除了常规方法,网络犯罪分子还使用社会工程学来试图让安全意识较低的人泄露私人信息或有价值的凭证。许多网络钓鱼诈骗涉及攻击者伪装成信誉良好的公司或组织,以大规模传播病毒或恶意软件。Attack"title="MisplantingAttack">MisplantingTyposquatting是一种常用的方法,它是一种社会工程攻击方法,通过使用一些合法网站的拼写错误的URL来引诱用户访问恶意网站。这种做法不仅损害了网站的声誉真正的原创网站,同时也诱导用户向这些恶意网站提交个人敏感信息。因此,无论是网站管理者还是用户都应该意识到这个问题所带来的风险,并采取措施来消除它们。保护。一些开源软件由大量开发者维护在公共代码库中,一般被认为具有安全优势,但在面临社会工程学攻击或恶意软件植入时,开源软件也需要注意不要受到伤害。下面我们来关注一下错种攻击的发展趋势以及这种攻击方式对未来开源软件可能造成的影响。是错种吗?误植是一种非常特殊的网络犯罪形式,其背后通常是规模较大的网络钓鱼诈骗。犯罪分子首先购买并注册一个域名,而域名往往是常用网站的拼写错误,例如在正确的拼写上多加一个元音,或者将字母“i”替换为字母“l”。同一个正常的域名,不法分子通常会注册几十个拼写错误的变体域名,一旦用户访问这样的域名,不法分子的目的就已经成功了一半,为此,他们会通过电子邮件诱使用户访问这样的域名假域名。假域名指向的页面通常有一个简单的登录界面,并附上熟悉的仿冒网站的标志,让用户以为我正在访问一个真实的网站。如果用户没有识破这个骗局,在页面上提交银行卡号、用户名、密码等敏感信息,这些数据将完全被不法分子所控制。另外,如果该用户在其他网站使用相同的用户名和密码,具有相同的权限可能会受到影响。受害人最终可能面临身份盗用、信用记录被毁等风险。从网站各方面来看近期的一些案例,被造假攻击可能引发公关危机。网站域名所有者虽然没有涉案,但也属于管理失误,因为域名所有者对假冒攻击具有主动防御能力。避免此类欺诈事件的责任。几年前有一个案例,很多健康险客户收到一封指向we11point.com的钓鱼邮件,其中URL中正确的字母“l”被数字“1”代替,导致一群用户成为这次袭击的受害者。本来,特定国家的顶级域名是不允许乱注册的。然而,在国际域名规则放宽这一限制后,又出现了新一波的盗版攻击。例如,最常见的方法之一是注册一个类似于.com域名的.om域名。一旦在输入网址时不小心漏掉了字母c,不法分子就有可乘之机。如何防范误植攻击对于企业来说,最好的策略就是总是比误植攻击早一步采取行动。也就是说,在注册域名时,不仅要注册自己商标名称的域名,还要同时注册其他可能因拼写错误而导致的域名。当然,不一定要注册所有可能出错的顶级域名,但至少应该注册一些可能出错的一级域名。如果需要让用户跳转到第三方网站,一定要让用户从你的官网跳转,不要通过类似群发的方式告知用户网址。因此,必须明确一个策略:在与用户沟通时,不要将用户引导到官网以外的地方。在这种情况下,如果不良行为者试图以您公司的名义发布虚假消息,用户会从奇怪的页面或URL中注意到它。您可以使用DNSTwist等开源工具来扫描您公司正在使用的域,这可以确定是否已经注册了类似的域,从而使您面临潜在的植物移植攻击。DNSTwist可以通过一系列shell命令在Linux系统上运行。还有一些Internet服务提供商(ISP)会将防止虚假种植攻击作为其网络产品的一部分。这是一个额外的保护层,如果用户不小心输入了拼写错误的URL,他们将被提示该页面已被阻止并重定向到正确的域名。如果你是系统管理员,也可以考虑运行一个自建的DNS服务器,通过黑名单机制来禁止某些域名的访问。您还可以密切监控您网站的流量,如果来自特定地区的用户被集体重定向到虚假网站,流量将会直线下降。这也是有效监控误植攻击的一个角度。防范虚假种植攻击需要像防范其他网络攻击一样保持警惕。所有用户都希望网站的所有者能够扫除那些与原所有者相似的假冒网站。如果这项工作没有做好,用户对你的信任就会越来越差。误植对开源软件的影响由于开源项目的源代码是公开的,所以大部分都会进行安全和渗透测试。但是错误是无法完全避免的,如果你参与开源项目,还是有需要注意的地方。当您收到来自未知来源的合并请求或补丁时,您必须在合并之前仔细检查它,尤其是当相关代码涉及网络层时。不要屈服于只测试构建的诱惑;请务必进行严格的检查和测试,以确保没有恶意代码混入正常代码中。同时,要严格按照正确的方法使用域名,防止不法分子制作假冒下载站点,提供带有恶意代码的软件。您可以使用数字签名来确保您的软件未被篡改,方法如下:gpg--armor--detach-sig\--outputadvent-gnome.sig\example-0.0.1.tar.xz还提供你提供文件的校验和:sha256sumexample-0.0.1.tar.xz>example-0.0.1.txt不管你的用户是否会使用这些安全措施,你也应该提供这些必要的信息。因为只要一个人注意到签名不一样,就可以给你敲响警钟。结论人类会犯错误。当全世界数百万人输入同一个URL时,总会有人打错字。也正是这个漏洞,不法分子得以实施虚假种植攻击。通过抢注域名来彻底杜绝盗版攻击也是不现实的。我们应该更多地关注这种攻击的传播方式,以减少它对我们的影响。最好的保护是与用户建立信任并积极检测错误植入攻击的潜在风险。作为一个开源社区,我们应该团结起来共同应对被盗用的攻击。
