钓鱼网站实验总结_网站钓鱼攻击实验报告

为什么钓鱼网站可以检查到QQ 害的我差点疑问是真的

为什么钓鱼网站可以检查到QQ 害的我差点疑问是真的

首先你要明白的网站的组成的部分是什么，其次你只需要将其中任何一种程式码放入你网站，就可以检视到IP，PV，UV，跳出率，停留时间，浏览页面，转化率，使用者的系统，地区，浏览器，解析度等……更何况你一个QQ

什么是QQ钓鱼网站

“QQ钓鱼网站”是一种用QQ网路欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站伺服器程式上的漏洞在站点的某些网页中插入危险的HTML程式码，以此来骗取使用者银行或信用卡账号、密码等私人资料。

它一般通过电子邮件传播，此类邮件中一个经过伪装的连结将收件人联到钓鱼网站。钓鱼网站的页面与真实网站介面完全一致，要求访问者提交账号和密码。一般来说钓鱼网站结构很简单，只有一个或几个页面，URL和真实网站有细微差别。

老哥帮忙看下真是真的还是钓鱼网站

可以装个电脑管家在电脑上面

然后开启工具箱，可以看到有一个查询的功能

在里面可以查询开启的网页连结是否是属于安全的有没有病毒

钓鱼网站的危害

　钓鱼网站的危害

目前，网路钓鱼已经形成一个“钓鱼网站原始码编写——销售——建立假银行、假QQ网站，实施钓鱼欺诈——骗钱”的完整产业链。只要有人购买，黑客可以在一天之内建立起数百个钓鱼网站。由于绝大多数钓鱼网站无木马病毒或恶意程式码，所以安全厂商通过技术手段很难发现这些网站，一不小心，便可能造成个人资讯乃至大量财富的流失。

钓鱼网站的威胁并不仅限于在网上，如今很多钓鱼活动结合了手机简讯和语音电话等主动出击的方式，把那些本来不熟悉网际网路的人也拉下水，难免就有粗心大意又贪便宜的人们会上当。据此前一项媒体报道，一位大学生竟然连续3天陷入3个不同的中奖钓鱼骗局，一共损失1.8万元。

易返云商，是真的吗？是不是钓鱼网站？

不属于钓鱼网站。钓鱼网站通常指伪装成银行及电子商务，窃取使用者提交的银行帐号、密码等私密资讯的网站.易返云商有正规公司执照和国家工信部的备案号.我帮你上网查了下,这个网站属于电商交易平台.不过个人感觉不是很成熟, 不过这个是新生事物,在国家没有明确表示它不合法前,是否值得去做要靠个人的理性判断.即使做也不要把全部身家孤注一掷.说是前期保证赚钱，可以试试水什么的，如果确实敢的话

折八百是真的吗？不会是钓鱼网站吧？

不是钓鱼网站，不过一般般，不咋地，我现在用得利趣网，挺好玩的，还能抽奖

什么是钓鱼网站

就是骗人的

会盗取你的密码之类的

有的还会骗钱

钓鱼网站通常是指伪装成银行及电子商务等网站，主要危害是窃取使用者提交的银行帐号、密码等私密资讯。

网路钓鱼是通过大量传送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感资讯（如使用者名称、口令、帐号 ID 、 ATM PIN 码或信用卡详细资讯）的一种攻击方式。最典型的网路钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感资讯，通常这个攻击过程不会让受害者警觉。这些个人资讯对黑客们具有非常大的吸引力，因为这些资讯使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受显著的经济损失或全部个人资讯被窃取并用于犯罪的目的。这篇“了解你的敌人”文章旨在基于 德国蜜网专案组 和 英国蜜网专案组 所蒐集到的攻击资料给出网路钓鱼攻击的一些实际案例分析。这篇文章关注于由蜜网专案组在实际环境中发现的真实存在的网路钓鱼攻击案例，但不会覆盖所有可能存在的网路钓鱼攻击方法和技术。攻击者也在不断地进行技术创新和发展，目前也应该有（本文未提及的）新的网路钓鱼技术已经在开发中，甚至使用中。

在给出一个简要的引言和背景介绍后，我们将回顾钓鱼者实际使用的技术和工具，给出使用蜜网技术捕获真实世界中的网路钓鱼攻击的三个实验型研究的案例。这些攻击案例将详细地进行描述，包括系统入侵、钓鱼网站架设、讯息传播和资料收集等阶段。随后，将对其中普遍应用的技术及网路钓鱼、垃圾邮件和僵尸网路等技术进行融合的趋势给出分析。钓鱼者使用恶意软体进行自动化地 Email 地址收集和垃圾邮件传送的案例也将被回顾，同时我们也将展示我们在网路扫描技术及被攻陷主机如何被用于传播钓鱼邮件和其他垃圾邮件上的发现。最后，我们对本文给出结论，包括我们在最近 6 个月内获得的经验，以及我们建议的进一步研究的客体。

这篇文章包括了丰富的支援性资讯，提供了包含特定的网路钓鱼攻击案例更详细资料的连结。最后宣告一下，在研究过程中，我们没有收集任何机密性的个人资料。在一些案例中，我们与被涉及网路钓鱼攻击的组织进行了直接联络，或者将这些攻击相关的资料转交给当地的应急响应组织。

引言

欺骗别人给出口令或其他敏感资讯的方法在黑客界已经有一个悠久的历史。传统上，这种行为一般以社交工程的方式进行。在二十世纪九十年代，随着网际网路所连线的主机系统和使用者量的飞速增长，攻击者开始将这个过程自动化，从而攻击数量巨大的网际网路使用者群体。最早系统性地对这种攻击行为进行的研究工作在 1998 年由 Gordon 和 Chess 发表。（ Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Inter , presented at the Virus Bulletin Conference in Munich, Germany, October 1998 ） Gordon 和 Chess 研究针对 AOL （美国线上）的恶意软体，但实际上他们面对的是网路钓鱼的企图而不是他们所期望的特洛伊木马攻击。网路钓鱼 (Phishing) 这个词 (password harvesting fishing) 描述了通过欺骗手段获取敏感个人资讯如口令、信用卡详细资讯等的攻击方式，而欺骗手段一般是假冒成确实需要这些资讯的可信方。

穿上真的是钓鱼网站吗

可以装个电脑管家在电脑上面

然后开启工具箱，可以看到有一个查询的功能

在里面可以查询开启的网页连结是否是属于安全的有没有钓鱼

给各位解析一个让钉钉都中招的网络钓鱼攻击：同形异义字

同形异义字钓鱼攻击号称“几乎无法检测”，是最狡猾的钓鱼攻击！这种攻击产生的原因是国际化域名IDNs(Internationalized Domain Names)支持多语种域名，而其中一些非拉丁字符语种的字母与拉丁字符非常相似，字面看很难区分。关于同形异义字钓鱼攻击的相关技术，freebuf上之前已有文章介绍，这里就不再过多介绍这个技术，不清楚可以自行搜索.

0×01 腾讯、京东、支付宝、微博、淘宝已面临同形异义字钓鱼攻击

真有这么多网站面临威胁？其实还不止，还有爱奇异、小米……

目前发现的威胁都是通过西里尔字母来进行混淆

上图是西里尔字母表，我们可以发现有不少字母与拉丁字母相识，这就是为什么用西里尔字母来进行混淆的原因

浏览器会通过Punycode来编码非拉丁字符的域名，编码后就可以避免产生混淆，但发现如果域名的一个字段里所有字符都是同一种语言，就不会进行编码（之前freebuf上有篇文章可能是笔误，关于这点刚好说反了）。据说这个问题chrome已经修复了，并且google还给相关发现者2000美金的奖励。

但我还是发现chrome有时候编码了，有时候又没编码

比如上面看到的“淘宝”，并没有编码。后面要讲的钓鱼攻击对是否编码已经不重要，所以现在就不用深究这个问题

我们先从јԁ.com开始（这里的јԁ.com 已不等于 jd.com了，是不是认不出来有什么区别 ^_^）

我们尝试注册јԁ.com，先Punycode转码后再查询

јԁ.com    转码后   xn--e2a25a.com

在国内不允许注册Punycode转码后的域名

在国外的域名网站就可以正常查询了，这里显示的not available是指已经被注册了，而不是说Punycode转码域名不能注册。之前获得谷歌2000美金的安全人员就注册过аррӏе.com（xn--80ak6aa92e.com）这个域名

直接在浏览器中打开 јԁ.com （xn--e2a25a.com ）

目前域名还没被解析，来到了域名服务商提供的默认页面。

继续点击“了解如何才能拥有此域名”，可以看到明确说明此域名已经出售。

我们还可以再做个实验：

xiami.com虾米是阿里旗下的音乐网站，

我们查询西里尔字母的хіамі.com，这个域名就没有被注册，显示的available

хіамі.com   转码后   xn--80ayza2ec.com

不是所有的英文字母都有与之相似对应的西里尔字母

我尝试了一些可以用西里尔字母拼出的国内知名网站

ԚԚ.com   转码后   xn--x7aa.com  （腾讯）

ԛԛ.com   转码后    xn--y7aa.com （腾讯）

јԁ.com    转码后   xn--e2a25a.com （京东）

аӏірау.com    转码后   xn--80aa1cn6g67a.com （支付宝）

іԛіуі.com    转码后   xn--s1a1bab69g.com （爱奇艺）

ТаоЬао.com    转码后   xn--80aa5bbq6d.com （淘宝）

ԝеіЬо.com    转码后   xn--e1as5bzb58e.com （微博）

ЅО.com    转码后   xn--n1a9b.com （360搜索）

Мі.com    转码后   xn--l1a6c.com （小米）

显示全部已被注册

又尝试了部分以上可以用大小写混淆的形式

Ӏԛіуі.com   转码后   xn--s1a1bb53bvo.com （爱奇艺）

іԚіуі.com   转码后   xn--s1a1bab19g.com （爱奇艺）

іԚіҮі.com    转码后   xn--c2aaa96axr.com （爱奇艺）

ԜеіЬо.com    转码后   xn--e1as5bzb08e.com （微博）

ТАОВАО.com    转码后   xn--80aaf1cct.com （淘宝）

同样显示已被注册

试了这么多域名都被注册了，可能我们会再次怀疑是系统问题或是巧合，我在上面的ТАОВАО后面再加个О试试

ТАОВАО О.com   转码后   xn--80aaf1ccaw.com

这个域名就没有被注册了，所以不得不怀疑以上的域名是被刻意注册的

上图是јԁ.com（xn--e2a25a.com）的whois信息，whois信息被隐藏保护的，其他域名也类似或者提示无法显示或者有相关信息也无法追溯，只追溯到一个域名是国内安全圈的老司机注册的，这位可能是用来做研究

0×02 实施同形异义字钓鱼攻击，钉钉存在安全隐患

前面提到的chrome的漏洞就是浏览器地址栏没有进行Punycode转码，导致相似的文字可能产生混淆，存在钓鱼攻击的威胁。

我们这里不管google的这个漏洞有没有修复，换一个攻击思路：

一般内嵌手机APP的webview是没有地址栏的，所以转码也好，没转码也好，用户是看不到网址的

这里选了两个手机端最常见的即时聊天APP：

微信 和 钉钉

用域名：

ТаоВао.com    转码后   xn--80aaf1cct.com

在我自己的iphone上进行了试验：

在微信里，这样的域名无论是否加http前缀都不会自动识别为url，所以也无法点击。（像上面baidu.com识别为url的会显示为蓝色，就可以直接点击打开）

然后再在钉钉里进行相同的尝试

在钉钉里三种形式都自动识别为url，点击后就可以直接打开网址

按住手机屏幕下拉可以看到当前的url为 xn--80aaf1cct.com 即 ТаоВао.com

也就是说在钉钉里发起同形异义字钓鱼攻击很难防范，存在很大的安全风险。加之前面的分析，大量这样的钓鱼网址已被注册，随时可能面临威胁

这里就没再对其他的APP做实验，很可能或多或少都有这样的问题

0×03 结尾

按照惯例总有个结尾，这次就只说一句，希望马爸爸看到这篇文章，看是否也能给个奖励.

如何判断一个网站是不是钓鱼网站？

楼主你好

现在很多隐藏网站的，各种不安全。

建议不要自己去试验。完全可以要专业的人员帮我们查看，

楼主你可以到腾讯电脑管家那举报下，他有全国最大最全的钓鱼网站数据库，可以有效防止被骗。

打开腾讯电脑管家——反馈——举报可疑网站

工作人员会在几个工作日内，分析处理你所举报的网站，并尽快给你答复的。

多举报一个网站，互联网就多一分安全

什么是“钓鱼网站”有啥危害

钓鱼网站通常是指伪装成银行及电子商务等网站，主要危害是窃取用户提交的银行帐号、密码等私密信息。

网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。这篇“了解你的敌人”文章旨在基于 德国蜜网项目组 和 英国蜜网项目组 所搜集到的攻击数据给出网络钓鱼攻击的一些实际案例分析。这篇文章关注于由蜜网项目组在实际环境中发现的真实存在的网络钓鱼攻击案例，但不会覆盖所有可能存在的网络钓鱼攻击方法和技术。攻击者也在不断地进行技术创新和发展，目前也应该有（本文未提及的）新的网络钓鱼技术已经在开发中，甚至使用中。

在给出一个简要的引言和背景介绍后，我们将回顾钓鱼者实际使用的技术和工具，给出使用蜜网技术捕获真实世界中的网络钓鱼攻击的三个实验型研究的案例。这些攻击案例将详细地进行描述，包括系统入侵、钓鱼网站架设、消息传播和数据收集等阶段。随后，将对其中普遍应用的技术及网络钓鱼、垃圾邮件和僵尸网络等技术进行融合的趋势给出分析。钓鱼者使用恶意软件进行自动化地 Email 地址收集和垃圾邮件发送的案例也将被回顾，同时我们也将展示我们在网络扫描技术及被攻陷主机如何被用于传播钓鱼邮件和其他垃圾邮件上的发现。最后，我们对本文给出结论，包括我们在最近 6 个月内获得的经验，以及我们建议的进一步研究的客体。

这篇文章包括了丰富的支持性信息，提供了包含特定的网络钓鱼攻击案例更详细数据的链接。最后声明一下，在研究过程中，我们没有收集任何机密性的个人数据。在一些案例中，我们与被涉及网络钓鱼攻击的组织进行了直接联系，或者将这些攻击相关的数据转交给当地的应急响应组织。

引言

欺骗别人给出口令或其他敏感信息的方法在黑客界已经有一个悠久的历史。传统上，这种行为一般以社交工程的方式进行。在二十世纪九十年代，随着互联网所连接的主机系统和用户量的飞速增长，攻击者开始将这个过程自动化，从而攻击数量巨大的互联网用户群体。最早系统性地对这种攻击行为进行的研究工作在 1998 年由 Gordon 和 Chess 发表。（ Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet , presented at the Virus Bulletin Conference in Munich, Germany, October 1998 ） Gordon 和 Chess 研究针对 AOL （美国在线）的恶意软件，但实际上他们面对的是网络钓鱼的企图而不是他们所期望的特洛伊木马攻击。网络钓鱼 (Phishing) 这个词 (password harvesting fishing) 描述了通过欺骗手段获取敏感个人信息如口令、信用卡详细信息等的攻击方式，而欺骗手段一般是假冒成确实需要这些信息的可信方。

参考资料：