Internet Explorer 7消费者价值概览

 

1       [用户对IE的安全需求]

l   服务安全现状

在Windows中，Internet Explorer是用户访问Internet最常用的软件。因为其使用率非常高，所以很多恶意软件和流氓软件都瞄上了IE。恶意控件通常是通过自动下载IE控件的方式，导致用户访问某些网站的时候在毫不知情的情况下被安装上IE的恶意控件，从而造成系统崩溃、IE不能正常运行或数据被窃取。

l   用户对服务安全的需求

为了能够安全的使用IE访问Internet，防止的自己的计算机系统崩溃以及核心数据不被IE控件窃取，用户期望拥有更加安全的IE保护措施。

l   Windows Vista应对概述

Windows Vista针对用户对IE安全方面的需求，推出了UAC和IE7保护模式，能够给用户从IE控件的安装到使用都提供保护。

 

1.1     [用户对IE控件安装的安全需求]

l   IE控件安装安全现状

IE控件安装需要管理员的权限才能进行，在以前的Windows操作系统中，由于默认的登录用户都是管理员，对系统拥有比较高的权限。所以，恶意程序或网站可以通过当前登录用户的管理员权限来安装恶意控件，并且这个过程对用户来说可能是透明的。这样，安装的IE就会随着IE的启动而自动启动，同时拥有了对计算机较大的权限，从而可以破坏用户的系统、影响用户IE的正常使用或窃取核心数据，给用户带来损失。

l   用户对服务安装安全的需求

为了能够安全的使用计算机，保护数据，用户希望能够在不影响正常IE控件安装的情况下，不安装恶意IE控件：

1.      阻止恶意IE控件自动安装服务。

2.      对IE控件的安装过程，给与提示，让用户能够分辨出是正常IE控件安装还是恶意IE控件安装。

l   Windows Vista应对概述

Windows Vista提供了UAC机制，恶意的程序只能获得当前用户的低权限，从而无法安装IE控件。对正常IE控件的安装，则可以通过UAC弹出的权限提升对话框，来让用户判断是否提升来实现IE控件的安装。

 

1.1.1 [UAC]

1.1.1.1   [定义]

用户帐户控制 (User Account Control, UAC) 是 Windows Vista 新的安全性组件，UAC 可以让用户以非系统管理员的权限执行一般工作。此外，属于本机 Administrators 群组成员的用户帐户将以标准使用者的权限来执行大多数的应用程序。

以最低权限执行，能够保护系统安全性，因为系统管理员执行的一般应用程序不再具有完整的系统管理员权限。至于需要系统管理员权限的程序，例如管理系统所需的工具，则会在取得使用者同意后，将其特权提升为完整系统管理员权限，以完整权限激活。

为了协助防止恶意软件进行无提示安装及感染整部计算机，Microsoft 为 Windows Vista 开发了 UAC 功能。不像过去的 Windows 版本，当系统管理员登入执行 Windows Vista 的计算机时，该用户的完整系统管理员存取令牌会分成两个存取令牌：即完整系统管理员存取令牌和标准使用者存取令牌。存取令牌当中包含了使用者的群组成员资格、授权和访问控制数据，Windows 将之用来控制使用者能存取的资源和工作。在登入过程中，用以识别系统管理员的授权和访问控制组件会被移除，而产生标准使用者存取令牌。接着会将标准使用者存取令牌用来激活桌面，即 Explorer.exe 进程。由于所有应用程序会继承从桌面最初启动时的访问控制数据，所以它们也全都会以标准使用者执行。系统管理员登入之后，完整系统管理员存取令牌会等到用户尝试执行系统管理工作时才会调用。与之相反，当标准用户登入时，只会建立标准使用者存取令牌。接着会将此一标准使用者存取令牌用来激活桌面。

在 Windows Vista 之前，系统管理员帐户只会收到一个存取令牌，当中包括了授予使用者存取所有 Windows 资源的数据。这种访问控制模型并不含任何保全检查，来确定使用者是真的想要执行一项需要其系统管理存取令牌的工作。这使得恶意软件能够在不通知使用者的情况下安装到用户的计算机上 (这有时候称为「无讯息」安装)。更糟的是，因为用户是系统管理员，所以恶意软件能使用系统管理员的访问控制数据来侵害核心操作系统文件。

在 Windows Vista 中，标准用户和系统管理员之间的主要差别在于用户对于计算机的核心、受保护区域的存取层级。系统管理员能变更系统状态、关闭防火墙、设定安全策略、安装会影响计算机上每个用户的服务或驱动程序，以及为整部计算机安装软件。标准使用者则无法执行这些工作，而只能安装每一用户软件。

1.1.1.2   [基本工作原理]

UAC 体系结构

下图体现了可执行程序在 Windows Vista 中的启动流程。

 

以下内容介绍了 UAC 体系结构图表中显示的流程以及当可执行程序尝试启动时如何实现 UAC。

标准用户启动路径

Windows Vista 标准用户启动路径与 Windows XP 启动路径类似，只不过包含了一些修改。

1.     ShellExecute() 调用 CreateProcess()。

2.     如果应用程序需要提升，CreateProcess() 会调用 AppCompat、Fusion 和 Installer Detection 进行评估。然后，对可执行程序进行检查以确定其 requestedExecutionLevel（存储在可执行程序的应用程序清单中）。AppCompat 数据库存储应用程序的应用程序兼容性修复条目信息。Installer Detection 检测安装执行程序。

3.     CreateProcess() 返回声明 ERROR_ELEVATION_REQUIRED 的 Win32 错误代码。

4.     ShellExecute() 专门等待这个新错误，收到该错误后，立即全面调用“应用程序信息服务”(AIS) 以尝试进行提升后的启动。

已提升启动路径

Windows Vista 的已提升启动路径是一种新的 Windows 启动路径。

1.     AIS 收到来自 ShellExecute() 的调用，然后重新评估所请求的执行级别和组策略，以确定是否允许提升并定义提升用户体验。

2.     如果请求的执行级别需要提升，则该服务将使用从 ShellExecute() 传入的 HWND 启动调用方交互桌面上的提升提示（基于组策略）。

3.     如有必要，在用户给予同意或提供有效凭据后，AIS 将检索与相应用户关联的对应访问令牌。例如，对于只属于备份操作员组的用户成员和属于本地管理员组的用户成员，请求 highestAvailable 的 requestedExecutionLevel 的应用程序所要检索的访问令牌是不同的。

4.     AIS 重新发出 CreateProcessAsUser() 调用，提供管理员访问令牌并指定调用方的交互桌面。

1.1.1.3   [特性]

一直以来，应用程序开发人员所创建的 Microsoft Windows 应用程序都需要过多的用户权限和 Windows 特权，这就经常要求执行用户是管理员身份。结果，几乎没有几个 Windows 用户是在要求的用户最小权限和 Windows 最小特权下运行。由于标准用户应用程序兼容性问题，许多力求在易部署性、易用性与安全性之间取得均衡的企业通常都采取作为管理员部署其桌面的方法。

为何在 Microsoft Windows Vista 之前的计算机上难以作为标准用户运行？以下内容详述了另外的原因：

1.     许多 Windows 应用程序都要求登录用户是管理员，但实际上并不要求管理员级的访问。这些应用程序会在允许运行之前执行多种管理员访问检查，其中包括：

"      管理员访问令牌检查。

"      系统受保护位置中的“完全访问”访问请求。

"      将数据写入到受保护位置，例如，%ProgramFiles%、%WinDir% 和 HKLM\Software。

 

2.     许多 Windows 应用程序在设计时都没有采用最小特权这个概念，并且没有将用户和管理员功能分为两个不同的进程。

3.     默认情况下，Windows 2000 和 Windows XP 将每个新用户帐户都创建为管理员；因此，关键的 Windows 组件（如“日期和时间”、“电源管理”控制面板）对于标准用户就不能正常工作。

4.     Windows 2000 和 Windows XP 管理员必须创建两个不同的用户帐户 - 一个帐户用于管理任务，另一个是标准用户帐户，用于执行日常任务。这样，用户必须退出其标准用户帐户，并作为管理员重新登录或使用“运行方式”才能执行任何管理任务。

借助“用户帐户控制”(UAC)，Microsoft 将提供一种可以简化企业和家庭标准用户桌面部署的技术。

按照最初在 Microsoft Windows NT 3.1 操作系统中的设计构建 Windows 安全体系结构后，UAC 小组力求实现一种兼有灵活性和更多安全性的标准用户模型。对于 Windows 先前版本，在登录过程中会为管理员创建一个访问令牌。该管理员访问令牌包含了多数 Windows 特权和管理安全标识符 (SID)。它保证了管理员可以安装应用程序、配置操作系统和访问任何资源。

在 Windows Vista 中，UAC 小组采用了一种截然不同的方法来创建访问令牌。当管理员用户登录到 Windows Vista 计算机时，将创建两个访问令牌：一个是筛选后的标准用户访问令牌，一个是完整的管理员访问令牌。此时，使用标准用户访问令牌而不是管理员访问令牌来启动桌面 (Explorer.exe)。所有子进程都从桌面的这个初始启动（explorer.exe 进程）继承而来，从而有助于限制 Windows Vista 的攻击面。默认情况下，所有用户（包括管理员）都作为标准用户登录到 Windows Vista 计算机。

注意对于以上综述存在一种例外情况：访客登录计算机时所具备的用户权限和特权要低于标准用户。

当管理员尝试执行管理任务（例如，安装应用程序）时，UAC 会提示用户批准该操作。当用户批准该操作时，任务将通过管理员的完整管理员访问令牌启动。这是默认的管理员提示行为，可在本地安全策略管理器单元 (secpol.msc) 中使用组策略 (gpedit.msc) 进行配置。

注意启用了 UAC 的 Windows Vista 计算机上的管理员帐户也称为“管理批准模式下的管理员帐户”。管理批准模式标识了管理员的默认用户体验。

每次管理提升也是特定于进程的，这可防止其他进程未提示用户进行批准就使用访问令牌。这样，管理员用户可以对安装哪些应用程序进行更精确的控制，同时又极大冲击了期望登录用户使用完整管理员访问令牌运行的恶意软件。

通过使用 UAC 基础结构，标准用户也有机会按流程提升并执行管理任务。当标准用户尝试执行管理任务时，UAC 会提示用户输入有效的管理员帐户凭据。这是默认的标准用户提示行为，可在本地安全策略管理器单元 (secpol.msc) 中使用组策略 (gpedit.msc) 进行配置。

1.1.1.4   [适用场景]

1.      恶意程序的安装。

2.      恶意服务的安装。

3.      恶意程序的运行。

 

1.2   [用户对IE控件交互的安全需求]

l   IE控件交互安全现状

在以前的Windows中，IE浏览器具有当前用户的权限，而默认的Windows登录用户为管理员，也就是说大多数情况下IE浏览器拥有计算机管理员的权限，而加载IE上的IE控件，也继承了IE管理员的权限。这样，很多恶意控件就会利用这个权限对用户的计算机进行恶意破坏或窃取用户的数据，给用户带来损失。

l   用户对IE控件交互安全的需求

为了能够安全的使用计算机、保护数据、防止流氓软件的骚扰，用户希望能够安全的使用IE控件，使恶意的IE控件不能攻击用户的计算机系统和窃取数据。

l   Windows Vista应对概述

在 Windows Vista 中，IE 7 以“保护模式”运行，该模式通过以限制严格的权限运行 Internet Explorer 进程，保护用户免受攻击。“保护模式”显著降低了写入、更改或破坏用户计算机上数据或者安装恶意代码的攻击能力。它有助于保护用户，避免恶意代码未经授权便自行安装。此模式是安装 Windows Vista 时用于 Internet Explorer 的默认模式。。

1.2.1     [IE 7保护模式]

1.2.1.1   [定义]

“保护模式”建立于新的完整性机制之上，以将写访问限制在可保安全的对象（如，具有更高完整性级别的进程、文件和注册表项）。当以“保护模式”运行时，Internet Explorer 是一个低完整性进程；因此它无法获得对用户配置文件或者系统位置中文件和注册表项的写入访问权限。

1.2.1.2   [基本工作原理]

完整性低的进程只能对那些已分配了低完整性强制标签的文件夹、文件和注册表项执行写入操作。结果，Internet Explorer 及其扩展在“保护模式”中运行，从而只能对低完整性位置（如新的低完整性“临时 Internet 文件”文件夹、“历史记录”文件夹、Cookies 文件夹、“收藏夹”文件夹以及“Windows 临时文件”文件夹）进行写入操作。

而且，在 Windows Vista 交付时，“保护模式”进程将以低桌面完整性级别运行，这样可防止其将特定的窗口消息发送给完整性更高的进程。

通过防止对用户系统敏感区域进行未授权的访问，“保护模式”可限制由受损 Internet Explorer 进程或恶意软件造成的损失程度。例如，攻击者无法悄无声息地将击键记录程序安装到用户的 Startup 文件夹。同样，受损的进程不能通过窗口消息操作桌面上的应用程序。

当然，这些防范措施同时也限制了对更高完整性位置 (IL) 的合法更改。因此，“保护模式”提供了可减少对现有扩展影响力的兼容性体系结构，如下图所示。

图 1

兼容性层处理许多现有扩展的需要。它截取了对中等完整性资源（如用户配置文件中的“我的文档”文件夹和 HKEY_CURRENT_USER 注册表配置单元）的写入尝试。兼容性层使用普通的 Windows 兼容性修复程序将这些操作自动重新定向到下列低完整性位置：

"	%userprofile%\LocalSettings\Temporary Internet Files\Virtualized
"	HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\InternetRegistry

两个更高权限的代理程序进程允许 Internet Explorer 和扩展执行经用户许可的提升操作。例如，用户权限代理程序 (IEUser.exe) 进程提供一组允许用户将文件保存到低完整性区域之外区域的功能。另外，管理员权限代理程序 (IEInstal.exe) 进程支持 Internet Explorer 安装 ActiveX 控件。

1.2.1.3   [特性]

1.      动态安全保护: Internet Explorer 7 将安全性提高到了一个新的层次，其新功能可以阻止恶意软件，可以防止欺骗性网站盗取用户数据。此外，Internet Explorer 7 使用户能够完全控制向浏览器添加功能的操作，从而允许使用安全且简单的加载项功能，同时避免无意间下载不需要的软件。

2.      日常任务的处理更加轻松和快捷: Internet Explorer 7 的功能得到增强，即使目前熟悉 Internet 的用户也可以进一步提高工作效率。Internet Explorer 7 着力于使搜索、浏览多个站点以及打印等任务变得更加轻松和快捷。工具栏搜索框包含“MSN 搜索”；可以修改该搜索栏以使其包含“AOL 搜索”、“Ask Jeeve”以及“Yahoo 搜索”。

3.      用于 Web 开发和管理的更完善平台: 增强的 Internet Explorer 7 显示引擎使 Web 开发人员可以更轻松地创建内容生动且功能强大的网站，同时保留了浏览现有 Web 内容的功能。新的 Really Simple Syndication (RSS) 平台支持可以实现其他应用程序与浏览体验的结合。另外，网络管理员现在可以更方便地为大量用户集中部署和管理 Internet Explorer。

1.2.1.4   [适用场景]

1.     安全的IE控件与Windows Vista系统的交互。

2.     防止恶意IE控件窃取用户的数据。

 

1.3   [用户对IE防范仿冒网站攻击的安全需求]

l   仿冒网站攻击现状

仿冒网站攻击，也就是我们常说的网络钓鱼(Phishing)，这是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了”Phishing”,Phishing 发音与 Fishing相同。“网络钓鱼”就其本身来说，称不上是一种独立的攻击手段，更多的只是诈骗方法，就像现实社会中的一些诈骗一样。攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，诱骗访问者提供一些个人信息，如信用卡号、账户名和口令、社保编号等内容（通常主要是那些和财务，账号有关的信息，以获取不正当利益），受骗者往往会泄露自己的财务数据。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，因此来说，网络钓鱼的受害者往往也都是那些和电子商务有关的服务商和使用者。

市场研究机构Gartner公司在2006年的一项调查结果显示，05年一年美国国民被网络捕钓欺诈启事者盗取的金额达10亿美元。截止2005年5月的过去12个月中，7300万美国成年互联网用户表示他们确信或者认为收到的捕钓攻击邮件数平均下来每人达50个。Gartner一名研究主管阿维亚·利坦（Avivah Litan）表示，事实上只有美国在线（America Online）对有钓鱼攻击嫌疑的用户邮件进行甄别和堵塞。尽管其它服务商也开始效仿这种做法，但仍然无济于事。利坦说，“以上做法并不能在服务器层次上阻止欺诈行为。”“即便有防范措施，捕钓者总会设法绕过屏障。”网民在对付捕钓攻击过程的需要的是双向的辨别认证，但这一需要目前还无法满足，网站需要向用户证明自己的合法性（目前互联网只从单方面验证用户身份的合法性）。利坦表示，“现在迫切需要一种双向的身份认证体系，而事实上这一点还得依靠浏览器，目前还没有一个浏览器提供这种功能。”

l   用户对IE防仿冒网站攻击的需求

无论对于企业用户还是普通消费者来讲，被人欺骗而丢失账户信息或受到经济损失都是难以接受的，就目前来讲，网络钓鱼攻击很难防范，一方面是用户安全意识的提升，另一方面，并没有一种信任体系来让用户判断网站或邮件的可信程度。

l   Windows Vista应对概述

在Windows Vista中内置的IE7中加入了Microsoft Phishing Filter（微软仿冒网站筛选器）。该功能会自动将用户访问的网站与微软服务器中一个已知的仿冒网站列表比较，如果用户访问的网站与该列表上列出的某个网站域名一致，则会对用户发出警告。

1.3.1     [Anti-Phishing]

1.3.1.1   [定义]

仿冒网站筛选功能是微软最新浏览器Internet Explorer 7的一项重大的安全性改进，它使用一个仿冒网站筛选器来即时监测用户所访问的网站是否为仿冒的，并通过红色，黄色和绿色来标识不同的安全级别。对于红色的危险级别高的站点，将默认屏蔽该网站内容。用户可以按照自己的判断监测网站或提交危险性报告。

1.3.1.2   [基本工作原理]

网络钓鱼工作原理

现在网络钓鱼的技术手段越来越复杂，比如隐藏在图片中的恶意代码、键盘记录程序，当然还有和合法网站外观完全一样的虚假网站，这些虚假网站甚至连浏览器下方的锁形安全标记都能显示出来。网络钓鱼的手段越来越狡猾，这里首先介绍一下网络钓鱼的工作流程。通常有五个阶段：

图1 网络钓鱼的工作原理

1.     钓鱼者入侵初级服务器，窃取用户的名字和邮件地址
早期的网络钓鱼者利用垃圾邮件将受害者引向伪造的互联网站点，这些站点由他们自己设计，看上去和合法的商业网站极其相似。很多人都曾收到过来自网络钓鱼者的所谓“紧急邮件”，他们自称是某个购物网站的客户代表，威胁说如果用户不登录他们所提供的某个伪造的网站并提供自己的个人信息，这位用户在购物网站的账号就有可能被封掉，当然很多用户都能识破这种骗局。现在网络钓鱼者往往通过远程攻击一些防护薄弱的服务器，获取客户名称的数据库。然后通过钓鱼邮件投送给明确的目标。

2.     钓鱼者发送有针对性质的邮件
现在钓鱼者发送的钓鱼邮件不是随机的垃圾邮件。他们在邮件中会写出用户名称，而不是以往的“尊敬的客户”之类。这样就更加有欺骗性，容易获取客户的信任。这种针对性很强的攻击更加有效地利用了社会工程学原理。
很多用户已经能够识破普通的以垃圾邮件形式出现的钓鱼邮件，但是他们仍然可能上这种邮件的当，因为他们往往没有料到这种邮件会专门针对自己公司或者组织。根据来自IBM全球安全指南(Global Security Index)的报告，被截获的钓鱼事件从2005年一月份的56起爆炸性地增长到了六月份的60万起。

3.     受害用户访问假冒网址
受害用户被钓鱼邮件引导访问假冒网址。主要手段是
（1）IP地址欺骗。主要是利用一串十进制格式，通过不知所云的数字麻痹用户，例如IP地址202.106.185.75，将这个IP地址换算成十进制后就是3395991883，Ping这个数字后，我们会发现，居然可以Ping通，这就是十进制IP地址的解析，它们是等价的。
（2）链接文字欺骗。我们知道，链接文字本身并不要求与实际网址相同，那么你可不能只看链接的文字，而应该多注意一下浏览器状态栏的实际网址了。如果该网页屏蔽了在状态栏提示的实际网址，你还可以在链接上按右键，查看链接的“属性”。
（3）Unicode编码欺骗。Unicode编码有安全性的漏洞，这种编码本身也给识别网址带来了不便，面对“％21％32”这样的天书，很少有人能看出它真正的内容。

4.     受害用户提供秘密和用户信息被钓鱼者取得
一旦受害用户被钓鱼邮件引导访问假冒网址，钓鱼者可以通过技术手段让不知情的用户输入了自己的“User Name”和“Password”，然后，通过表单机制，让用户输入姓名、城市等一般信息。填写完毕。他现在要用户填写的是信用卡信息和密码。一旦获得用户的帐户信息，攻击者就会找个理由来欺骗用户说“您的信息更新成功！”，让用户感觉很“心满意足”。
这是比较常见的一种欺骗方式，有些攻击者甚至编造公司信息和认证标志，其隐蔽性更强。一般来说，默认情况下我们所使用的HTTP协议是没有任何加密措施的。不过，现在所有的消息全部都是以明文形式在网络上传送的，恶意的攻击者可以通过安装监听程序来获得我们和服务器之间的通讯内容。

5.     钓鱼者使用受害用户的身份进入其他网络服务器

考虑到仿冒网站攻击的复杂程度日益增加，最简单有效的方法就是建立客户——服务器的信任机制，并且由浏览器自身进行信任监测，这样我们不需要了解攻击是采用什么方法或技术便可以从根本上防御仿冒网站攻击。

仿冒网站筛选是 Internet Explorer 中一种帮助检测仿冒网站的功能。仿冒网站筛选使用三种方法来帮助您不受仿冒骗局的欺骗。首先，它会将访问的网站地址与向 Microsoft 报告为合法站点的站点列表进行比较。该列表保存在您的计算机上。其次，它帮助分析访问的站点，以查看它们是否具有仿冒网站中常见的特征。最后，在您同意的前提下，仿冒网站筛选会将一些网站地址发送给 Microsoft，以便根据频繁更新的已报告仿冒网站列表进行进一步的检查。

标记为可疑的网站具有仿冒网站的某些典型特征，并且它不位于计算机上保存的合法网站列表以及已报告仿冒网站联机列表上。该网站可能实际上是合法网站，但是在确信该站点值得信任前，您不应向其提交任何个人或财务信息。

如果正在访问的站点位于已报告仿冒网站列表中，Internet Explorer 将显示警告网页并且在地址栏上显示通知。可以在警告网页上选择继续操作或关闭页面。如果网站具有仿冒站点中常见的特征，但是并不位于该列表中，Internet Explorer 将仅在地址栏中通知您该网站可能是仿冒网站。

使用仿冒网站筛选自动或手动检查网站时，会将正在访问的网站地址连同计算机中的一些标准信息（如计算机的 IP 地址、浏览器类型以及仿冒网站筛选版本号）一起发送到 Microsoft。为了帮助保护您的隐私，发送给 Microsoft 的地址信息会使用 SSL 进行加密并且仅限于您正在访问的网站的域和路径。不会发送其他可能和 Web 地址关联的信息，如搜索字词、在表单中输入的信息或 Cookie。

例如，您访问位于 http://search.msn.com 处的 MSN 搜索网站并且输入了“MySecret”作为搜索字词，仿冒网站筛选不会发送完整地址
“http://search.msn.com/results.aspx?q=MySecret&FORM=QBHP”，
而是删除搜索字词并且仅发送“http://search.msn.com/results.aspx”。

有关您使用 Internet Explorer 和仿冒网站筛选的匿名统计信息也会发送给 Microsoft，如从上一次将地址发送给 Microsoft 起的时间和浏览的网站总数以便进行分析。此信息连同上述信息都将用来分析和改进仿冒网站筛选服务。Microsoft 不会使用收到的信息来标识您的身份。

首次安装 Internet Explorer 时，仿冒网站筛选仅根据您的计算机上保存的合法网站列表比较访问的网站的地址。它也帮助分析这些站点，以查看它们是否具有仿冒网站中常见的特征。除非您选择发送信息，否则不会将任何信息发送给 Microsoft。首次访问不在合法网站列表中的网站时，Internet Explorer 将提示您决定是否希望自动检查该网站。如果选择此选项，仿冒网站筛选会将部分网站地址发送给 Microsoft，以便根据频繁更新的已报告仿冒网站列表对其进行检查，然后提醒您可疑的或已报告的仿冒网站。

 

1.3.1.3    [特性]

实时网页检测：IE7采用本地列表检查辅助向反钓鱼欺诈服务器实时查询的方式，而不是像一些反间谍软件那样仅仅定时下载一份站点列表文件，选择实时查询的原因有二，一是它能比使用静态站点列表方式提供更好的保护；二是可以避免给网络增加过重的负载。欺诈过滤器确实可以定时下载一份已知为安全的站点列表，但钓鱼欺诈攻击可以在24～48个小时内转移到新的地址，这比发布站点列表要更快。

智能特征分析：仿冒网站筛选功能采用启发式工作方式，可以自动判断一个网站是否具备网络钓鱼网站的特征，如果具备，则将其标记为可疑站点。

自由选择检测方式：用户可以允许筛选器自动进行所有网站的安全性检测，也可以手动监测某个网站的安全性，这完全由用户自己来决定。

安全传递检测信息：仿冒网站筛选功能使用加密的SSL连接，URL将被安全地送到服务器中以保护隐私信息。

 

1.3.1.4   [适用场景]

收到仿冒邮件要求点击链接并提交用户信息。

通过欺骗诱使用户在某网站填入敏感信息。

 

1.3.1.5   [提示]

为保护自己不受联机仿冒网站的欺骗，我该做什么？

以下为可能保护您不受联机仿冒网站欺骗的一些快速技巧：

• 切勿在电子邮件、即时消息或弹出窗口中提供个人信息。
• 请勿单击来自陌生人的电子邮件和即时消息中的链接或所有看上去可疑的链接。因为即便是来自朋友和家人的消息也可能是伪造的，因此请与发送者确认他们是否真的发送了消息。
• 仅使用提供了隐私声明或有关他们将如何使用您个人信息的网站。
• 经常性地核对财务对帐单和信用历史记录，并报告任何可疑的活动。
• 保持 Windows 和 Internet Explorer 为最新。

如果觉得已经在仿冒网站中输入了个人或财务信息，我该做什么？

立即执行以下操作可能会有帮助：

• 更改所有联机帐户的密码或 PIN。
• 在信用报告上标记欺骗警告。如果不确定如何执行这些操作，请与银行或财务顾问联系。
• 直接联系银行或在线商店。请勿按照欺骗电子邮件中的链接执行操作。
• 如果获悉帐户已经被以欺骗的方式访问或打开，请关闭这些帐户。

 如果得知自己是骗局的受害者，我该做什么？

立即执行以下操作可能会有帮助：

• 向当地的公安局提交报告。
• 在信用报告上标记欺骗警告。如果不确定如何执行这些操作，请与银行或财务顾问联系。
• 更改所有联机帐户的密码或 PIN。
• 直接联系银行或在线商店。请勿按照欺骗电子邮件中的链接执行操作。
• 如果获悉帐户已经被以欺骗的方式访问或打开，请关闭这些帐户。

---

本文图片由于服务器问题无法上传，如有需要请与我联系