利用网页中的 6 个特征字段检测钓鱼网站

发布时间：2021-12-17 09:56 所属栏目：53 来源：互联网

导读：你可能会认为钓鱼网站很难检测和跟踪，但实际上，许多钓鱼网站都包含唯一标识它们的HTML片段。本文就以英国皇家邮政(Royal Mail)钓鱼网站为例来进行说明，它们都包含字符串css_4WjozGK8ccMNs2W9MfwvMVZNPzpmiyysOUq4_0NulQo。这些长而随机的字符串是追踪钓鱼

你可能会认为钓鱼网站很难检测和跟踪，但实际上，许多钓鱼网站都包含唯一标识它们的HTML片段。本文就以英国皇家邮政(Royal Mail)钓鱼网站为例来进行说明，它们都包含字符串css_4WjozGK8ccMNs2W9MfwvMVZNPzpmiyysOUq4_0NulQo。

这些长而随机的字符串是追踪钓鱼网站的绝佳指标，几乎可以肯定，任何含有css_4WjozGK8ccMNs2W9MfwvMVZNPzpmiyysOUq4_0NulQo的网页都是皇家邮政钓鱼工具的实例。

但是，像这样的独特字符串最终如何成为检测网络钓鱼工具标识的呢？

不幸的是，我们并不是RFC 3514的模仿者，在RFC 3514中，如果所有的IP数据包是恶意的，那么它们都包含一个标志信号。不，这些识别字符串完全是由钓鱼工具开发者无意中包含的。
现代网站通常使用诸如Webpack或Parcel之类的“捆绑包”进行处理，这些捆绑包将所有JavaScript和CSS组合成一组文件。例如，网站的sidebar.css和footer.css可能合并为一个styles.css文件。

为了确保浏览器获得这些文件的正确版本，捆绑程序通常在文件名中包含一个哈希。昨天你的网页可能使用的是styles.64a9e3b8.css，但是在更新你的样式表之后，它现在使用的是styles.a4b3a5ee.css。这个文件名的改变迫使浏览器获取新的文件，而不是依赖于它的缓存。

但这些足够长或复杂的文件名正是最近皇家邮政(Royal Mail)的钓鱼工具被发现的原因。

（编辑：ASP站长网）