帮助识别和保护自己免受欺骗性 (欺骗性) 网站和恶意超链接的步骤
警告
已停用、不受支持的 Internet Explorer 11 桌面应用程序在某些版本的 Windows 10 上已通过 Microsoft Edge 更新永久禁用。 有关详细信息,请参阅 Internet Explorer 11 桌面应用停用常见问题解答。
指向 Internet Explorer 和 Outlook 中的超链接时,网站的地址通常显示在窗口底部的“状态”栏中。 选择在 Internet Explorer 中打开的链接后,网站的地址通常显示在“Internet Explorer 地址”栏中,而网页的标题通常显示在窗口的“标题”栏中。
但是,恶意用户可能会创建指向欺骗性 (欺骗网站的链接,) 网站显示状态栏、地址栏和标题栏中合法网站的地址或 URL。 本文介绍可帮助缓解此问题并帮助你识别欺骗性 (欺骗) 网站或 URL 的步骤。
原始产品版本: Ie
原始 KB 编号: 833786
更多信息
本文讨论可采取的步骤来帮助保护自己免受欺骗网站。 总之,以下步骤如下:
- 验证地址栏中是否有锁图标,并在键入任何个人信息或敏感信息之前验证提供您正在查看的页面的服务器的名称。 如果发现地址栏中出现任何错误,请参阅 证书错误:常见问题解答。
- 不要选择任何不信任的超链接。 自行在“地址”栏中键入它们。
你可以做些什么来帮助保护自己免受欺骗网站
在键入任何敏感信息之前,请确保网站使用安全套接字层/传输层安全性 (SSL/TLS) 并检查服务器的名称。
SSL/TLS 通常用于通过对信息进行加密来帮助保护信息在 Internet 中传输。 但是,它还可用于证明你正在将数据发送到正确的服务器。 通过检查 SSL/TLS 数字证书用户的名称,可以验证提供你正在查看的页面的服务器的名称。 为此,请验证锁图标是否显示在浏览器窗口的地址栏中。
若要验证数字证书上显示的服务器的名称,请选择锁图标,然后检查“颁发给”旁边显示的名称。 如果网站不使用 SSL/TLS,请不要向网站发送任何个人信息或敏感信息。 如果“ 颁发给 ”旁边显示的名称与你认为提供你正在查看的页面的网站的名称不同,请关闭浏览器以离开该网站。 有关如何执行此操作的详细信息,请参阅 保护自己免受网络钓鱼计划和其他形式的在线欺诈。
你可以执行的操作来帮助保护自己免受恶意超链接的侵害
要帮助保护自己免受恶意超链接的侵害,可以采取的最有效步骤是不要选择它们。 相反,请在地址栏中自行键入预期目标的 URL。 通过在地址栏中手动键入 URL,可以验证 Internet Explorer 用于访问目标网站的信息。 为此,请在地址栏中键入 URL,然后按 Enter。
网站不使用 SSL/TLS 时,可以执行一些操作来识别欺骗网站
验证提供所查看页面的站点名称的最有效步骤是使用 SSL/TLS 验证数字证书上的名称。 但是,如果站点不使用 SSL/TLS,则无法最终验证提供你正在查看的页面的站点的名称。 但是,在某些情况下,你可以执行一些操作来帮助你识别欺骗网站。
警告
以下信息提供了基于已知攻击的一般准则。 由于攻击不断变化,恶意用户可能会使用此处所述的方法以外的其他方式创建欺骗网站。 为了帮助保护自己,请仅在已验证数字证书上的名称时,在网站上键入个人或敏感信息。 此外,如果有任何理由怀疑某个网站的真实性,请立即关闭浏览器窗口以将其保留。 通常,关闭浏览器窗口的最快方法是按 Alt+F4。
尝试标识当前网页的 URL
若要尝试标识当前网站的 URL,请使用以下方法。
使用“Internet Explorer 历史记录”窗格尝试标识当前网站的实际 URL
在 Microsoft 已测试的方案中,还可以使用 Internet Explorer 中的历史记录资源管理器栏来帮助标识网页的 URL。 在“ 视图 ”菜单上,指向 “资源管理器栏”,然后选择“ 历史记录”。 将“地址”栏中的 URL 与“历史记录”栏中显示的 URL 进行比较。 如果它们不匹配,则网站可能歪曲了自身,你可能想要关闭 Internet Explorer。
将 URL 粘贴到 Internet Explorer 新实例的地址栏中
可以将 URL 粘贴到 Internet Explorer 新实例的地址栏中。 通过这样做,你可以验证 Internet Explorer 将用于访问目标网站的信息。 在 Microsoft 已测试的方案中,可以复制地址栏中显示的 URL 并将其粘贴到 Internet Explorer 新会话的地址栏中,以验证 Internet Explorer 将实际用于访问目标网站的信息。 此过程类似于本文前面部分为 帮助保护自己免受欺骗网站 所做事项中所述的步骤。
警告
如果在某些网站(例如电子商务网站)上执行此操作,该操作可能会导致当前会话丢失。 例如,在线购物车的内容可能会丢失,可能需要重新填充购物车。
若要将 URL 粘贴到 Internet Explorer 新实例的地址栏中,请执行以下步骤:
- 选择“地址”栏中的文本,右键单击文本,然后选择“ 复制”。
- 关闭 Internet Explorer。
- 启动 Internet Explorer。
- 在“地址”栏中选择,右键单击,然后选择“ 粘贴”。
- 按 Enter。
可以执行一些操作来识别恶意超链接
验证 Internet Explorer 将用于访问目标网站的信息的唯一方法是在地址栏中手动键入 URL。 但是,在某些情况下,你可以执行某些操作来帮助你识别恶意超链接。
警告
以下信息提供了基于已知攻击的一般准则。 由于攻击不断变化,恶意用户可能会使用此处所述的方法以外的其他方式创建欺骗网站。 为了帮助保护自己,请仅在已验证数字证书上的名称时,在网站上键入个人或敏感信息。 此外,如果有任何理由怀疑某个网站的真实性,请立即关闭浏览器窗口以将其保留。 通常,关闭浏览器窗口的最快方法是按 Alt+F4。
尝试标识超链接将使用的 URL
若要尝试标识超链接将使用的 URL,请执行以下步骤:
- 右键单击该链接,然后选择“ 复制快捷方式”。
- 选择“开始”,然后选择“运行”。
- 键入 记事本,然后选择“ 确定”。
- 在记事本的 “编辑” 菜单上,选择“ 粘贴”。
通过执行此操作,可以查看任何超链接的完整 URL,并且可以检查 Internet Explorer 将使用的地址。 以下列表显示了 URL 中可能出现的一些字符,这些字符可能会导致欺骗网站:
- %00
- %01
- @
例如,以下窗体的 URL 将打开 http://example.com
,但地址栏或 Internet Explorer 中状态栏中的 URL 可能显示为 http://www.wingtiptoys.com
:
http://www.wingtiptoys.com%01@example.com
可以执行的其他步骤
尽管这些操作无法帮助你识别欺骗性 (欺骗) 网站或 URL,但它们可以帮助限制来自欺骗网站或恶意超链接的成功攻击造成的损害。 但是,它们限制 Internet 区域中的电子邮件和网站运行脚本、ActiveX 控件和其他可能具有破坏性的内容。
使用 Web 内容区域来帮助防止 Internet 区域中的网站在计算机上运行脚本、运行 ActiveX 控件或其他破坏性内容。 首先,在 Internet Explorer 中将 Internet 区域安全级别设置为“高”。 为此,请执行以下步骤:
- 在"工具"菜单上,选择"Internet 选项"。
- 选择“ 安全 ”选项卡,选择“ Internet”,然后选择“ 默认级别”。
- 将滑块移动到“ 高”,然后选择“ 确定”。
接下来,将信任的网站的 URL 添加到“受信任的站点”区域。 为此,请执行以下步骤:
- 在 “工具 ”菜单上,选择“Internet 选项”。
- 单击“安全性”选项卡。
- 选择“ 受信任的站点”。
- 选择“网站”。
- 如果要添加的站点不需要服务器验证,请清除“要求对此区域中所有站点进行服务器验证 (https:) ”框检查。
- 键入要添加到 “受信任的 网站”列表的网站地址。
- 选择“添加”。
- 对要添加的每个网站重复步骤 6 和 7。
- 选择“确定”两次。
以纯文本形式阅读电子邮件。
通过以纯文本形式阅读电子邮件,可以查看任何超链接的完整 URL,并检查 Internet Explorer 将使用的地址。 以下是 URL 中可能出现的一些字符,这些字符可能会导致欺骗网站:
- %00
- %01
- @
有关如何执行此操作的详细信息,请参阅 以纯文本形式读取电子邮件。
例如,以下窗体的 URL 将打开
http://example.com
,但电子邮件文本中显示的 URL 可能会显示http://www.wingtiptoys.com
:http://www.wingtiptoys.com%01@example.com
References
有关统一资源定位符 (URL) 的详细信息,请参阅 https://www.w3.org/Addressing/URL/url-spec.txt。
第三方联系人免责声明
Microsoft 提供第三方联系信息,帮助你查找有关本主题的其他信息。 该联系信息如有更改,恕不另行通知。 Microsoft 不保证第三方联系信息的准确性。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈