首页>最新数字证书问答>如何辨别网站的真假?识别虚假和欺诈网站的5种方法

如何辨别网站的真假?识别虚假和欺诈网站的5种方法

互联网的发展方便了我们购物、娱乐,但同时也衍生处不少风险,随着互联网的发展壮大,网上充斥着各种虚假和欺诈网站,最常见的就是网络钓鱼,这些攻击采取多种形式,网络钓鱼是一种在线欺诈行为,通常精心组合多种媒介,以创造合法性的印象。下面为各位介绍用5种方法来确定是否是欺诈性网站?

网络钓鱼是最普遍的,但不是唯一需要在互联网上保持警惕的攻击类型。以下是其他类型的互联网欺骗行为的一些示例:

第三方内容注入:最常见的例子是公共WiFi热点。当你在商场或机场时,你有没有注意到大量的额外广告或弹出窗口?这是第三方内容注入的示例。由于网站缺少SSL,ISP可以将自己的内容注入网站。这意味着您没有看到该网站的用途。如果第三方有欺骗意图,它可能会注入有害内容。

窃听:与网络钓鱼类似,他们可以窃听连接并窃取任何传输的信息。这强调了对连接安全性的需求,没有它,您在网上发送的所有内容都可能被任何想要它的人拦截和窃取。

识别虚假和欺诈网站的5个方法

1.)密切注意URL(网址)

如果你知道有多少人很少或根本没有留心浏览器的地址栏,那么你就会大吃一惊。这是一个严重的错误。地址栏包含大量极其重要的信息,这些信息显示了你在哪里以及你的安全程度。所以,养成这样一个习惯吧:当你访问一个新的网页时,偶尔瞥一眼地址栏。

网络钓鱼的主要策略之一就是创建一个几乎难以辨别真假的网站。为达到这一目的,黑客和网络罪犯在复制URL方面有着精巧的技艺。在使用真正的域名模仿子域名的能力和浏览器令人疑惑的短URL的影响下,人们很容易上当受骗。

想知道怎么查找有用的信息,你需要知道一个URL是如何构成的。

注:1. Protocol:协议;Resource name:主机名;index.html:文件名

2. /前最后一个"."的右边部分称为顶级域名(TLD,也称为一级域名或域名),最后一个"."的左边部分称为二级域名(SLD),二级域名的左边部分称为三级域名,以此类推,每一级的域名控制它下一级域名的分配。)

现在,知道了这些知识后,一定要确保你知道你所在的实际的域是什么。子域也可能具有误导性。以下是一个利用一级和二级子域名来蓄意仿冒合法域名和TLD的例子:

不要被骗了,上面的例子中,实际的域名是“yaraneaftab。”这不是一个真正的PayPal,而是一个网络钓鱼网站。注意,浏览器显示的“安全”标志是由于使用了SSL证书。

这就是你总是需要检查URL的原因。

2.)检查连接安全指示标志

回到地址栏。如果上一点还不能表明浏览器的这个功能的重要性,那么这点应当能使你明白。地址栏内有几个连接指示标志,能让你知道你与这个网站的连接是否是私密的。如前所述,在互联网上窃听连接是可能的。

互联网是建立在HTTP(超文本传输协议)之上的。不幸的是,默认情况下,该协议是不安全的。通过HTTP进行的任何通信都可能被截获、操纵和窃取——随便你怎么叫。为了解决这个问题,人们研发了SSL或安全套接字层。后来,TLS(安全传输层协议)继承了SSL。今天,我们通俗地把两者都称为SSL。

不管怎样,HTTP + SSL = HTTPS,这是一个HTTP的安全版本,它防止了除你之外的其他人和你连接的网站截获和阅读通信内容。这里面包含的知识点很多,但你真正需要知道的是以下几点:

HTTP = 不良

HTTPS =良好

永远不要将你的个人信息暴露给一个HTTP网站。

现在,让我们来看一看连接安全标志。你应当看以下两个指标之一:

挂锁图标

或者,绿色的地址栏

这两个图标表明,该网站使用了HTTPS,你的连接很安全。如果你看到这两个图标的其中一个,那么你的连接就是安全的,而且你与网站上列出的网站所进行的通信是私密的。

记住,所有安全连接都有挂锁图标,但有些可能还有绿色地址栏。

只有当一个网站使用了一种特定类型的SSL证书(扩展验证(EV)证书)时,才会显示绿色地址栏。这种证书能证明现实世界中一个合法的股份有限公司正在运行这个网站。浏览器通过在URL的左侧显示该公司的名称来认可该网站。当你看到绿色地址栏时,你就可以放松一下了——你是安全的。绿色地址栏是不能被伪造的,通过扩展可信度,它是一个无可辩驳的身份证明。

根据浏览器的不同,这两种标志的具体外观也会不同。有时公司名称以绿色书写,有时位于一个绿色矩形框内。下面是几个主要的浏览器中EV证书的形式的例子:

在浏览器中可能会出现有HTTPS字样但挂锁图标未正确显示的情况。这表明这个连接存在一些安全问题,需要引起注意。如果遇到这种情况,最好假定你的连接是不安全的。

3.)查看证书详情

这种方法只有高级用户才可以使用,因为它要求更进一步查看你的浏览器的菜单。如果对SSL没有一个正确的理解,那么就有可能造成误解。

如果一个网站没有绿色地址栏,那么没有安全连接标志最能表明的是,你的连接是安全的。这意味着没有第三方可以窃听并窃取信息。但是,这并不意味着你就是完全安全的。

这是因为你还不知道连接的另一端到底是谁。幸运的是,这个信息可能也可以获得。下面就是找到它的办法:

大多数的浏览器(比如Safari和Firefox)允许你点击地址栏内的挂锁图标来查看证书。

对于Firefox浏览器:

点击挂锁图标

点击“更多信息”

点击“查看证书”

对于Safari浏览器:

点击挂锁图标

点击“查看证书”

对于Chrome浏览器:

点击三个点图标进入浏览器菜单

在“更多工具”菜单下选择“开发人员工具”菜单。

点击“安全”标签

点击“查看证书。”

当你点击证书信息时,你就会获得CA颁发证书前核实过的所有信息。

一旦你有了证书的详细信息,你就会想要查看以下这项信息:主体。

主体是该证书所代表的网站或组织。根据证书(DV、OV或EV)类型的不同,你会在主体中看到数量不等的信息。一个DV证书只有一个域名。一个OV证书会包括有限的公司信息(名称、州/省和国家)。一个EV证书会有详细的公司信息,甚至包括精准的街道地址。如果浏览器显示绿色地址栏的话,你就可以认可EV证书。扩展验证证书提供的信息最多——这就是为什么它有一个特殊的视觉标志的原因。

如果一个组织拥有OV SSL证书——这被看作是电子商务企业、金融机构等的基本标准——那么你就可以在证书信息中看到已核实的企业详细信息。如果改网站是有相应的公司注册的,那么你就没事了。你基本上可以信任这个网站。

但如果不是这样的话,你就需要小心了。

还有一种可能,这一信息并未被完全提供。如果是这种情况,该网站只有域验证SSL证书。这并不意味着你应该自动把该网站列入不信任名单,它只是意味着你需要继续持怀疑的态度,直到这个网站可以证明自身的合法性为止。

4.)寻找信用图章

当一个公司或机构实实在在对客户的安全进行投入时,他们一般会需要一点信誉。这就是信用图章存在的众多原因之一。你或许在网络上已经看过一些信用图章了。它们看起来像这样:

信用图章通常被放在主页、登录页面和结账页面。它们是清晰可辨的,提醒访问者这个页面是安全的。它跟宣传你的系统是安全的东西,如你院子中的一个记号或窗户上的一个标签,是不一样的。人们看到这些信用图章时就知道它们的含义。

但你以前知道你还可以点击它们吗?

是的,大多数SSL证书都带有信用图章,当点击这些信用图章时,核实过的信息就会显示出来。这很重要,因为它让你知道,这个SSL证书信誉良好,并且还可能带有额外的安全机制,如恶意软件扫码或漏洞评估。

只看网站的图章是不够的,你还需要点击它来验证网站的合法性。

5.)查阅谷歌安全透明度报告

这是辨别假冒网站的最后一个办法,但也是最后的一个良好的保护措施:照字面意思来说就是,谷歌它。谷歌安全透明度报告允许你将URL复制粘贴到一个区域,然后它会为你出具一个报告,告诉你是否可以信任这个网站。这种方法不那么高级,但它确实是一个确定网站是否安全有效的方法。

它不能保证包含所有的信息,但它会尽可能多地将所有的信息囊括其中。谷歌确实偶尔会漏掉一些信息,但这种情况不会持续太久。当你像谷歌那样广泛存在时,没有什么能太久逃过你的法眼。谈及保护用户安全时,谷歌的安全浏览服务在网络上是最好的。如果你曾经有所质疑,谷歌一下就知道了。

以上,是为大家分享的“如何辨别网站的真假?识别虚假和欺诈网站的5种方法”的全部内容,如果用户遇到的问题不能解决,可通过wosign官网客服寻求帮助,凡是选择wosign ssl证书的网站用户,wosign可提供免费一对一的ssl证书技术部署支持,免除后顾之忧。

相关内容

钓鱼网站出现飙升,主要原因是——浏览器?!

钓鱼网站出现飙升,主要因为最近的两个趋势,一个是由谷歌和Mozilla领导的浏览器,从Chrome 56 / Firefox 51开始,将安全标识从低调的安全挂锁更改为“安全/不安全”的两极化提示。另一个是免费SSL项目的快速增长,任何人(包括网络钓鱼者)都可以轻松获取合法SSL证书,无需进行严格身份审核。

使用OV或EV SSL证书,抵御钓鱼网站威胁

免费SSL证书帮助合法网站更加快速、低成本地实现HTTPS加密,防止中间人攻击和非法窃听,但也极易遭钓鱼网站利用。此前,用户是通过HTTPS判断真实网站,现在假冒网站也用上了HTTPS,用户该如何判断呢?HTTPS加密提升了网站数据传输安全,但只有充分利用网站身份信息才能抵御钓鱼网站威胁。

详解:钓鱼网站行骗手段、传播途径和防范方法

钓鱼网站通常指伪装成银行及电子商务网站,窃取用户提交的银行帐号、密码等私密信息的网站。“钓鱼”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。

最新资讯

在HTTPS里调用HTTP资源不出现提示框的方法

https能避免流量劫持吗?

Wireshark如何解密经tls加密的web报文(实战教程)

在HTTP页面输入数据,Chrome 70将显示红色不安全警告

嗅探和ARP欺骗的区别

标签推荐:https免费证书 | 阿里云ssl证书 | https证书申请| 数字签名技术| 火狐浏览器证书| ssl证书更新| 小程序证书| 驱动数字签名| 个人代码签名| 微软代码签名| android数字签名| java代码签名