搜索引擎已經(jīng)成為了互聯(lián)網(wǎng)用戶必不可少的工具，利用搜索引擎可以讓用戶更方便快捷的找到自己想要的東西。很多企業(yè)也很注重通過搜索引擎來宣傳自己的產(chǎn)品和公司，但是不僅是企業(yè)，釣魚網(wǎng)站也開始利用搜索引擎來誤導(dǎo)互聯(lián)網(wǎng)用戶，牟取非法利益。

越來越多的攻擊者開始利用搜索引擎將用戶誤導(dǎo)至釣魚網(wǎng)站，上周，軟件安全廠商Marshal在其博客中強調(diào)了釣魚供給問題和搜索引擎優(yōu)化的作用問題。

Marshal表示，那些被搜索結(jié)果誤導(dǎo)至釣魚網(wǎng)站的用戶通常會看到一個假冒安全對話窗口告訴用戶下載一個假的反惡意軟件程序，這些假冒搜索結(jié)果包括模仿California Franchise Tax Board和大學(xué)籃球網(wǎng)站等。

搜索引擎供應(yīng)商微軟公司和Google發(fā)言人并沒有直接表示正在采取哪些措施以確保其搜索排名不會將用戶誤導(dǎo)至惡意網(wǎng)站，這兩家供應(yīng)商都沒有提供黑客信息或者泄漏的商業(yè)秘密。

微軟公司發(fā)言人表示，微軟公司采取的措施之一就是在其IE8瀏覽器中加入了SmartScreen過濾器，當(dāng)用戶點擊可疑鏈接時會顯示彈出警告。該過濾器是以網(wǎng)址信譽度為基礎(chǔ)的，通過托管下載的服務(wù)器運行診斷掃描以確定這些服務(wù)器是否有惡意內(nèi)容記錄。不過估計用戶一般會根據(jù)自己的常識判斷，不會點擊這樣的網(wǎng)站。

Google發(fā)言人Nate Tyler在電子郵件中表示，Google對于網(wǎng)站管理員應(yīng)該做和不應(yīng)該做的事情都有明確指導(dǎo)，當(dāng)網(wǎng)站管理員使用程序化查詢以提高其搜索排名時，Google將會從其搜索結(jié)果中刪除這些網(wǎng)頁。另外，Google也禁止使用有隱藏編碼的鏈接或者使用橋頁(doorway page)以增加點擊率和提高搜索排名。這里也暗示著，確定了這么多黃金規(guī)則后，用戶應(yīng)該能夠根據(jù)自己的判斷保護(hù)自己。

攻擊者還會將釣魚網(wǎng)站的惡意鏈接放到其他網(wǎng)站，特別是網(wǎng)站的評論部分。對于博客而言，這種做法被稱為博客垃圾評論，攻擊者通常使用自動化工具與鏈接連接以幫助他們進(jìn)入用戶計算機。

當(dāng)然，很難完全杜絕人們點擊惡意網(wǎng)站鏈接，總是會有一些人會無意識地去點擊。

“沒有任何產(chǎn)品可以解決這個問題，”Paul Henry表示，他是位于亞利桑那州Lumension市的Scottsdale公司的安全分析師，“最有效的做法當(dāng)然是確保瀏覽器和所有相關(guān)加載程序的即時更新。”

【編輯推薦】

1. 網(wǎng)絡(luò)釣魚需要多方治理
2. 調(diào)查問卷也成網(wǎng)絡(luò)釣魚陷阱
3. 網(wǎng)絡(luò)釣魚 微博可能成為主要途徑
4. 實例解析淘寶網(wǎng)絡(luò)釣魚二重詐騙
5. 網(wǎng)絡(luò)釣魚又見新招 支付寶也不能保證安全