的域名是浏览器地址栏实实在在展现出来的,讲个本土化的案例,国人用微信比例很高,微信内置浏览器在页面下拉的时候,会在标题栏跟页面顶部之间的背景空隙展现域名地址,见下图。

然后我上周就见到一个很有趣的例子,有人抓住了部分用户会通过这个操作来鉴别网站是否是官方的,在页面上加了一个下拉的效果,见下图。

这里面有三个地方可以看出来问题:

首先,最明显的是标题栏,如果是微信的公众号文章标题栏是没有「关闭」这个按钮的,如果是微信以外的网站就会出现「关闭」这个按钮。

其次,就是这个下拉的域名,这个假冒的网站没有根据不同手机的内核显示不同的文字内容,根据不同的手机尺寸渲染不同的文字显示大小。

再者,就是这个日期之后的「KFC」不是浅蓝色可以点击的链接。

根据我的观察,当天这个虚假网站出来之后,在朋友圈里火了一把,大概两个小时不到,微信官方就停止了这个地址的跳转访问,看来转发和浏览的人相当的多。

我写这篇文章意在表达「道高一尺魔高一丈」,总有人会想着心思从视觉角度去欺骗用户。

结尾附上最近看的电影的片尾图:

发表评论

电子邮件地址不会被公开。 必填项已用*标注