防钓鱼相关措施



防钓鱼逻辑

2013-03-27 10:52

url： http://wsmajunfeng.iteye.com/blog/1837168

我们的生活越来越离不开互联网了，越来越喜欢网购了。可是在网购的过程中，我们时不时的都会听说，某某人被钓鱼了，某某人的账号信息被到用了。作为程序员的我，回溯最近的几个年头，也有好些次差点被这些互联网上的链接给骗了。

故事1： 有一天，一QQ qun里的兄弟， 发了一链接（这个链接和QQ空间的链接好相似），然后说：“这个QQ空间里面有很多的xxxx”.一时兴起的同学立即点开，然后弹出的页面，和QQ空间的模子一个样，要想再进一步点击观看，需要登录。 然后，你输入用户名密码，发现什么也没有，或是真有什么。。。。不过请知道，你的QQ账号已经被窃取了。你被网站的假象给蒙骗了。

故事2： 接着故事1，假如这不是一个QQ空间，还可能是一个有交易的假冒网站（比如移动，联通的官网），故事继续发展，我们在这个网站上，进行手机充值，之前输入的是自己的手机号码，然后，选择了某某支付方式，比如第三方的支付公司，等我们支付完成了后，恍然才发现，我们给别人冲了值。 我的个去啊。

钓鱼场景还很多，大概都是这样的：假冒网站盗号然后获取信息; 假冒请求，直接获取财富或资料
面对故事1这种，大概只能自求多福，眼睛多观察，多留心了
面对故事2这种，我们有理由要求，支付公司为我们提供一定的安全保障，明明不是在他们的合作伙伴网站上支付，竟然支付成功了


这里研究了一下，
我们的生活越来越离不开互联网了，越来越喜欢网购了。可是在网购的过程中，我们时不时的都会听说，某某人被钓鱼了，某某人的账号信息被到用了。作为程序员的我，回溯最近的几个年头，也有好些次差点被这些互联网上的链接给骗了。

故事1： 有一天，一QQ qun里的兄弟， 发了一链接（这个链接和QQ空间的链接好相似），然后说：“这个QQ空间里面有很多的xxxx”.一时兴起的同学立即点开，然后弹出的页面，和QQ空间的模子一个样，要想再进一步点击观看，需要登录。 然后，你输入用户名密码，发现什么也没有，或是真有什么。。。。不过请知道，你的QQ账号已经被窃取了。你被网站的假象给蒙骗了。

故事2： 接着故事1，假如这不是一个QQ空间，还可能是一个有交易的假冒网站（比如移动，联通的官网），故事继续发展，我们在这个网站上，进行手机充值，之前输入的是自己的手机号码，然后，选择了某某支付方式，比如第三方的支付公司，等我们支付完成了后，恍然才发现，我们给别人冲了值。 我的个去啊。

钓鱼场景还很多，大概都是这样的：假冒网站盗号然后获取信息; 假冒请求，直接获取财富或资料
面对故事1这种，大概只能自求多福，眼睛多观察，多留心了
面对故事2这种，我们有理由要求，支付公司为我们提供一定的安全保障，明明不是在他们的合作伙伴网站上支付，竟然支付成功了


这里研究了一下，
传统进行防钓鱼的措施有3种：白名单校验， 时间戳校验， IP检查
1. 白名单检查
商户调用支付公司系统，其http请求的Referer字段应该是支付公司合作伙伴的某个URL链接。支付公司会收集合作伙伴的网站域名做成一个集合叫做“白名单”
逻辑：
1、refer为空，交易直接失败。
2、refer不为空，refer域名不属于白名单列表时，失败交易

2. 时间戳检查
商户在发出http请求前先调用支付公司提供的一个接口来拿到支付公司服务器上的当前时间T1，把时间T1作为支付请求链接的一个参数加在url中传递给支付公司服务器，支付公司服务器接收到请求后先取出url中的时间参数T1，然后再取一下支付宝服务器当前的系统时间T2，计算两个时间的间隔，如果时间差超过一定范围，则时间戳检查失败，拒绝服务，可以跳转到error页面。时间间隔的设定默认是60秒，可以根据配置灵活的调整

3. IP检查
商户首先在商户平台内获取用户客户端的IP地址，然后将该IP地址作为支付接口的参数加到URL中。支付公司服务器在接受到支付请求后先取出URL中的IP值，然后再重新获取当前操作用户的客户端IP地址，比对两者是否一致，如果不一致，则IP检查失败，然后提醒风险（这里是提示风险，由用户决定是否下一步操作，因为IP可能获取不同，比如某公司有双网络出口）

面对故事2中的事情，很明显支付公司可以有个白名单拦截，这里就可以避免无辜的老百姓上当受骗。


1. 白名单检查
商户调用支付公司系统，其http请求的Referer字段应该是支付公司合作伙伴的某个URL链接。支付公司会收集合作伙伴的网站域名做成一个集合叫做“白名单”
逻辑：
1、refer为空，交易直接失败。
2、refer不为空，refer域名不属于白名单列表时，失败交易

2. 时间戳检查
商户在发出http请求前先调用支付公司提供的一个接口来拿到支付公司服务器上的当前时间T1，把时间T1作为支付请求链接的一个参数加在url中传递给支付公司服务器，支付公司服务器接收到请求后先取出url中的时间参数T1，然后再取一下支付宝服务器当前的系统时间T2，计算两个时间的间隔，如果时间差超过一定范围，则时间戳检查失败，拒绝服务，可以跳转到error页面。时间间隔的设定默认是60秒，可以根据配置灵活的调整

3. IP检查
商户首先在商户平台内获取用户客户端的IP地址，然后将该IP地址作为支付接口的参数加到URL中。支付公司服务器在接受到支付请求后先取出URL中的IP值，然后再重新获取当前操作用户的客户端IP地址，比对两者是否一致，如果不一致，则IP检查失败，然后提醒风险（这里是提示风险，由用户决定是否下一步操作，因为IP可能获取不同，比如某公司有双网络出口）

面对故事2中的事情，很明显支付公司可以有个白名单拦截，这里就可以避免无辜的老百姓上当受骗。

全网最实用最简单的防钓鱼网站方法（亲身经验），你被钓鱼了么？
2014-12-07 22:39:29
url: http://wanke.etao.com/detail/1000152.html?tbpm=20150911
      你是否遇到过钓鱼网站？你是否被钓鱼网站钓走资金？你是怎样防范钓鱼网站的呢？据有关报道钓鱼网站的危害已经超过木马和病毒危害，现在流行的无线蹭网，不乏风险路由器WIFI，二维码扫描隐含风险。

很多人防止钓鱼网站依赖于安全浏览器，没错，大部分的钓鱼风险网站都是可以被安全浏览器是别的，但是浏览器是防御型得，无法做到高程度的预测风险网站，也就是说浏览器的安全性是滞后的。

万一有一个钓鱼网站在被浏览器列为风险网站之前，你就遇到了呢？你是如何分辨的呢？

常见的方法有：
第一、查验“可信网站”
　　通过第三方网站身份诚信认证辨别网站真实性。（缺点：新的钓鱼网站难以防范）

第二、核对网站域名
　　假冒网站一般和真实网站有细微区别，有疑问时要仔细辨别其不同之处，比如在域名方面，假冒网站通常将英文字母I被替换为数字1，CCTV被换成CCYV或者CCTV－VIP这样的仿造域名。（缺点：很少有人核对，而且比较相似难以察觉）

第三、比较网站内容
　　仿冒网站上没有链接，用户可点击栏目或图片中的各个链接看是否能打开。（缺点：现在很多钓鱼网站做的跟真实网站一模一样，也有正确的链接，除了登陆框的链接不一样，根本无法从感官上察觉）

第四、查询网站备案
　　通过ICP备案可以查询网站的基本情况、网站拥有者的情况。（缺点：我们不可能每进入一个网站或者链接就去查询，实际中几乎用不到）
第五、查看安全证书
　　目前大型的电子商务网站都应用了可信证书类产品，这类的网站网址都是“https”打头的，如果发现不是“https”开头，应谨慎对待。（缺点：这个不是绝对的）

扫码有风险，一定不要随意扫码，更不要随意登陆不明来源的网页哦！

      以上的方法都有一定的效果，但是在时间紧迫的今天我们不可能将上述一一试用，那么最简单又最实用的方法有木有？

以下介绍最实用最简单，适合目前所有网购的方法（包括手机与PC），根据自己的实际测试，百试不爽!

       打开任何一个登陆界面后，输入你的账号或者随意一个号码，然后故意输入一个错误的密码（可以试用两次或者不超过最大锁定次数），出现以下结果：

•提示密码或账号错误-------可以判断此网站为非钓鱼网站（正确率非常高）

•自然登入--------几乎可以完全判断为钓鱼网站（歪打正着的几率几乎为零）

亲，你学会了么？一定不要超过最大次数以免被锁定哦

求赞，求分享---如果帮到你了请亲给个赞！