帮助识别和保护自己免受欺骗性（欺骗）网站和恶意超链接的步骤

2020-10-13

警告

已停用、不受支持的 Internet Explorer 11 桌面应用程序在某些版本的 Windows 10 上已通过 Microsoft Edge 更新永久禁用。有关详细信息，请参阅 Internet Explorer 11 桌面应用停用常见问题解答。

在 Internet Explorer 中指向超链接时，Outlook 中网站的地址通常显示在窗口底部的状态栏中。选择在 Internet Explorer 中打开的链接后，网站的地址通常显示在 Internet Explorer 地址栏中，网页的标题通常显示在窗口的标题栏中。

然而，恶意用户可能会创建一个链接，指向一个伪装网站，该网站在状态栏、地址栏和标题栏中显示合法网站的地址或URL。本文介绍可采取的步骤来帮助缓解此问题，并帮助识别欺骗性（欺骗）网站或 URL。

原始产品版本： Internet Explorer
原始 KB 数： 833786

详细信息

本文讨论有助于保护自己免受欺骗网站的步骤。概括而言，以下步骤如下：

验证地址栏 r 中是否存在锁图标，并验证提供在键入任何个人或敏感信息之前正在查看的页面的服务器的名称。如果注意到地址栏中出现任何错误，请参阅证书错误：常见问题解答。
不要选择不信任的任何超链接。自行在地址栏中键入它们。

保护自己免受伪造网站的伤害，您可以采取以下措施

在键入任何敏感信息之前，请确保网站使用安全套接字层/传输层安全性（SSL/TLS）并检查服务器的名称。

SSL/TLS 通常用于通过加密信息在 Internet 中传输时帮助保护信息。但是，它还可用于证明你要将数据发送到正确的服务器。通过检查 SSL/TLS 数字证书用户上的名称，可以验证提供所查看页面的服务器的名称。为此，请验证锁图标是否显示在浏览器窗口的地址栏中。

若要验证数字证书上出现的服务器的名称，请选择锁图标，然后检查颁发给旁边显示的名称。如果网站不使用 SSL/TLS，请不要向网站发送任何个人或敏感信息。如果颁发给旁边的名称与您认为提供该页面的网站名称不同，请关闭浏览器以离开该网站。有关如何执行此作的详细信息，请参阅保护自己免受网络钓鱼方案和其他形式的在线欺诈。

你可以执行的操作来帮助保护自己免受恶意超链接的侵害

为了帮助保护自己免受恶意超链接的侵害，可以采取的最有效步骤不是选择它们。相反，请在地址栏中自行键入目标 URL。通过在地址栏中手动键入 URL，可以验证 Internet Explorer 用于访问目标网站的信息。为此，请在地址栏中键入 URL，然后按 Enter。

当网站未使用 SSL/TLS 时，可以执行一些操作来标识欺骗网站

验证提供所查看页面的网站名称的最有效步骤是使用 SSL/TLS 验证数字证书上的名称。但是，如果站点不使用 SSL/TLS，则无法最终验证提供所查看页面的网站的名称。但是，在某些情况下，有一些事情可以帮助你识别欺骗的网站。

注意

以下信息提供基于已知攻击的一般准则。由于攻击不断变化，恶意用户可以使用此处所述的其他方式创建欺骗网站。为了帮助保护自己，仅当已在数字证书上验证名称时，才在网站上键入个人或敏感信息。此外，如果你有任何理由怀疑网站的真实性，请立即关闭浏览器窗口离开该网站。通常，关闭浏览器窗口的最快方法是按 Alt+F4。

尝试标识当前网页的 URL

若要尝试标识当前网站的 URL，请使用以下方法。

使用 Internet Explorer 历史记录窗格尝试标识当前网站的实际 URL

在 Microsoft 已测试的场景中，还可以使用 Internet Explorer 中的历史记录栏来帮助标识网页的 URL。在 “视图 ”菜单上，指向 资源管理器栏，然后选择“ 历史记录”。将地址栏中的 URL 与历史记录栏中显示的 URL 进行比较。如果它们不匹配，网站可能歪曲了自己，你可能想要关闭 Internet Explorer。

将 URL 粘贴到 Internet Explorer 新实例的地址栏中

可以将 URL 粘贴到 Internet Explorer 新实例的地址栏中。这样做后，你也许能够验证 Internet Explorer 将用于访问目标网站的信息。在微软已测试的场景中，您可以复制地址栏中显示的 URL，并将其粘贴到 Internet Explorer 新会话的地址栏中，以验证 Internet Explorer 实际用于访问目标网站的信息。此过程类似于本文前面“可以帮助您保护自己免受欺诈网站的侵害”部分中讨论的步骤。

注意

如果在某些网站上（例如在电子商务网站上）执行此操作，该操作可能会导致当前会话丢失。例如，在线购物车的内容可能会丢失，可能需要重新填充购物车。

若要将 URL 粘贴到 Internet Explorer 新实例的地址栏中，请执行以下步骤：

选择地址栏中的文本，右键单击文本，然后选择“ 复制”。
关闭 Internet Explorer。
启动 Internet Explorer。
在地址栏中选择，右键单击，然后选择“ 粘贴”。
按 Enter。

可用于识别恶意超链接的一些操作

验证 Internet Explorer 用于访问目标网站的信息的唯一方法是在地址栏中手动键入 URL。但是，在某些情况下，可以执行某些操作，可能有助于识别恶意超链接。

注意

尝试标识超链接将使用的 URL

若要尝试标识超链接将使用的 URL，请执行以下步骤：

右键单击链接，然后选择“ 复制快捷方式”。
选择 “开始”，然后选择“ 运行”。
键入 记事本，然后选择确定。
在记事本的 “编辑” 菜单上，选择“ 粘贴”。

通过执行此操作，可以查看任何超链接的完整 URL，并检查 Internet Explorer 将使用的地址。以下列表显示了可能导致欺骗网站的 URL 中显示的一些字符：

例如，以下形式的 URL 将打开 http://example.com，但在 Internet Explorer 中地址栏或状态栏中的 URL 可能显示为 http://www.wingtiptoys.com：

http://www.wingtiptoys.com%01@example.com

可以执行的其他步骤

尽管这些操作不帮助你识别欺骗性（欺骗）网站或 URL，但它们可以帮助限制来自欺骗网站或恶意超链接的成功攻击造成的损害。但是，它们限制 Internet 区域中的电子邮件和网站运行脚本、ActiveX 控件和其他潜在的破坏性内容。

使用 Web 内容区域帮助防止 Internet 区域中的网站运行脚本、运行 ActiveX 控件或在计算机上运行其他破坏性内容。首先，在 Internet Explorer 中将 Internet 区域安全级别设置为“高”。为此，请按照以下步骤操作：
1. 在"工具"菜单上，选择"Internet 选项"。
2. 选择“ 安全 ”选项卡，选择 “Internet”，然后选择 “默认级别”。
3. 将滑块移动到 “高”，然后选择“ 确定”。
接下来，将信任的网站 URL 添加到“受信任的站点”区域。为此，请按照以下步骤操作：
1. 在 “工具” 菜单上，选择“Internet 选项”。
2. 选择“安全”选项卡。
3. 选择 “受信任的站点”。
4. 选择站点。
5. 如果要添加的站点不需要服务器验证，请取消选中该区域内所有站点的“需要服务器验证（https:）”复选框。
6. 键入要添加到 受信任网站 列表的网站地址。
7. 选择 “添加”。
8. 对要添加的每个网站重复步骤 6 和 7。
9. 选择 “确定 ”两次。
阅读纯文本中的电子邮件。

通过以纯文本方式阅读电子邮件，可以看到任何超链接的完整 URL，并检查 Internet Explorer 将使用的地址。下面是可能导致欺骗网站的 URL 中显示的一些字符：
- %00
- %01
- @
有关如何执行此作的详细信息，请参阅纯文本读取电子邮件。
例如，以以下形式的 URL 将打开 http://example.com，但电子邮件文本中显示的 URL 可能为 http://www.wingtiptoys.com：

http://www.wingtiptoys.com%01@example.com

参考

有关统一资源定位符（URL）的详细信息，请参阅 https://www.w3.org/Addressing/URL/url-spec.txt。

第三方联系人免责声明

Microsoft 会提供第三方联系信息来帮助你查找有关本主题的其他信息。此联系信息可能会更改，恕不另行通知。 Microsoft 不保证第三方联系信息的准确性。

通过