本帖最后由 防线技术支持 于 2010-11-2 16:34 编辑
一、背景:
2010年11月2日,在广州亚运会即将来临之际,安天实验室监测到借与广州亚运会相似跳转域名QQ钓鱼事件,如图1,这是目前捕获到国内比较典型的借助广州亚运会进行钓鱼的案例。
图1.
二、描述:
用户用浏览器打开此钓鱼页面“http://520qq.co.cc/ip/”后,会发现导航栏上有“互联网公证处”的标识,其链接指向到“http://gz2010.cn.to/”虚假的互联网公证处页面(如图2)。
图2.
三、分析:
(一)、访问http://gz2010.cn.to/页面后,通过抓包分析如图3.
图3.
……
<frame name="thepage" src="http://520qq.co.cc/ip/.............htm" >
……
通过页面跳转来实现跳转到目的链接“520qq.co.cc/ip/.............htm”
(二)、未来影响
此域名转址很容易被恶意利用,只需一两分钟就可以构造出一个钓鱼域名,对用户的影响非常之大!
2010年10月下旬,安天实验室截获一个模拟广州亚运会官网域名的网址:http://www.gz2010.cn.gp/ 其链接指向一个虚假的淘宝网址,与本次钓鱼性质极为相似。
下标为目前被恶意利用的转址真实案例:
域名 名称
http://gz2010.cn.to/ 互联网公证处
http://5630.cn.to/ 中国彩票中心
http://qss228.cn.to/ 央视非常6+1
http://www.999789.cn.to/ 北京申银万国证券投资有限公司
注:钓鱼网站鉴别参考标准:
一、钓鱼网站的认定及处理流程
1、 具备下列条件之一的网站,均可被认定为“钓鱼网站”:
1) 网站内容与被仿冒对象网站内容雷同或相似的,目的是窃取用户信息;
如:教育部公布的非法学历查询网站 “chsi.com.cn”vs.“chinadxsxlrz.com”
2) 网站内容存在误导访问者的可能性,且所使用域名与被仿冒对象所使用域名相同或相似 ,目的是窃取用户信息;
如:工商银行“icbc.com.cn” vs.“1cbc.com.cn”
中国银行“bank-of-china.com”vs.“bank-off- china.com”
3) 网站内容存在误导访问者的可能性,且网站所使用域名为被仿冒对象的商号、标识或其 他与被仿冒对象存在高度对应关系的内容,目的是窃取用户信息;
如:银联 “chinaunionpay.com”vs.“cnbank- yl.com”
4) 网站内容所涉及的被仿冒对象抽奖、中奖活动为虚假活动,目的是窃取用户信息;
如:仿冒腾讯公司的QQ号抽奖赢Q币网站
5) 其他类型的钓鱼网站。
转自:http://www.cnnic.net.cn/html/Dir/2008/07/31/5246.htm#DY04
本次钓鱼事件参考结合上述标准确定“520qq.co.cc”为钓鱼网站。
1、符合上述标准第一条。
2、符合上述标准第三条。
3、符合上述标准第四条。
本次钓鱼事件参考结合上述标准确定“gz2010.cn.to”为钓鱼网站。
1、符合上述标准第一条。
2、符合上述标准第二条,但无窃取用户信息行为。
3、“gz2010.cn.to”最后还是跳转指向“520qq.co.cc”域名。
四、总结:
一、不法分子的骗术在不断演变,他们在不断寻找低风险、低成本、高回报的方式欺骗广大网上用户。
二、国内近期将很可能逐渐流行利用域名转址来进行钓鱼,欺骗性很强,用户应当提高警惕。
在此,安天实验室提醒广大的网上用户:请不要轻易相信陌生人发布的信息。 |
|
发表于 2010-11-2 16:27
