你有没有遇到过一个看起来不太对劲的网站?也许公司标志看起来有点畸形,或者字体看起来与品牌无关。很有可能,您访问的是一家合法公司网站的虚假版本——这是许多网络犯罪分子所依赖的一种久经考验的真实策略。  

虚假登录页面解释  

虚假登录页面本质上是真实登录页面的仿冒品,用于诱骗人们输入他们的登录凭据,黑客随后可以使用这些登录凭据入侵在线帐户。这些网站通过使用公司徽标、字体、格式和整体模板来反映合法页面。根据冒名顶替网站背后的黑客对细节的关注,几乎不可能与真实的东西区分开来。因此,虚假登录页面在其最终目标方面非常有效:凭据盗窃。  

这些页面如何首先呈现在消费者面前?通常情况下,诈骗者会通过 欺骗受信任品牌的网络钓鱼电子邮件来针对毫无戒心的收件人 。这些电子邮件可能会声明用户需要重置密码或用听起来好得令人难以置信的交易来引诱他们。如果消费者点击电子邮件中的链接,他们将被定向到虚假登录页面并要求输入他们的用户名和密码。一旦他们提交了他们的信息,网络犯罪分子就可以使用消费者的数据进行撞库攻击并破解他们的在线个人资料。这可能会导致信用卡欺诈、数据提取、电汇、 身份盗用等。   

为什么假登录页面有效  

如果您在 Google 上搜索“假登录页面”,您会很快找到无数关于如何在几秒钟内创建假网站的指南。撇开道德问题不谈,这证明了矢量欺骗网站在网络攻击中的普遍性。虽然过去更容易区分真假登录页面,但犯罪分子不断更新他们的技术以使其更加复杂,从而使消费者更难识别他们的欺诈计划。  

虚假登录页面如此有效的一个原因是由于疏忽,或者由于缺乏注意力而未能注意到完全可见的内容。关于无意疏忽的最著名研究之一是“隐形大猩猩测试”。在这项研究中,参与者观看了一段穿着黑白衬衫的人通过篮球的视频。参与者被要求计算白衣球队传球的次数: 

由于参与者专注于计算白衣球员传球的次数,超过 50% 的人没有注意到穿着大猩猩服装的人在比赛中走动。如果这是您第一次看到此视频,您很可能没有注意到大猩猩、从红色变为金色的窗帘或离开游戏的黑色玩家。同样,如果您遇到伪造的登录页面并且没有积极寻找欺诈迹象,您可能会自然而然地错过网络犯罪分子的“隐形大猩猩”。这就是为什么即使是那些受过网络钓鱼培训的人在遇到要求他们采取行动或输入个人详细信息的网站时也要保持谨慎。  

如何避开虚假登录页面  

避免避开虚假登录页面的最重要防御措施是知道如何识别它们。遵循以下提示可帮助您辨别合法网站和虚假网站:  

1. 不要陷入网络钓鱼  

大多数虚假登录页面都是通过网络钓鱼 消息传播的 。如果您收到要求提供个人详细信息的可疑邮件,有几种方法可以确定它是否是由旨在窃取您身份的网络钓鱼者发送的。网络钓鱼者通常会以紧迫的语气发送消息,并试图激发极端情绪,例如兴奋或恐惧。如果一封未经请求的电子邮件敦促您“迅速行动!” 放慢速度并评估情况。 

2. 寻找拼写错误或语法错误  

通常,黑客会使用与合法站点仅相差一个字符的 URL 来访问他们的欺骗网站,例如使用“www.rbcr0yalbank.com”与“www.rbcroyalbank.com”。在点击要求您采取行动的电子邮件中的任何网站之前,请将光标悬停在链接上。这将允许您在导航到潜在危险的网站之前预览 URL 并识别任何可疑的拼写错误或语法错误。 

3. 确保网站使用 HTTPS 进行保护 

HTTPS 或超文本传输​​协议安全,是一种加密您与网站交互的协议。通常,以 HTTPS 开头并在左上角带有挂锁的网站被认为更安全。然而,网络犯罪分子最近开发了恶意软件工具包,利用 HTTPS 隐藏恶意软件,使其不被各种安全防御系统检测到。如果网站使用 HTTPS 进行保护,请确保这不是您分析页面以确保在线安全的唯一方法。  

4.启用多重身份验证  

多因素身份验证要求用户确认一组事物以验证他们的身份——通常是他们拥有的东西,以及他们身体独有的因素——例如视网膜或指纹扫描。如果您的登录详细信息在数据泄露期间暴露,这可以防止网络犯罪分子使用凭证填充策略(他们将使用电子邮件和密码组合入侵在线配置文件)访问您的网络或帐户。  

5. 注册身份盗窃警报服务 

身份盗窃警报服务会警告您有关您的个人信息的可疑活动,让您能够在无法弥补的损害发生之前立即采取行动。