最近出現了使用彈出窗口偽裝Internet EXPlorer(IE)地址欄的網頁仿冒(Phishing)——這是反欺詐業界團體“Anti-Phishing Working Group”當地時間11月1日發出的警告(英文)。實際上,本刊編輯部就曾收到過被誘往假冒網站的郵件,美國花旗銀行也於10月25日就使用同樣伎倆的欺詐發出警告(英文)。 如果點擊郵件中的鏈接,就會被引誘到偽裝成美國花旗銀行的假冒網站。假冒網站會顯示地址欄記有花旗銀行正式URL的彈出窗口,假冒網站的真實URL則被隱藏起來。 使用彈出窗口(javascript的“window.createPopup()”方法)偽裝屏幕顯示的方法本身並不新鮮。2004年7月就作為偽裝IE對話框的方法之一被發現。現在出現的網頁仿冒只是利用了這一方法而已。 正如相關報道(日文)所述,即使是Windows XP SP2,一個網頁也允許出現一個由window.createPopup()建立的彈出窗口。因此就算是XP SP2環境也有可能被欺詐。 雖然將活動腳本設為無效,就不會打開彈出窗口、可以防止上當,但這樣會導致多數網站無法完整顯示畫面,或無法接收服務。比如在筆者的系統(windows 2000+IE 6)中將活動腳本設為無效後,訪問美國花旗銀行的正式網頁( https://web.da-us.Citibank.com/cgi-bin/citifi/scripts/login2/login.jsp )時就無法顯示完整的頁面。 網頁仿冒的手段越來越高明了,在這種形勢下,建議采取以下各種措施來防止中招,如“不要在被郵件誘往的Web網頁中輸入重要信息”、“為了弄清鏈接地址,以文本形式顯示所有郵件(不顯示Html郵件)”、“輸入重要的信息時,在確認表示正在進行SSL通信的‘鎖定記號’的同時,點擊鎖定記號檢查數字證書內容(因為鎖定記號有可能被偽裝,因此只有鎖定記號是不可靠的)”、“用網頁‘屬性’來確認URL”等。 雖然不能懷疑一切,但現在已經到了“眼見”並不為實的地步,因此務必多加小心。另外,多數情況下被“做手腳”的對象是IE(以及利用IE的郵件軟件),因此使用除IE之外的浏覽器(不使用IE的郵件軟件)也算是一種防范措施。不過,在其他浏覽器中也發現了允許偽裝的安全漏洞。總之,切忌過於相信一切! Web網站的開發人員與管理員也要引起重視,最好能制作“即使將活動腳本設為無效,也能提供最低限度的必要服務”、“准確顯示地址欄與狀態欄”、“不使用框架與彈出窗口”這樣的網站,令網頁仿冒無法假冒。
