双十一留神，谨防以假乱真的混合式钓鱼网站攻击

　　研究人员近日发现钓鱼网站攻击者开始采用一种全新的技术方法，即使是经过安全培训的人员也难辨真假。

　　过去，钓鱼网站攻击者第一步通常会搭建一个与目标网站外观相似的山寨网站用做鱼饵，例如页面看上去像京东或者工商银行的恶意网站（编者按：说实话，工商银行的官网本身看上去就很山寨，钓鱼网站一不小心会比官网做得好看）。

　　但如今钓鱼攻击者开始采用一种更高明的方法（上图），只开发若干个钓鱼页面，其余通过代理程序调用真网站的页面，也就是说，用户进入这个钓鱼网站后看到跟真网站是完全一样的页面和功能，只有在网银和支付登录页面是钓鱼页面，也就说用户在钓鱼网站中能获得官方网站所有的内容，丝毫不会产生戒心，甚至当你用智能手机和平板电脑浏览的时候（例如京东这样有多个客户端的电商网站），也能获得与官网毫无二致的移动web体验。

　　有了足以以假乱真，亦真亦假的钓鱼网站后（我们姑且称之为混合式钓鱼网站），攻击者会通过常见的黑帽SEO、社交网络和钓鱼邮件等方式将钓鱼网站的链接投放出去。

　　在趋势科技发现的一起混合钓鱼网站攻击中，只有受害者将电商网站商品放入“购物车”时，才进入攻击陷阱，因为购物车页面是攻击者写的，受害者在里面填写的任何个人隐私和网银账号支付信息都将被攻击者获取。

　　虽然趋势科技发现的这次混合式钓鱼网站攻击发生在日本，但是由于这种钓鱼网站技术非常难以察觉，杀伤力极大，未来的扩散只是时间问题，安全牛建议国内电商和金融行业安全技术人员给予足够重视。