首先是百度的尴尬。近期有网友在百度搜索QQ邮箱登陆的时候,出现在顶置位置的付费广告竟然是高仿版的且经过认证的钓鱼网站。此钓鱼网站持有百度搜索域名认证,归属于宿迁某某电子商务有限公司。此后百度在接到反馈后已经将此网站删除,而百度的解释则是付费推广用户擅自修改网页落地页面进而跳入非法的钓鱼网站。一波未平一波又起,360也闹出了尴尬。
来自@Cuvage的截图
360自家产品打脸
就有网友在事件后特意到360搜索引擎搜索同样的“QQ邮箱”词条,结果果然也出现了伪装为QQ邮箱的钓鱼网站,而且是作为付费广告而处于置顶位置。消息最先由微博网友@Cuvage放出,从截图上看(亲测:现在网页版已经看不到了)该网友再搜索“qq邮箱登陆”关键词后出现了两个登陆链接,顶置的就是钓鱼网站,点击后会跳转到新页面诱骗用户账号密码。
然而,然而。。。最搞笑的是360搜索到的这个钓鱼网站在打开后,360安全卫士会提示此页面存在安全风险。这就是很矛盾的一点了:既然都是自家产品,那360安全卫士都能检测出网站存在安全风险,那此钓鱼网站为何还能存在得安然无恙?难道是要考验自家的产品杀毒效果如何?但却是也是啪啪打脸了!
来自@Cuvage的截图
经过网友的反馈现在网页搜索已经没有再出现此钓鱼网站,然而当小编在通过换手机搜和换关键词(邮箱)再次验证后,依然可以看到这个付费广告钓鱼网站。也就说也只是“QQ邮箱登陆”这一个关键搜索被官方修正,其他依然存在钓鱼网站露出的情况,这个网站竟然还活着而且活的很好,可以看到当用“邮箱”作为关键词搜索后仅仅退到了第二位。点击之后依然是跳转到了同样的钓鱼页面。真的是让人目瞪口呆的操作!
依然存在钓鱼网站
黑手盗取密码账号的方式
这个钓鱼网站可以说伪装技术十分高超,页面关键介绍和布局都和官方网站一模一样,都会在用户入账号和密码后进行页面跳转只不过一个登录到了QQ邮箱,而另一个则耍了一个花招将账号密码泄露给了幕后黑手。他们行骗的手段很隐蔽:用户在此网站进行登录时,第一次正确入密码账号后会出现网页倒退再次出现入登录框,估计很多网友也不会多想再次登录就是了。果然第二次登录成功跳转到官方网站,然而账号密码早已发送到黑手手里了。
网友供图
从此事件看到网络乱象
我们也不难猜测,无论是百度遇到的钓鱼网站还是360遇到的钓鱼网站应该都是出自同一幕后团队。从这里我们也可以看到当今中国互联网环境中的一些乱象和隐患。那些想要搞钓鱼网站的非法者其实只需要两步就能实现他们的目的,企业资质和域名备案,然而这两个对他们来说都不是难事,也就是有非法渠道。
首先是企业营业资质证明。想要在这两个国内最大的搜索引擎上散播付费广告,需要进行资质认证,或者说要有相关的企业营业执照并提交审核通过才行。然而这对这些“行家”来说就是小菜一碟,想找个已经通过资质认证的账号可以通过内部泄露和盗号来取得。也正是这些非法手段让其在搜索引擎中堂而皇之地行骗。
然后就是网站域名备案。根据我国的网络管理办法规定,所有在国内运营的网站无论大小都需要进行工信部域名备案,就相当于身份证,有了身份证才能被准入并开通付费推广。就好比此次的钓鱼网站,其域名备案和实际使用方并不相同,按道理两者不同是不会被通过推广审核的。然而,当小编进行实际测试时发现此网站的域名备案方又不一样了,跳转的目标网站更是没有备案信息。可以猜想这些幕后团队就是从一些非法渠道买来域名备案,而一个有意思的事情也证明了这个猜想。在此域名注册信息中我们可以看到联系邮箱一栏写着:出售备案域名。这简直就是明明白白的违规!
搜索引擎方该做的工作
虽然黑手有其阴招,但搜索引擎方的百度和360也有其工作的缺陷。就像百度官方的回应解释,说是推广方擅自修改了落地页面,这个也确实是一种解释。但主要问题还是两大家还是没有做好平时的净网工作,也就是进行二次审查制度没有落实。
就像车检每年都要进行,隐于无形的网站更是需要时常审核才行。所以最专业的解决方案不是通过普通用户来发现(况且又有多少用户能够准确分辨),或者只靠那些专业用户去给官方当反馈员,而是应该两家公司做好日常的复检工作。责任心要长存!
来源:科技对角线