三、隐形的陷阱：恶意网页

在移动互联网出现之前，使用浏览器进行网页浏览一直是普通计算机用户使用互联网的主要方式。因此衍生出很多针对浏览器的攻击方法，其中主要的两种方式为挂马和钓鱼。而在移动互联网时代，虽然人们更多地使用App上网，但很多流行App都会内嵌浏览器模块，可以打开网址链接浏览网页。因此，恶意网页对于手机用户来说仍然存在相当大的威胁。

（一）见者立毙：挂马网页

所谓网页挂马，就是在网页中写入一段恶意代码。一旦这段恶意代码在用户计算机或手机中被运行，就会导致用户计算机或手机感染病毒或木马。前述的苹果手机三叉戟漏洞事件实际上就是一起挂马攻击事件。而2016年上半年和下半年分别各发生了一次勒索软件大规模感染事件，也都是由于网页挂马攻击引起的：上半年是因为某些国外色情网站被挂马，下半年是因为国内某知名金融网站被挂马。

绝大多数挂马攻击是利用了浏览器的安全漏洞。特别是在2006—2010年，由于IE 6浏览器的安全漏洞被大量曝出，加之IE 6浏览器整体设计上的安全缺欠，导致针对IE 6的挂马攻击几乎无法防御（即便是计算机打了补丁，安装了安全软件也不管用）。于是挂马攻击便大肆流行，一天就可能有几万台，甚至十几万台计算机因访问了挂马网页而中毒。当时的很多正规网站也被黑客攻击并植入恶意代码，导致用户几乎一上网就中毒。

2008年，360安全浏览器诞生，这也是国内首款具备防挂马、反钓鱼能力的安全浏览器。随着安全浏览器技术的普及应用，利用漏洞发动攻击的挂马网页日益减少，到2014年时已基本在国内绝迹。但2015年以后，由于常有军用级网络武器攻击代码在互联网上泄露，挂马攻击又有抬头之势。

还有另外一种挂马攻击方式是通过篡改正常网页，诱使用户下载带毒文件或带毒插件。例如，APT组织海莲花（OceanLotus, APT-C-00）就曾采用这样一种攻击：在目标服务器页面中插入一段恶意的脚本代码；用户访问网站时，页面会弹出要求用户更新Flash软件的提示；但实际上，这里所提供的“更新包”是一个伪装成Flash升级包的恶意程序，用户如果不慎下载执行就会被植入恶意代码。下图为用户访问该水坑站点时，攻击者使用JS代码生成的提示用户下载执行伪造Flash升级包的页面截图。

（二）愿者上钩：钓鱼网站

钓鱼网站，指页面中含有虚假欺诈信息的网站。比较常见的钓鱼网站的形式有：仿冒银行、仿冒登录（如虚假的QQ空间登录页面等）、虚假购物、虚假票务、虚假招聘、虚假中奖、虚假博彩、虚假色情网站等。

以下是在2016年“双十一”期间截获的典型钓鱼网站的案例。

首先是计算机端浏览的钓鱼网站。

（1）某个仿冒QQ安全中心的钓鱼网站

（2）某个虚假游戏交易网站

（3）某知名电商品牌的仿冒钓鱼网站

（4）某虚假金融理财网站

（5）某虚假支付平台

以下是手机端浏览钓鱼网站的实例，分别是假冒运营商、假冒银行和虚假购物的钓鱼网站。实际上，PC端有的钓鱼网站，手机端都有。只不过适配手机的钓鱼网站会根据手机的使用和浏览习惯，对页面的尺寸、阅读方式进行调整。

需要说明的是：钓鱼网站的实质是内容的欺骗，而页面本身一般并不包含任何恶意代码，没有代码层面的恶意特征。甚至在很多情况下，即便是专业安全人员，也很难仅从页面内容来判断网页内容的真实性。因此，使用传统的反病毒技术中的特征识别技术，很难有效识别钓鱼网站，更不太可能在用户的本地计算机进行识别。

也就是说，尽管从制作技术上看，钓鱼网站要比木马病毒简单得多，但其识别难度更大，欺骗性更强。