Nếu một địa chỉ IP đƣợc sử dụng nhƣ một sự thay thế của tên miền trong URL, ví dụ nhƣ "http://125.98.3.123/fake.html", ngƣời dùng cĩ thể chắc chắn rằng ai đĩ đang cố gắng để ăn cắp thơng tin cá nhân của họ. Đơi khi, các địa chỉ IP đƣợc thậm chí chuyển sang mã thập lục phân nhƣ trong liên kết sau: “http://0x58.0xCC.0xCA.0x62/2/paypal.ca/index.html”.
Rule: IF {
3.2.1.2. Sử dụng URL dài để ẩn thơng tin
Những kẻ lừa đảo cĩ thể sử dụng URL dài để ẩn một phần thơng tin đáng ngờ trong thanh địa chỉ.
Ví dụ
http://federmacedoadv.com.br/3f/aze/ab51e2e319e51502f416dbe46b773a5e/? cmd=_home&dispatch=11004d58f5b74f8dc1e7c2e8dd4105e811004d58 f5b74f8dc1e7c2e8dd4105e8@phishing.website.html
Để đảm bảo tính chính xác của bộ CSDL, các nhà khoa học đã tính tốn chiều dài của URL trong các trang web và tìm ra một chiều dài URL trung bình.
Kết quả cho thấy rằng nếu chiều dài của URL là lớn hơn hoặc bằng 54 ký tự thì URL này là lừa đảo. Bằng phƣơng pháp thống kê, các nhà khoa học đã tìm thấy 1.220 URL độ dài tƣơng đƣơng với 54 hoặc nhiều hơn chiếm 48,8% trong tổng số kích thƣớc tập dữ liệu.
Rule: IF{
Các nhà khoa học đã cập nhật quy tắc tính năng này bằng cách sử dụng một phƣơng pháp dựa trên tần số do đĩ cải thiện độ chính xác của nĩ.
3.2.1.3. Sử dụng d ch vụ rút ngắn URL
Rút ngắn URL là một phƣơng pháp trên "World Wide Web", trong đĩ một URL cĩ thể đƣợc rút gọn hơn đáng kể về chiều dài mà vẫn cĩ thể đến các trang web yêu cầu. Điều này đƣợc thực hiện bằng một phƣơng tiện cĩ tên là
"HTTP Redirect" trên một tên miền ngắn, mà liên kết đến các trang web chứa URL dài. Ví dụ, URL "http://portal.hud.ac.uk/" cĩ thể đƣợc rút ngắn để "bit.ly/19DXSk4". Rule: IF{ 3.2.1.4. URL cĩ chứa ký tự @
Sử dụng ký hiệu "@" trong URL khiến trình duyệt bỏ qua tất cả mọi thứ trƣớc "@" và truy cập đến địa chỉ thật sự thƣờng sau biểu tƣợng "@".
Rule: IF {
3.2.1.5. Chuyển hướng sử dụng ký hiệu “//”
Sự tồn tại của ký hiệu "//" trong đƣờng dẫn URL cĩ nghĩa là ngƣời dùng sẽ đƣợc chuyển hƣớng đến một trang web khác. Một ví dụ về một URL chuyển hƣớng là: "http://www.legitimate.com//http://www.phishing.com". Các nhà khoa học đã tìm ra vị trí nơi mà các "//" xuất hiện và thấy rằng nếu các URL bắt đầu với "HTTP" thì "//" sẽ xuất hiện ở vị trí thứ sáu. Tuy nhiên, nếu các URL sử dụng "HTTPS" thì "//" sẽ xuất hiện ở vị trí thứ bảy.
Rule: IF
{ //"
3.2.1.6. Thêm tiền tố hoặc hậu tố “-” vào tên miền
Các biểu tƣợng dấu gạch ngang là rất hiếm khi đƣợc sử dụng trong các URL hợp pháp. Những kẻ lừa đảo cĩ xu hƣớng thêm tiền tố hoặc hậu tố ngăn cách bởi (-) với tên miền để ngƣời dùng cảm thấy rằng họ đang sử dụng với một trang web hợp pháp. Ví dụ http://www.Confirme-paypal.com/.
Rule:IF { ( )
Hãy giả sử chúng ta cĩ liên kết sau đây: http://www.hud.ac.uk/students/. Một tên miền cĩ thể bao gồm các mã quốc gia hay cịn gọi là tên miền cấp cao (ccTLD), mà trong ví dụ trên là "uk". "ac" một phần là viết tắt cho "học thuật" kết hợp với "ac.uk" đƣợc gọi là tên miền cấp hai (SLD) và "hud" là tên thực của tên miền. Để tìm ra tính năng này, trƣớc hết chúng ta cần phải bỏ (www.) từ URL sau đĩ chúng ta phải loại bỏ (ccTLD) nếu nĩ tồn tại. Cuối cùng, đếm các dấu chấm cịn lại. Nếu số lƣợng các dấu chấm là lớn hơn một thì URL đƣợc phân loại là "đáng ngờ" vì nĩ cĩ một tên miền phụ. Tuy nhiên, nếu các dấu chấm là lớn hơn hai, nĩ đƣợc phân loại là "lừa đảo" vì nĩ sẽ cĩ nhiều tên miền phụ. Nếu khơng, thì URL này là “hợp pháp”.
Rule:IF {
3.2.1.8. HTTPS (Hypertext Transfer Protocol với Secure Sockets Layer)
Sự tồn tại của HTTPS là rất quan trọng trong việc kết luận trang web là hợp pháp, nhƣng điều này rõ ràng là khơng đủ. Các tác giả trong (Mohammed, Thabtah và McCluskey 2012) và (Mohammed, Thabtah và McClusky 2013) đã kiểm tra giấy chứng nhận HTTPS bao gồm cả mức độ phát hành chứng chỉ tin tƣởng, và tuổi chứng chứng nhận. Tổ chức cấp chứng nhận đĩ luơn nằm trong danh sách những cái tên đáng tin cậy hàng đầu bao gồm: "GeoTrust, GoDaddy, Network Solutions, Thawte, Comodo, Doster và VeriSign". Hơn nữa, bằng cách kiểm tra ra bộ dữ liệu, chúng tơi thấy rằng, độ tuổi tối thiểu của một giấy chứng nhận cĩ uy tín là hai năm.
Rule:IF
{
3.2.1.9. Thời gian đăng ký tên miền
Dựa trên thực tế là một trang web lừa đảo sống trong một khoảng thời gian ngắn, nên “tuổi thọ” của tên miền cũng là một lĩnh vực đáng tin cậy vì những trang web hợp pháp thƣờng xuyên trả tiền cho việc duy trì tên miền.
Trong bộ dữ liệu, các nhà khoa học thấy rằng tuổi thọ dài nhất của một tên miền lừa đảo đƣợc sử dụng trong một năm.
Rule:IF{
3.2.1.10. Favicon
Favicon là một hình ảnh đồ họa (biểu tƣợng) liên kết với một trang web cụ thể. Nhiều trình duyệt web hiển thị favicon nhƣ một lời nhắc nhở trực quan về danh tính của trang web trong thanh địa chỉ. Nếu favicon đƣợc tải từ một miền khác trên thanh địa chỉ, thì các trang web cĩ thể đƣợc coi là trang web lừa đảo.
Rule:IF{
3.2.1.11. Sử dụng cổng Non-Standard
Tính năng này rất hữu ích trong việc chứng thực nếu một dịch vụ đƣợc sử dụng (ví dụ HTTP) đƣợc tải trên một máy chủ cụ thể. Mục đích của nĩ là kiểm sốt sự xâm nhập và nĩ sẽ chỉ mở các cổng mà ngƣời dùng cần. Một số bức tƣờng lửa proxy và Network Address Translation (NAT) của các máy chủ sẽ mặc định chặn tất cả hoặc hầu hết các cổng và chỉ mở những cổng ngƣời dùng lựa chọn. Nếu tất cả các cổng đƣợc mở, những kẻ lừa đảo cĩ thể chạy hầu hết các dịch vụ mà họ muốn và dẫn đến thơng tin ngƣời dùng đang bị đe dọa. Các cổng quan trọng nhất và tình trạng sử dụng đƣợc thể hiện trong Bảng dƣới đây.
Rule:IF{Port # is of the
PORT Service Meaning Preferred
Status
21 FTP Transfer files from one host to another Close
22 SSH Secure File Transfer Protocol Close
23 Telnet provide a bidirectional interactive text-
oriented communication
80 HTTP Hyper test transfer protocol Open
443 HTTPS Hypertext transfer protocol secured Open
445 SMB Providing shared access to files, printers,
serial ports
Close
1433 MSSQL Store and retrieve data as requested by other
software applications
Close
1521 ORACLE Access oracle database from web. Close
3306 MySQL Access MySQL database from web. Close
3389 Remote
Desktop
allow remote access and remote collaboration
Close
3.2.1.12. Sự hiện diện của “HTTP” trong một phần của tên miền
Những kẻ lừa đảo cĩ thể thêm "HTTPS" vào một phần tên miền của một URL để lừa ngƣời sử dụng. Ví dụ: http://https-www-paypal-it-webapps- mpp-home.soft-hair.com/.
Rule:IF{Using