借助和广州亚运会相似跳转域名QQ钓鱼事件

一、背景：
      2010年11月2日，在广州亚运会即将来临之际，安天实验室监测到借与广州亚运会相似跳转域名QQ钓鱼事件，如图1，这是目前捕获到国内比较典型的借助广州亚运会进行钓鱼的案例。

图1.

二、描述：
      用户用浏览器打开此钓鱼页面“http://520qq.co.cc/ip/”后，会发现导航栏上有“互联网公证处”的标识，其链接指向到“http://gz2010.cn.to/”虚假的互联网公证处页面（如图2）。

图2.

三、分析：
      （一）、访问http://gz2010.cn.to/页面后，通过抓包分析如图3.

图3.

……
<frame name="thepage" src="http://520qq.co.cc/ip/.............htm" >
……
通过页面跳转来实现跳转到目的链接“520qq.co.cc/ip/.............htm”

（二）、未来影响
      此域名转址很容易被恶意利用，只需一两分钟就可以构造出一个钓鱼域名，对用户的影响非常之大！
      2010年10月下旬，安天实验室截获一个模拟广州亚运会官网域名的网址：http://www.gz2010.cn.gp/ 其链接指向一个虚假的淘宝网址，与本次钓鱼性质极为相似。
下标为目前被恶意利用的转址真实案例：
域名                                        名称
http://gz2010.cn.to/                互联网公证处
http://5630.cn.to/                   中国彩票中心
http://qss228.cn.to/                央视非常6+1
http://www.999789.cn.to/        北京申银万国证券投资有限公司

注：钓鱼网站鉴别参考标准：
一、钓鱼网站的认定及处理流程
  1、 具备下列条件之一的网站，均可被认定为“钓鱼网站”：
    1) 网站内容与被仿冒对象网站内容雷同或相似的，目的是窃取用户信息；
        如：教育部公布的非法学历查询网站 “chsi.com.cn”vs.“chinadxsxlrz.com”
    2) 网站内容存在误导访问者的可能性，且所使用域名与被仿冒对象所使用域名相同或相似 ，目的是窃取用户信息；
        如：工商银行“icbc.com.cn” vs.“1cbc.com.cn”
        中国银行“bank-of-china.com”vs.“bank-off- china.com”
    3) 网站内容存在误导访问者的可能性，且网站所使用域名为被仿冒对象的商号、标识或其 他与被仿冒对象存在高度对应关系的内容，目的是窃取用户信息；
        如：银联 “chinaunionpay.com”vs.“cnbank- yl.com”
    4) 网站内容所涉及的被仿冒对象抽奖、中奖活动为虚假活动，目的是窃取用户信息；
        如：仿冒腾讯公司的QQ号抽奖赢Q币网站
    5) 其他类型的钓鱼网站。
转自：http://www.cnnic.net.cn/html/Dir/2008/07/31/5246.htm#DY04

      本次钓鱼事件参考结合上述标准确定“520qq.co.cc”为钓鱼网站。
      1、符合上述标准第一条。
      2、符合上述标准第三条。
      3、符合上述标准第四条。
      本次钓鱼事件参考结合上述标准确定“gz2010.cn.to”为钓鱼网站。
      1、符合上述标准第一条。
      2、符合上述标准第二条，但无窃取用户信息行为。
      3、“gz2010.cn.to”最后还是跳转指向“520qq.co.cc”域名。

四、总结：
      一、不法分子的骗术在不断演变，他们在不断寻找低风险、低成本、高回报的方式欺骗广大网上用户。
      二、国内近期将很可能逐渐流行利用域名转址来进行钓鱼，欺骗性很强，用户应当提高警惕。
      在此，安天实验室提醒广大的网上用户：请不要轻易相信陌生人发布的信息。