网络钓鱼的特点与形式

网络钓鱼的特点与形式

【摘要】本文阐述了网络钓鱼的特点，并分析了网络钓鱼的主要表现形式。

【关键词】网络钓鱼；Phishing；网上银行；钓鱼邮件；钓鱼网站

网络钓鱼（Phishing）攻击是社会工程学攻击的一种形式。网络钓鱼攻击者使用电子邮件或恶意网页来请求获得个人信息。攻击者会假借有信誉的公司或者机构的名义发出电子邮件，这些电子邮件常常称有问题发生并请求获得用户的账号信息。当用户按要求回复了相关的资料，攻击者就能够利用这些资料进入用户的账号。

1 网络钓鱼的特点

“网络钓鱼”作为一种网络诈骗手段，主要是利用人的心理来实现诈骗。攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户和口令、社保编号等内容。近几年，国内接连发生利用伪装成银行网站主页的恶意网站进行诈骗钱财的事件。

网络钓鱼是基于人性贪婪以及容易取信于人的心理因素来进行攻击的，有如下特点：

1.1 欺骗性。钓鱼者利用自建站点模仿被钓网站，并结合含有近似域名的网址来加强真实程度。更有甚者会先侵入一台服务器，在服务器上不断重复地做相同的事情，让自己可以更好地脱身，逃避追踪以及调查。

1.2 针对性。通常与钓鱼者紧密相关的都是一些银行、商业机构等的网站，随着互联网的飞速发展，电子商务、网上购物已经成为与网民息息相关的服务。庞大的网络资金流动，带来了很多的新兴行业，也带来了潜在的安全隐患。

1.3 多样性。网络钓鱼是一种针对人性弱点的攻击手法，钓鱼者不会千篇一律地去进行攻击，不管是网络还是现实中到处都存在钓鱼式攻击的影子。钓鱼者不会局限于常用的伪造网站、虚假邮件等手法，而是会结合更多的便民服务，以容易接受的形式去诱骗被钓者，从而在更短的时间内获得更好的效果。

1.4 可识别性。网络钓鱼并不是无懈可击，更不是没有一点破绽。从钓鱼者的角度出发，钓鱼者本身会利用最少的资源去构造自己的钓鱼网站，因为无法去利用真实网站独有的一些资源（如域名、U盾、数字验证等）。因此，在伪造网站方面，会利用近似或者类似的方法来进行欺骗，通常我们可以查看伪造网站，根据经验去识别其真实性。

2 钓鱼邮件

曾经通过发送恶意电子邮件而发动大范围攻击的网络罪犯，开始意识到针对那些聚集在网络社区中的小部分人发动攻击会更有效。向那些地址发送电子邮件，同时使电子邮件好像是目标用户的好友发出的，那么他们的攻击意图就很有可能得逞。钓鱼邮件的基本攻击流程如下：

2.1 钓鱼者入侵服务器，窃取用户的名字和邮件地址。早期的网络钓鱼者利用垃圾邮件将受害者引向伪造的互联网站点，这些站点由他们自己设计，看上去与合法的商业网站极其相似。很多人都曾收到过来自网络钓鱼者的所谓“紧急邮件”，他们自称是某个购物网站的客户代表，威胁说如果用户不登录他们所提供的某个伪造的网站并提供自己的个人信息，这位用户在购物网站的账号就有可能被封掉，当然很多用户都能识别这种骗局。现在网络钓鱼者往往通过远程攻击一些防护薄弱的服务器，获取客户名称的数据库，然后通过钓鱼邮件投送给明确的

目标。

2.2 钓鱼者发送有针对性的邮件。现在，钓鱼者发送的钓鱼邮件不是随机的垃圾邮件。他们在邮件中会写出用户名称，而不是以往的“尊敬的客户”之类。这样就更加有欺骗性，更容易获取客户的信任。这种针对性很强的攻击更加有效地利用了社会工程学原理。

2.3 受害用户访问假冒网址。受害用户被钓鱼邮件引导访问假冒网址，这种攻击的主要手段是IP地址欺骗、链接文字欺骗、Unicode编码欺骗等。

2.4 受害用户提供的密码和用户信息被钓鱼者获得。一旦受害用户被钓鱼邮件引导访问假冒网址，钓鱼者可以通过技术手段让不知情的用户输入自己的“User Name”和“Password”，然后，通过表单机制，让用户输入姓名、城市等一般信息，以及信用卡信息和密码。这是比较常见的一种欺骗方式，有些攻击者甚至编造公司信息和认证标志，其隐蔽性更强。此后，假冒网址将获得的受害用户信息发送给攻击者。

2.5 钓鱼者使用受害用户的身份进入其他网络服务器。钓鱼者会使用受害用户的身份进入其他网络服务器（如购物网站等），进行消费或者在网络上发送反动的、黄色的信息。

3 钓鱼网站

在Web欺骗中，攻击者能以受攻击者的名义将错误或者易于误解的数据发送到真正的Web服务器，以及以任何Web服务器的名义给被攻击者发送数据。在欺骗攻击中，攻击者创造一个虚假的Web环境，以诱使受攻击者进入并且做出缺乏安全考虑的决策。

人们利用计算机系统完成具有安全要求的决策时往往也是基于其所见的。例如，在访问网上银行时，员工可能根据员工所见的银行Web页面，从该行的账户中提取或存入一定数量的存款。因为员工相信自己所访问的Web页面就是所需要的银行的Web页面，无论是页面的外观、URL地址，还是其他一些相关内容，都让员工感到非常熟悉，没有理由不相信。

员工在工作中使用自己的账号访问社交网站，不仅影响工作效率，而且有些用户还会在诱骗下访问假冒的社交网站。这个假冒的社交网站捕获敲击键盘的动作，窃取包括用来访问企业网络和敏感数据库的登录名和口令。如果在工作中或者在能够访问企业网络的家庭计算机上随意访问这种社交网站，都会造成破坏，从而导致身份被盗，有意或无意地向虚拟圈子中的人泄露公司的秘密信息。

此外，有些网络犯罪分子现在还利用社交网站作为一个通道，在这个网站上贴出虚假的网站链接，实施网络钓鱼，攻击者借此掌握受害者的用户名和口令，登录受害者的账户、查看其电子邮件和网络日记等。对于企业来说，最严重的危险来自于同样的登录信息使用的频繁程度。大多数用户常见的做法是无论登陆什么账户都是用相同的口令，如银行账户、电子邮件和即时消息账户等。

大量假冒著名网站的客户信息被攻击者恶意地发布在各大BBS中，借此将著名网站的用户和虚假的客户服务信息联系起来。相对于传统的电话诈骗攻击而言，这种新型的手法运用了搜索引擎优化技术的攻击而显得更为复杂。一旦用户使用惯用的搜索引擎，如Google或者百度搜索客户服务的相关信息时，从排名非常靠前的网页中获取的电话号码就是攻击者所发布的虚假信息。

攻击者通过结合垃圾邮件和虚假客服电话来发动此类攻击。首先，他们大量发送宣称邮件接收者中奖的垃圾邮件，这些邮件往往要求人们在回复邮件时提供详细的个人信息。当人们利用搜索引擎来确认类似的中奖信息是否属实时，那些