一直以来,人们对于互联网的安全性都深感忧虑,其中一个例子是我爸,他用微信收了几百块的红包,但是却不敢绑定银行卡,只能把他的零钱都发红包发给我,从某种角度来看,我欣赏这种谨慎,但从另一种角度来看,我觉得人们对于网络安全的认识存在太多的偏差,一方面这阻碍了互联网更好的造福我们的生活,一方面,这也给很多违法犯罪分子可乘之机。
我会写几篇文章,来普及一些基础的网络安全知识,同时给大家一些小技巧,保护好自己的网络安全,今天主要讲链接。
你打开一个链接,上面写着支付宝,叫你填个人资料银行卡号,填完,好,钱没了。你就怪支付宝,支付宝只能喊冤。
这是很多人存在的误解,也让很多清清白白的网上银行和支付平台蒙受了不白之冤。你输密码,输手机验证码,乃至于要指纹,声纹,这都是因为支付平台或银行要确认你的身份,要确认是你本人在操作,那么同样的,你也应该确认对方的身份。
我们的默认态度,应该是怀疑,无论是10086发短信,有人打电话跟你说什么,还是你朋友发消息让你打开某某银行的链接,我们都要怀疑即将使用的网站或服务的身份是否是伪造的,有恶意的,就像银行和支付平台怀疑我们一样,直到我们能够确认这就是我们要用的平台,确认这不是伪造的。
那么,如何确认这一点呢?最简单,也最有效的一个方法,是通过网址来判断。网址就是浏览器地址栏里面的那行东西。(页面中的文字,乃至于标签栏的文字,都是不可作为信任条件的)
这张图,地址栏里面显示的是支付宝的网址:https://www.alipay.com
这行字符,分成四个部分,分别是https://,www,alipay,.com,最后两个部分,构成了alipay.com,我们把这部分称之为根域名。例如,淘宝的根域名是taobao.com,百度的根域名是baidu.com,微信的根域名是qq.com或wechat.com。
一个网址,前面的部分和后面的部分可能会很长,比如这样的:
但是,它的根域名还是taobao.com。一个最简单的辨识根域名的办法就是,去除http://或https:// 之后,找到第一个/前的.com或者.cn,然后和最靠近它的那部分结合起来,如果没有/,那就在结尾处加个/,然后用同样的方法来判断。
.com或.cn被称之为域名后缀,域名后缀有很多,但是,目前我所知道的金融和支付网站,都是用的这两个。
确认根域名是否是正牌的方法很简单,把它复制下来,直接粘贴到地址栏里面,如果显示了官网,那百分之八十就是官方的根域名,如果你再谨慎一点,可以用搜索引擎搜索一下,如果搜出了百度认证的官网字样,那么百分之九十九都是正牌的了。
如果你打开一个网站,自称自己是支付宝,是中国银行,或者是中国电信,但是它的根域名却是奇奇怪怪的,那么这百分之一百是伪造的网站。
在上面这张图片里面,网址是:http://boc.cn.bco.com,熟悉中国银行的朋友可能知道,中国银行的官网是boc.cn,这个链接里面出现了boc.cn,而且标签栏也显示了中国银行字样,那这是否就意味着它是官方的网站呢?答案是否。我们应该用根域名的方法来判断,这个网址的根域名是bco.com,看得出它有意混淆和迷惑普通用户,我们再放在百度搜一搜。
根本没有任何中国银行的相关信息。所以可以认定这是一个伪造的诈骗网站。
这里还存在一个更简单的判断方法,如果一个网址最前面是https而非http,那么,它多半不会是一个虚假或伪造的网站,https虽然只比http多一个s,却是一个更安全的协议,不仅如此,要能够使用https这个协议,需要购买ssl证书,这个证书的价格不便宜,技术上也麻烦了很多,绝大多数骗子,不会这么下血本。当然,这个办法反之却不成立,也有不少正牌网站懒得用https。
不过,最靠谱的办法,是直接发给我问我,在时间允许的情况下,我会帮你们甄别,然后告诉你们的。
总结一下,从链接判断诈骗网站的方法是:
提取出根域名
通过搜索引擎等方式验证根域名是否为官方的
https多半不是诈骗网站
向相关专家请教
最后,我构造了几个网址,你们可以判断一下哪个是官方的,做出选择,我下一期推送给出答案,并给出关于安全的另一篇文章。
PS:以上网址部分系我自己构造而成,不代表它们都存在,但道理都是没错的
