2010 年 3 月 30 日,星期二
在最近的 Google 在线安全博客中,我们介绍了用于识别钓鱼式攻击网页的系统。在扫描器分析的数百万个网页中,有 90% 的网页是钓鱼式攻击网页。我们的分类系统将非钓鱼式攻击网站错误地标记为钓鱼式攻击网站的概率只在万分之一,这比类似的系统要好得多。根据我们的经验,这类“误报”网站通常都是用来散播网络垃圾或参与其他可疑活动。如果您发现自己的网站被错误地添加到了我们的钓鱼式攻击网页列表(“被举报的假冒网页”),请向我们报告错误。另一方面,如果您的网站已被添加到我们的恶意软件列表中(“此网站可能会损害您的计算机”),您应该按照有关解决恶意软件问题的说明进行操作。我们的团队会努力在 1 天内解决所有投诉,我们通常会在几个小时内回复。
遗憾的是,有时当我们尝试跟进您的报告时,会发现像我们的自动化系统一样感到困惑。如果您运营着网站,可以参考下面这些简单的指南,以此来帮助我们快速修复任何错误,最重要的是将您的网站从钓鱼式攻击网页列表中排除。
请勿索取不属于您网站的用户名和密码。
根据定义,我们会将这种行为视为钓鱼式攻击,因此请不要这么做!如果您想为其他网站提供插件服务,不妨考虑使用公共 API 或 OAuth。
避免在登录字段附近显示不属于您的徽标。
浏览网页的用户可能会误认为徽标代表您的网站,而他们可能会误在您网站输入本来应在其他网站上输入的个人信息。此外,我们有时无法确定您不是有意这样做的,因此为了安全起见,我们可能会屏蔽您的网站。为了避免误解,我们建议您在展示这些徽标时要格外小心。
尽量减少网站使用的域名数量,尤其是用于登录的域名。
在网站 Y 上请求网站 X 的用户名和密码似乎非常可疑。除了让我们更难以评估您的网站外,您可能在无意中指导访问者忽略可疑网址,使他们更容易遭受钓鱼式攻击。如果您的登录页面必须与主网站位于不同网域上,请考虑使用透明代理,以便用户从您的主域名访问此页面。如果所有其他方法都失败…
便于用户找到指向您网页的链接
如果从您的主网站很难找到指向您网站中网域外网页的链接,我们(以及您的用户)便很难确定谁控制该网页。解决这一问题的方法是,使每个网域外网页链接回与之链接的网域上网页。如果您并未执行此操作,而您的某个网页被错误地收录在我们的列表中,请在错误报告中说明我们如何找到从您的主网站指向错误屏蔽的网页的链接。不过,如果您不采取其他行动…
不要通过电子邮件或即时通讯发送奇怪的链接
我们根本不可能验证仅出现在您的电子邮件或即时通讯中的异常链接。更糟糕的是,使用此类链接会让您的用户/客户/朋友点击通过电子邮件或即时通讯收到的奇怪链接,这样,除了钓鱼式攻击外,他们还可能会面临其他互联网犯罪的风险。
虽然我们希望以这些建议作为常识,但我们还是看到一些大型电子商务公司和金融公司不时违反这些准则。遵循这些准则不仅可以改善我们的反钓鱼式攻击体验,还可以帮助为访问者提供更好的在线体验。