URL 不是"地址"而是"指令" - 学会读懂它就不会被骗

大多数网络钓鱼诈骗都是从诱导你点击虚假 URL 开始的。能否判断邮件或短信中的链接是否真实,直接决定了你是否会成为受害者。

URL 不是简单的字符串,而是给浏览器的一份"指令"。它以结构化的方式描述了使用什么协议、连接哪台服务器、请求什么资源。理解了这个结构,你识别钓鱼网站 URL 的能力将大幅提升。

URL 的结构 - 域名的读法最为关键

URL 的基本结构如下:

https://sub.example.com:443/path/page?query=value#fragment

  • 协议 (https://):通信协议。HTTPS 表示加密通信
  • 子域名 (sub):域名前面附加的辅助名称
  • 域名 (example.com):指示服务器所在位置的核心部分
  • 端口 (:443):通常省略(HTTPS 为 443,HTTP 为 80)
  • 路径 (/path/page):服务器内资源的位置
  • 查询参数 (?query=value):传递给服务器的参数
  • 片段 (#fragment):页面内的特定位置

识别钓鱼 URL 时最重要的是准确读取域名部分。域名要从右往左读。以 example.com 为例,先看 .com(顶级域名),再看 example(二级域名)。这种"从右往左"的读法是识破攻击者伎俩的关键。

子域名伪装 - 最常见的手法

攻击者最常用的手法是在子域名中包含正规域名。

  • amazon.co.jp.evil-site.com → 实际连接的是 evil-site.com
  • login.google.com.attacker.net → 实际连接的是 attacker.net
  • www.rakuten.co.jp.secure-login.xyz → 实际连接的是 secure-login.xyz

如果养成从右往左读域名的习惯,这些伎俩一眼就能识破。以 amazon.co.jp.evil-site.com 为例,从右往左读,顶级域名是 .com,二级域名是 evil-siteamazon.co.jp 部分只是子域名,与实际连接目标无关。

辨别技巧

确认正规域名后面是否紧跟斜杠 (/)。amazon.co.jp/ 是正规的,但如果像 amazon.co.jp. 这样后面跟着点号,就是子域名伪装。

同形异义字攻击 - 外观相同的不同字符

同形异义字攻击是利用外观相同或极其相似的不同字符来伪装域名的手法,它利用了国际化域名 (IDN) 的机制。

正规 伪装示例 使用的字符
apple.com аpple.com 开头的"а"是西里尔字母 (U+0430)
google.com ɡoogle.com 开头的"ɡ"是拉丁小写手写体 G (U+0261)
paypal.com pаypal.com 第 2 个字符"а"是西里尔字母

肉眼几乎无法区分。现代浏览器(Chrome、Firefox、Safari)已实施对策,当域名中混合使用多种文字体系时,会以 Punycode(以 xn-- 开头的 ASCII 表示)显示。如果地址栏中出现以 xn-- 开头的字符串,请警惕同形异义字攻击的可能性。

短链接和二维码的风险

短链接

bit.ly、t.co、tinyurl.com 等短链接服务会隐藏原始 URL。像 bit.ly/3xYz123 这样的链接,在点击之前无法知道它指向的是正规网站还是钓鱼网站。

作为对策,可以使用短链接展开服务(如 CheckShortURL、Unshorten.It 等)在点击前确认实际 URL。此外,许多短链接服务在 URL 末尾加上 + 就会显示预览页面(例如:bit.ly/3xYz123+)。

二维码

二维码也存在与短链接相同的风险。在扫描之前,无法知道它会引导你到哪个 URL。公共场所张贴的二维码上被攻击者覆盖粘贴另一个二维码的"二维码劫持"事件也有报告。

智能手机的二维码扫描器具有预览显示读取到的 URL 的功能。请养成确认 URL 后再用浏览器打开的习惯。

安全确认步骤 - 实践检查清单

收到可疑链接时的确认步骤总结如下:

  1. 将光标悬停在链接上:不要点击,将鼠标光标悬停在链接上,确认浏览器左下角显示的实际 URL
  2. 从右往左读域名:按照顶级域名 → 二级域名的顺序确认,判断是否为正规域名
  3. 确认 HTTPS:确认是 HTTPS。但请注意,HTTPS 只意味着通信加密,并不保证网站的合法性。钓鱼网站也可以通过 Let's Encrypt 获取免费的 SSL 证书
  4. 展开短链接:使用展开服务确认短链接的实际 URL 后再访问
  5. 直接访问:不使用邮件或短信中的链接,直接在浏览器地址栏输入正规 URL,或从书签访问。这是最可靠的方法

这也是安全网购的基本原则——"越是催促的消息越要冷静"。"您的账户将被冻结""请在 24 小时内处理"等制造紧迫感的措辞,是钓鱼的典型手法。

如果不小心点击了可疑链接,可以在IP 确认君查看当前的连接信息和安全评分,检查是否发生了意外的通信。

想要系统学习防钓鱼知识的朋友,网络安全防骗相关书籍也可以作为参考。

本文相关术语

网络钓鱼 通过虚假 URL 或网站骗取个人信息的攻击手法。学会读懂 URL 是最有效的防御。 SSL/TLS HTTPS 的基础技术。保证通信加密,但不保证网站的合法性。 域名 URL 的核心部分。通过从右往左读,可以识破子域名伪装。