＊本文只能在《好奇心日报》发布，即使我们允许了也不许转载＊

黑客为了盗取用户信息、仿冒大公司网站的案例层出不穷，但是公司错把外链指向假网站的新闻却不多见。

Equifax 就犯了这样的错误。最近，软件工程师尼克·斯威廷（Nick Sweeting）仿冒 Equifax（一家美国信用报告公司，译注） 官方网页建立了一个虚假网站 securityequifax2017.com。但实际上，正确的网址应为 equifaxsecurity2017.com，它是 Equifax 为此前的信息泄露危机新开设的网站，这起事件或已导致 1.43 亿美国人的信息外泄。然而，Equifax 的 Twitter 账号竟然推送了多条消息，把假的钓鱼网站地址发给了消费者。乌龙事件公开后，他们才删除了这些消息。

截至上周三下午，Chrome、Firefox 和 Safari 浏览器均已屏蔽了假网站，斯威廷随后也撤下了网页。据他透露，网站关闭时已经获得了约 20 万点击量。

Equifax 为用户信息泄露事件建立的网站（左）和假的网站（右）。一名软件工程师创建了该虚假网站，希望Equifax 的网络安全漏洞能引起关注。

不过好在斯威廷写明了自己是假冒网站，所以并未有人受到损失。假网页布局和原版一模一样，连顶部提示也完全相同，上面写着：“防范身份信息盗用、监控您的信用档案，请点击此处免费注册。”但是假网站的大幅标题有所不同，斯威廷写道：“网络安全事件和重要消费者信息完全是假的。为什么 Equifax 的域名这么容易被钓鱼网站仿冒？”

黑客很容易就能创建虚假 Equifax 页面，如果当真有人在钓鱼网站上注册了假的身份防盗服务，并提供了姓名和社会保障号码的后 6 位数字，那么后果不堪设想。（斯威廷假网站上的注册页面不可用，所以网站不会保存用户提交的信息。）

他们不仅推送了假的链接，而且推送了 3 次。#Equihax

斯威廷在一封邮件中表示，他创建假冒网站完全是为了引起人们重视，因为 Equifax的安全措施实在太薄弱了。他写道：“Equifax 的网站实在太容易仿冒了。我只用了 20 分钟就完成了，我敢保证已经有人搭建了真的恶意钓鱼网站。”

“人们应当呼吁 Equifax 换一个更可靠的域名，”他补充道，“我希望引起大家的重视，既然只需 10 美元就能建个站，我就着手行动了。”

周三，Equifax 在一份简短的声明中表示，公司已经删除了所有包含假冒链接的消息。声明写道：“很抱歉给您带来了困惑。请消费者警惕仿冒 Equifax 的虚假网站，正确的网址是https://www.equifaxsecurity2017.com，您可以前往此网站了解更多信息，并免费注册信用监控服务，我们公司的主页则是 equifax.com。其它宣称由 Equifax 运营的网站如非来自以上两个页面，请务必谨慎访问。”

当被问及 Equifax 为何新建了独立网站，而非在 equifax.com 下创建子域名时，公司发言人玛丽萨·萨尔西内斯（Marisa Salcines）未能予以回应。

网络安全专家表示，新建域名是个重大失误。黑客无法在 equifax.com 域名下新建网页，所以如果公司网站能托管在那里，用户就可以轻易分辨真假。

卡内基梅隆大学（Carnegie Mellon University）信息系统专业教授拉胡尔·特朗（Rahul Telang）表示：“显然一开始就应该这么做，只要在官网下建立一个子域名，那么有人想仿冒的话，就很容易识破了。”相反，equifaxsecurity2017.com 这个网站看起来一点也不正规。特朗教授称自己第一眼都无法确定真伪，不知道在这个网站上提交个人信息是否安全。

斯威廷在邮件中解释说，只需使用 Linux 命令“wget”就可以下载网站全部内容，“包括所有图片、HTML 文档和 CSS 文档等。”

“使用 wget 命令就能复制下整个网站，再花 5 美元租用一台服务器，把复制好的网页放上去，整个过程极其简单。我的服务器目前采用 SSL 认证，和 Equifax 真实的站点相同，所以从认证角度而言，用户根本无法区分真的站点和我的服务器。”

特朗教授认为，Equifax 的做法表明其从未料想到数据会被泄露，也从未对此有所防范。他说：“如果没有应急预案，那就可能发生各种意外。Equifax 就是很好的例子。”

Equifax 错误推送的 Twitter 消息均以“-Tim”结尾，或许代表了发布消息的雇员名字。Equifax 发言人并未透露公司是否会对当事人进行处罚，但斯威廷表示自己不希望涉事员工因此被解雇。

“他们很可能只是用 Google 搜索了网址，结果找到了假的网站，”他说道，“真正应该负责的是那些最初决定建立不正规网站的人。”