网络钓鱼常见攻击手段_钓鱼网站攻击实例

什么是网络安全中经常提到的钓鱼网站?

钓鱼网站通常是指伪装成银行及电子商务等网站，主要危害是窃取用户提交的银行帐号、密码等私密信息。

网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。这篇“了解你的敌人”文章旨在基于 德国蜜网项目组 和英国蜜网项目组所搜集到的攻击数据给出网络钓鱼攻击的一些实际案例分析。这篇文章关注于由蜜网项目组在实际环境中发现的真实存在的网络钓鱼攻击案例，但不会覆盖所有可能存在的网络钓鱼攻击方法和技术。攻击者也在不断地进行技术创新和发展，目前也应该有（本文未提及的）新的网络钓鱼技术已经在开发中，甚至使用中。

在给出一个简要的引言和背景介绍后，我们将回顾钓鱼者实际使用的技术和工具，给出使用蜜网技术捕获真实世界中的网络钓鱼攻击的三个实验型研究的案例。这些攻击案例将详细地进行描述，包括系统入侵、钓鱼网站架设、消息传播和数据收集等阶段。随后，将对其中普遍应用的技术及网络钓鱼、垃圾邮件和僵尸网络等技术进行融合的趋势给出分析。钓鱼者使用恶意软件进行自动化地 Email 地址收集和垃圾邮件发送的案例也将被回顾，同时我们也将展示我们在网络扫描技术及被攻陷主机如何被用于传播钓鱼邮件和其他垃圾邮件上的发现。最后，我们对本文给出结论，包括我们在最近 6 个月内获得的经验，以及我们建议的进一步研究的客体。

这篇文章包括了丰富的支持性信息，提供了包含特定的网络钓鱼攻击案例更详细数据的链接。最后声明一下，在研究过程中，我们没有收集任何机密性的个人数据。在一些案例中，我们与被涉及网络钓鱼攻击的组织进行了直接联系，或者将这些攻击相关的数据转交给当地的应急响应组织。

引言

欺骗别人给出口令或其他敏感信息的方法在黑客界已经有一个悠久的历史。传统上，这种行为一般以社交工程的方式进行。在二十世纪九十年代，随着互联网所连接的主机系统和用户量的飞速增长，攻击者开始将这个过程自动化，从而攻击数量巨大的互联网用户群体。最早系统性地对这种攻击行为进行的研究工作在 1998 年由 Gordon 和 Chess 发表。（ Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet , presented at the Virus Bulletin Conference in Munich, Germany, October 1998 ） Gordon 和 Chess 研究针对 AOL （美国在线）的恶意软件，但实际上他们面对的是网络钓鱼的企图而不是他们所期望的特洛伊木马攻击。网络钓鱼 (Phishing) 这个词 (password harvesting fishing) 描述了通过欺骗手段获取敏感个人信息如口令、信用卡详细信息等的攻击方式，而欺骗手段一般是假冒成确实需要这些信息的可信方。

诈骗的网址输入身份证银行卡怎么办

收到网络诈骗信息填了身份证号码和银行卡，只要不汇款或者泄露银行卡密码这样不会有事。遇到此事建议不要理睬或者直接报警处理，属于公安机关受理范围。诈骗，是指以非法占有为目的，用虚构事实或者隐瞒真相的方法，骗取款额较大的公私财物的行为。

《中华人民共和国治安管理处罚法》第二条 扰乱公共秩序，妨害公共安全，侵犯人身权利、财产权利，妨害社会管理，具有社会危害性，依照《中华人民共和国刑法》的规定构成犯罪的，依法追究刑事责任；尚不够刑事处罚的，由公安机关依照本法给予治安管理处罚。

最典型的网络钓鱼攻击过程如下：

首先将用户引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，然后获取用户在该钓鱼网站上输入的个人敏感信息，例如银行帐号、银行密码等。通常这个攻击过程不会让受害者警觉。

这些个人信息对钓鱼网站持有者具有非常大的吸引力，通过使用窃取到的个人信息，他们可以假冒受害者进行欺诈性金融交易，获得极大的经济利益，而受害者们却因此而遭受到巨大的经济损失，非但如此，被窃取的个人信息还可能被用于其他非法活动。

CSRF实例

CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统，类似于钓鱼。如用户当前已经登录了邮箱，或bbs，同时用户又在使用另外一个，已经被你控制的站点，我们姑且叫它钓鱼网站。这个网站上面可能因为某个图片吸引你，你去点击一下，此时可能就会触发一个js的点击事件，构造一个bbs发帖的请求，去往你的bbs发帖，由于当前你的浏览器状态已经是登陆状态，所以session登陆cookie信息都会跟正常的请求一样，纯天然的利用当前的登陆状态，让用户在不知情的情况下，帮你发帖或干其他事情。

一句话就是我们利用CSRF攻击就是借用用户的身份去执行用户的操作

先看一个例子（白帽子讲web安全），一个删除搜狐博客的例子，利用CSRF删除搜狐博客。

正常情况下，登陆搜狐博客后，只需请求这个url，就能把编号156713012的博客文章删除

我们尝试利用CSRF漏洞，删除编号为“156714243”的博客文章。这篇文章标题“test1”.

攻击者首先在自己的域构造一个页面：

其内容;

使用了一个img标签，其地址指向了删除博客文章的链接。

攻击者诱使目标用户，也就是博客主人“test1test”访问这个页面：

该用户会看到一张无法显示的图片，也就是img标签创造的图片，但无法显示，然后回头看搜狐博客：

发现原来存在的标题为‘’test1”的文章，已被删除。

这个删除博客攻击文章的请求，是攻击者伪造的，所以这种攻击就叫做“跨站点请求伪造”。

下面仿照以上做一个实例，这里利用自己的简单留言板实施一次CSRF攻击

前面我们已经讲过了，CSRF攻击是在用户登录状态下，利用用户身份执行操作，这里就用到了cookie,当用户正在访问留言板时，诱导用户去点开攻击者伪造的一个网页（有删除留言的指令），用户点开之后便带着原来的留言板cookie去执行删除留言这条指令，当用户返回之后发现原来留言信息没了。

这是登录界面，输入用户名进去后

看一下用户的cookie吧

当然这里是自己的cookie，已经能看到了。

可以看到是post请求以表单的形式提交到delete.php，执行删除操作找到表单提交的name="ids",也就是ids=1时，我们可以删除id=1的留言，因为是POST请求，不能用标签的src属性，所以需要构建一个POST请求。

攻击者在自己的服务器中建立一个HTML文件csrf.html，用JS自动提交POST请求的form表单

这个只是本地测试，现在删除第三条留言，这个时候只要诱导用户去访问 就会删除该留言，至于用什么方法，需要攻击者去精心构造了，只要想象力丰富，就能发挥CSRF强大的破坏力。

当用户在登录留言板状态下去访问该网页，，，，

原来的留言没了

这就是基本的CSRF攻击。。

网络钓鱼的案例

早期的案例主要在美国发生，但随着亚洲地区的因特网服务日渐普遍，有关攻击亦开始在亚洲各地出现。从外观看，与真正的银行网站无异，但却在用户以为是真正的银行网站而使用网络银行等服务时将用户的账号及密码窃取，从而使用户蒙受损失。防止在这类网站受害的最好办法就是记住正宗网站的网址，并当链接到一个银行网站时，对网址进行仔细对比。在2003年，于香港亦有多宗案例，指有网站假冒并尚未开设网上银行服务的银行，利用虚假的网站引诱客户在网上进行转帐，但其实把资金转往网站开设者的户口内。而从2004年开始，有关诈骗亦开始在中国大陆出现，曾出现过多起假冒银行网站，比如假冒的中国工商银行网站。