什么是URL网络钓鱼？

阅读时间 8 分钟

URL网络钓鱼是一种网络攻击，攻击者欺骗人们访问看起来合法的虚假网站，以窃取他们的敏感信息。用户必须采取预防措施，如核实URL，避免可疑的链接，并实施强有力的安全措施，以保护他们的个人和财务数据免受URL钓鱼攻击。

URL网络钓鱼的定义 

URL网络钓鱼是一种网络钓鱼攻击形式，它通过向毫无戒心的受害者发送恶意电子邮件，其中包含一个假网站的URL，指示他们访问该网站。

URL网络钓鱼可用于许多目的，从窃取银行账户信息到在设备上安装恶意软件。

URL网络钓鱼最常见的原因是诱骗用户输入登录凭据，这些凭据可用于访问用户的所有账户，包括电子邮件、社交媒体账户甚至银行信息。

相关阅读 所有营销人员应该知道的5个重要的网络钓鱼术语

URL网络钓鱼是如何工作的？

URL网络钓鱼涉及两个主要步骤： 

• 创建一个假的网站 
• 发出带有链接的电子邮件，引导用户前往。

攻击者使用类似的域名或URL创建一个合法网站的山寨版。 

他们也可能使用IP地址而不是域名，但如果人们试图从世界各地的不同地点访问你的网站，这可能造成问题，因为他们不会都通过同一个IP地址连接。

一旦他们创建了他们的山寨网站，他们就会发送电子邮件，其中包含一个 钓鱼链接将用户引向该网站--通常附带一些吸引人们兴趣的产品或诱饵。

URL钓鱼的常见类型有哪些？

以下是一些常见的URL网络钓鱼类型：

域名欺骗

攻击者通过使用外观相似的字符或URL中的错误拼写来模仿合法的域名，欺骗用户相信他们是在一个值得信赖的网站上。

同音字攻击

钓鱼者使用不同字符集（如拉丁文和西里尔文）的字符来创建视觉上与合法网站相同的URL，导致用户在不知不觉中访问欺诈性网站。

URL缩短

网络犯罪分子利用URL缩短服务来隐藏恶意的URL，并使其看起来无害，经常使用社会工程技术来诱使用户点击它们。

子域劫持

攻击者获得了对合法网站子域的控制权，允许他们创建欺骗性的URL，这些URL看起来是合法的，但却指向恶意的内容或钓鱼网页。

盗用商标

钓鱼者注册与流行网站类似的域名，依靠用户错误输入网址，将他们转到欺诈性网站，窃取敏感信息。

重定向和URL模糊化

网络犯罪分子使用JavaScript重定向或URL混淆等技术来隐藏链接的实际目的地，使其看起来是良性的，同时将用户重定向到恶意网站。

中间人攻击

攻击者拦截用户和合法网站之间的通信，允许他们在用户不知情的情况下修改URL或捕获敏感信息。

社会工程

网址钓鱼者使用 社会工程骗子利用社会工程技术，冒充受信任的实体发送欺诈性电子邮件，其中包含欺骗性的URL，促使用户在虚假网站上输入他们的登录凭证或个人信息。

跨站脚本 (XSS)

攻击者在合法网站中注入恶意脚本，可以操纵URL，将用户重定向到钓鱼网页或窃取其数据。

什么是数据URL网络钓鱼？

数据URL网络钓鱼是指一种网络钓鱼攻击，恶意行为者利用数据URL欺骗用户并窃取其敏感信息。数据URL是一种URI方案，允许在网页或其他文件中嵌入数据。它以 "data: "前缀开始，后面是编码的数据。

在数据URL钓鱼攻击中，攻击者制作一个包含数据URL的恶意电子邮件、信息或网页。这个数据URL通常以合法链接或附件的形式出现，诱使用户点击它。当用户与数据URL互动时，会触发脚本的执行或启动下载，这可能导致各种恶意活动的发生

数据URL钓鱼的影响是什么？

数据URL网络钓鱼可能会导致凭证被盗、恶意软件交付和其他漏洞的利用。为了保护自己免受数据URL钓鱼攻击，在点击链接或下载附件时必须谨慎，特别是当它们来自不熟悉或可疑的来源。 

URL钓鱼的例子

以下是几个有可能被用于网络钓鱼攻击的URL的例子。这些例子表明，钓鱼者可能会创建与合法网站非常相似的URL，但包含轻微的变化或拼写错误。仔细检查域名和URL的其他组成部分以发现潜在的网络钓鱼企图是很重要的。

例1：

• 合法的网址： www.paypal.com
• 钓鱼网站:www.paypa1.com

例2.

• 合法的网址： www.facebook.com
• 钓鱼网站: www.faceb00k-login.com

例3：

• 合法的网址： www.apple.com
• 钓鱼网站: www.apple-support-security-alert.com

例4：

• 合法的网址： www.bankofamerica.com
• 钓鱼网站： www.bankofamerica-login.com

例5：

• 合法的网址： www.google.com
• 钓鱼网站： www.g00gle-login-attempt.com

如何识别和检测钓鱼网站？

这里有一些快速提示，帮助你识别和检测钓鱼网站：

• 检查是否有拼写错误或变化：寻找模仿合法网站的URL中细微的拼写错误或变化。钓鱼网站的URL经常使用外观相似的字符或不同的词。
• 验证域名：仔细检查URL中的域名。钓鱼网站可能使用类似于知名品牌或机构的域名，但略有不同。
• 寻找HTTPS和挂锁符号：合法的网站通常使用HTTPS加密。检查地址栏中的挂锁符号，表明是安全连接。如果网站缺乏HTTPS，就要小心了。
• 悬停在链接上：将你的鼠标指针悬停在一个链接上而不点击，以查看URL。确保它与显示的文本或图像相匹配，并注意长的、看起来可疑的URL。
• 谨防URL缩短器：钓鱼者经常使用URL缩短服务来掩盖真正的目的地。如果你收到一个缩短的URL，请在点击之前使用URL扩展服务来显示完整的URL。
• 避免不熟悉的或可疑的电子邮件：对来自未知发件人或有意外要求的电子邮件要持谨慎态度。检查电子邮件标题是否有任何不一致或钓鱼的迹象。
• 分别检查电子邮件链接：不要点击电子邮件中的链接，而是在浏览器中手动输入网站地址。这可以确保你访问的是一个真正的网站，而不是一个钓鱼网页。
• 对紧急或惊恐的信息持怀疑态度：钓鱼邮件通常会制造一种紧迫感或恐惧感，促使人们立即采取行动。在点击任何链接或提供个人信息之前要三思而行。
• 使用网络钓鱼检测工具：安装浏览器扩展程序或在线工具，可以检测并警告你潜在的网络钓鱼网址。这些工具可以实时分析URL，并提供额外的保护。
• 保持信息畅通并进行自我教育：了解最新的网络钓鱼技术和骗局。了解常见的网络钓鱼迹象，定期学习如何识别和检测网络钓鱼 URL。如果您正在寻找建立链接的机会，请在点击之前仔细检查 URL 和发件人信息，以确认任何网站的合法性。

URL网络钓鱼攻击的影响是什么？

URL网络钓鱼可能导致财务损失、声誉损害、身份盗窃、未经授权访问账户和信息、数据泄露和法律后果。 

网络钓鱼攻击 已经变得很普遍黑客将目标锁定在全球所有行业和国家的公司。

财务损失和欺诈性交易

网络钓鱼电子邮件或网站会诱骗您共享密码、信用卡信息和其他敏感信息。

如果你泄露了这些信息，网络犯罪分子可以利用这些信息以你的名义进行欺诈性购买。他们还可以利用这些信息进行身份盗窃或金融欺诈。

身份盗窃和个人数据泄露

如果你在回应网络钓鱼邮件或网站时泄露了你的个人信息，网络犯罪分子就会利用这些信息来盗取你的身份。他们可能会以你的名义开立新账户，或用你的信息申请贷款或信用卡。

后果可能很严重--他们可能会损害你的信用评级，给你带来重大不便，如果犯罪分子用你以后必须偿还的消费刷爆他们的新账户，甚至会让你付出代价。

未经授权的账户访问和凭证盗窃

网络钓鱼攻击也可能导致一个账户被授予未经授权的访问权，因为其用户点击了钓鱼者发送的看似官方的电子邮件中的一个恶意链接，并提供了他们的凭证。

恶意软件感染和系统破坏

最常见的URL网络钓鱼攻击之一是 "恶意超链接"，将用户引向恶意网站。这些恶意网站通常被设计成合法网站的样子，以欺骗用户输入他们的个人信息。然后攻击者利用这些信息进行身份盗窃或欺诈。

对个人和组织的声誉造成的损害

URL网络钓鱼攻击会损害一个组织的声誉，因为它们通常涉及发送看似来自合法公司或个人的垃圾邮件。这些电子邮件通常包含敏感信息，如果在网上泄露，会使组织面临风险。如果一个公司的名字被用在这些欺诈性的电子邮件中，可能会导致客户对其产品或服务失去信任。

如何检查URL是否为网络钓鱼？

下面是关于如何检查URL的钓鱼网站的一切：

• 使用在线URL分析工具来检查一个URL的声誉。
• 安装浏览器扩展程序，可以对潜在的恶意URL发出警告。
• 使用URL扩展器来显示缩短的链接背后的完整URL。
• 进行WHOIS查询，收集关于域名所有者和注册细节的信息。
• 咨询PhishTank或反钓鱼工作组（APWG）等钓鱼数据库，了解报告的钓鱼网址。
• 注意浏览器的地址栏是否有HTTPS加密，并确保域名与合法网站相符。
• 参与在线安全社区和论坛，收集关于钓鱼网站企图的见解和警报。
• 利用电子邮件分析工具，如Office 365的Microsoft Defender或Gmail的网络钓鱼检测，评估可疑电子邮件中的URL。
• 通过安全意识培训了解最新的网络钓鱼技术和指标，保持更新。
• 相信你的直觉，在遇到可疑的URL或好得不能再好的URL时要谨慎行事。

如何防止URL钓鱼攻击？ 

保护自己免受URL网络钓鱼的侵害需要采取积极主动的措施并遵循最佳实践。 

这里有一些避免成为URL网络钓鱼受害者的基本提示：

1. 核实发件人的信息：始终仔细检查发件人的电子邮件地址或联系信息，以确保其合法性。
2. 检查语法和拼写错误： 钓鱼邮件经常包含明显的错误，因此要提高警惕，对写得不好的信息持怀疑态度。
3. 将鼠标悬停在链接上以查看URL：在点击电子邮件或信息中的一个链接之前，将你的光标悬停在它上面，以验证URL是否与预期的目的地相符。
4. 使用强大、独特的密码：为您的在线账户创建强大而复杂的密码，并避免在不同平台上重复使用密码。
5. 启用多因素认证：尽可能地实施多因素认证，为你的账户增加一个额外的安全层。
6. 保持软件和安全措施的更新：定期更新你的操作系统、防病毒软件和网络浏览器，以确保你有最新的安全补丁和保护措施，防止网络钓鱼的企图。
7. 相信你的直觉：如果有些事情看起来很可疑或好得不像真的，请相信你的直觉，在提供任何敏感信息之前谨慎行事。

保护你的域名免受在线威胁

今天，品牌所面临的重要威胁之一是电子邮件欺骗。攻击者经常通过伪造电子邮件中的 "发件人 "地址来冒充合法组织，使其看起来像是来自受信任的源头。这可能导致各种恶意活动，包括网络钓鱼的尝试。PowerDMARC的 DMARC分析器提供强大的保护，以防止此类攻击。

PowerDMARC 提供的DMARC分析器可帮助企业设置和执行 DMARC 策略有效。它使品牌能够指定电子邮件接收者应如何处理 DMARC 验证失败的邮件，如隔离或拒绝。通过部署 DMARC 策略，品牌可以有效防止欺骗性电子邮件进入客户收件箱，从而降低基于电子邮件的攻击风险。

如何报告钓鱼网站？

如果你遇到一个钓鱼网站，使用谷歌浏览器的内置报告功能进行报告。包括尽可能多的信息，如URL和浏览器版本。

要报告一个钓鱼网站，请遵循以下步骤：

• 在钓鱼网站上点击右键，选择复制此链接的地址。
• 转到 并粘贴复制的 URL。
• 点击报告此链接。

了解常见的URL网络钓鱼技术，使用户能够识别和挫败潜在的攻击。由于潜在的后果从财务损失和身份盗窃到声誉损害和法律后果不等，积极主动的措施和警觉性对于防范URL钓鱼的普遍威胁至关重要。