Google Toolbar的欺诈提醒功能
2007-11-01 10:21:49 来源:WEB开发网今天为了搞定我的华硕笔记本开/关无线网络的热键不能用的问题,上网搜索了半天。恰好看到一个有趣的信息是关于0.8公斤重的笔记本的,好奇之下打开来顺便看看。结果网页出现了如此的google提醒:
web forgery
this page is very likely to have been designed to rick users into sharing personal or financial information. Entering any personal information on this page may result in identity theft or other fraud.
仔细浏览一遍,事实上该网页只是一个常见的产品评测和介绍,看来google是false alarm了。
也许是做IT技术和研究的人的通病,我很自然地想到的第一件事就是看看到底是什么因素造成了这种技术上的错判:
首先看网站本身的可信度:应该还算是中文比较著名的IT网站,排除该因素;
再看网页布局:很标准的从上到下依次为ad bar, navigation bar, search bar, hot topics list, content full text (with flash ad) , related ad (products, company), comments. 看起来实在是没有什么特别之处。 自左向右的布局也是正常的“两侧广告,中间正文”的模式。
最后看内容,基本上没有什么可疑的地方 ......
哈,终于被我找到一些蛛丝马迹——如果非要说是欺诈网页的话,也只有这几个地方有可能成为“罪魁祸首”:
1.在页面最下方的评论信息之前,有一个发表评论的区域,其中要求输入:用户名,密码,评论信息。
2. 在正文下方的产品广告中,列出了几款类似的笔记本电脑,并给出了产品报价(并且特别用红色字体突出)。
综合上述1和2,应该是被程序判断为一个仿照电子商务类型的网站,要求用户的私人信息,且没有提供任何安全技术保护吧。
(注:一个普通用户很容易判断网页提交数据是否经过加密保护的方法就是看网页最右下方的状态栏中是否有一个“小锁”的标记)
呵呵,考察完毕。坦白地说,理由实在是有些牵强啊。
想起来大约2年以前,我在香港城市大学访问的时候,曾经与人合作过一个研究题目:anti-phishing。缘起是当时人们会常常收到一些以恒生、花旗等银行名义发来的email,说因为什么什么原因,需要重新注册用户信息。不知其中有诈的人可能会登上email中给出的网站链接,提交自己的个人信息甚至信用卡号码等,而事实上网站本身是假冒的—— 虽然网页设计等与真正的网页非常相似。这种网络诈骗的手段也被称作“phishing”—— 一个新造的词,据说就是来源于fishing的变体,呵呵,倒是很符合中国的那句老话“姜太公钓鱼,愿者上钩”。
于是一种很自然的想法就是能否在用户提交信息之前,先由自动判断是否是真实的银行网站,根据可疑程度给出不同程度的提醒,并同时报告给相关银行 —— 其实就是类似今天我看到的google在做的事情。
还记得我们当时的研究里面,主要用了一些vision-based feature,将链接网站与真正网站的网页特征比较,计算vision-based similarity,包括:网页布局,个人信息的特殊区域(例如密码、卡号、证件号码等),logo特征(需要用到图像识别),网页视觉效果(如配色方案,字体大小形式等),网页的内容功能分区,是否使用传输保护,是否有自动链接跳转等等。效果在实验中还算不错。当时初步的研究结果也发表在www2005会议上了,只是由于无法很好地解决数据收集问题(因为没有像google这样的toolbar或者一个电子邮件客户端程序,所以很难做到在用户访问网页的同时进行在线实时提醒),所以可惜只被录作poster。
再1个月后,我就回来,这部分研究也没有再继续下去,想想看也很是遗憾... 其实今天以google的实力,又有如此丰富的数据,特别是拥有toolbar这样宝贵的用户体验信息,套句领袖们的话来说,真正是“大有可为”。但现在看来,就其这方面的技术本身而言,还是稍显粗糙了,实在是令人感到可惜。
衷心地期待这些技术能够越做越好。
原文:http://cyber.tsinghua.edu.cn/user1/zhangmin/archives/2006/92.html
- ››Google搜索引擎的奥秘
- ››Google测试搜索结果页面右侧内容更丰富的信息栏
- ››Google Dart精粹:应用构建,快照和隔离体
- ››google的代码审查
- ››google analytics清晰追踪爬虫的爬行信息
- ››Google+中文用户在两千万Google+大军中是少数派
- ››Google AdWords最昂贵点击成本的20种关键词分类
- ››Google运作经理Bryan Power给出的GOOGLE求职意见
- ››Google用户体验的十大设计原则
- ››Google Analytics(分析)能为网站带来什么
- ››Google goggles图片搜索 如何优化一个wap网站
- ››Google Docs将增加iPhone和Android编辑功能
更多精彩
赞助商链接