原則として、フィッシングサイトはダミーに登録されており、実際には世界中のWebサーバーに物理的に配置できます。 この機能はサインとして使用できます。 たとえば、ロシアのソーシャルネットワークのWebサイトが中国、ペルー、またはジンバブエのWebサーバーにある場合、これは、そのようなサイトの合法性を最も経験の浅いユーザーにさえ疑う理由です。 たとえば、Mozilla Firefoxブラウザーの「 Flagfox 」拡張機能を使用して、訪問したWebサイトのWebサーバーが存在する国を判別できます。 この図は、ソーシャルネットワーク「VKontakte」のサイトを模したフィッシングサイトのページを示しています。 このサイトへのリダイレクトは、Trojan.BAT.QHost.fyマルウェアによって実行されました。 同時に、Flagfox拡張機能は、このサイトのWebサーバーが中国にあることを示しています。 すべてのフラグを覚えていない場合は、国旗の画像にカーソルを合わせると、ポップアップウィンドウに国のフルネームが表示されます。
この方法は簡単ですが、リモートDNSサーバー上の情報を操作する場合でも、フィッシングサイトの兆候を識別することができます。 もちろん、攻撃者のサイトが元のサイトと同じ国にある場合、この方法で偽物を検出することはできません。 農業攻撃のもう1つの特徴は、原則として、複数のサイト(たとえば、異なる銀行のサイトや人気のあるソーシャルネットワーク)が一度にリダイレクトされることです。 この場合、ほとんどすべての場合、物理的にすべての偽のWebサイトは同じWebサーバー上にあります。 したがって、OdnoklassnikiとVkontakteのWebサイトで同じIPアドレスが表示される場合、これは悪意のあるリダイレクトの明確な兆候です。 そのため、Trojan.Win32.QHost.mccはユーザーをソーシャルネットワーク「Odnoklassniki」、「VKontakte」、メールサービス「Yandex.Mail」、「Ramber.Mail」の偽サイトにリダイレクトします。 同時に、これらのすべてのサイトは同じIPアドレスにあります。これは、Firefoxブラウザの「 Show IP 」拡張機能を使用して簡単に判断できます (図を参照)
説明されている方法は非常に簡単で、費用はかかりません:)。 他の保護方法+薬物攻撃を実装する方法は特別なレビュー記事で見つけることができます。