黑式钓鱼总攻略
网络钓鱼(Phishing,与钓鱼的英语fishing发音相近,又名钓鱼式攻击)是通过电子邮件或即时通讯工具,大量发送声称来自于银行或其他知名机构的欺骗性信息,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、PIN码或信用卡详细信息)的一种攻击方式。
一、钓鱼攻击原理
最典型的网络钓鱼攻击是将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站(官方外观的假冒网站)上,冒充真正需要信息的值得信任的人,并欺诈性地获取收信人在此网站上输入的个人敏感信息(比如口令和信用卡细节),尽管在安全技术人员眼里“网络钓鱼”只是小菜一碟。但在最近几年中“网络钓鱼”在全国范围内变得非常猖獗,数量急剧攀升。危险漫步就在此为大家介绍以下几种常见的“网络钓鱼”手法,希望广大网民在进行网络冲浪时,能提高自我防范意识,并格外警惕落入“网络钓鱼”诈骗陷阱,钓鱼
攻击的原理。
二、TOPl邮件钓鱼攻击
邮件钓鱼的关键技术为匿名邮件技术与跨站技术。匿名邮件技术可以伪装任意邮件地址,例
如要伪装163邮件客服,就可以将邮件地址伪装成163邮箱,然后借助跨站技术伪装一个输入密码的页面,让用户信以为真,乖乖送上自己的密码。
小小的测试一下,邮件是否收到了呢?我们来登录我们的邮箱。
发送成功,那么下面开始说说如何利用匿名邮件,网络上很多类似伪造发件人的东东,比如“fastmail邮件特快专递”。原理都差不多只要最后达到我们的目的就好了。这里是危险漫步遇到的实例。
因为现在网民安全意识逐步提高,像这样的钩鱼链接太异常,很少有人会上当。常见的把钓鱼网站链接放入邮件,对于一般网民没什么效果,所以我们可采用迂回战术。对于一般邮件来说都可以进行HTML模式编辑,这里我们可以利用这种模式编辑。在HTML中利用超级链接“a标签”<a>用此代码来编写一个HTML超链接,放入邮箱是什么效果呢?
这样我们在配合适当的语言渲染下发送给受害者,效果就会好很多!又有人会问,现在很多网民都安装了相关安全软件,比如XX安全卫士、XX网盾等等都带反钓鱼功能,但是经过危险漫步分析,很多安全软件都是针对钓鱼网站URL加人数据库。如果用户打开这样的网站就会出现报警界面。那么如何突破呢?这个问题很好,危险漫步这里给出我个人思路“Url跳转漏洞”
三、Url跳转漏洞助钓鱼“一臂之力”
1、什么是Url跳转漏洞
此漏洞让用户访问恶意网站而不自知。因为Web应用程序接收到用户提交的URL参数后,没有对参数做“可信任URL”的验证,就向用户浏览器返回跳转到该URL的指令。
2、实例
一般来说这样URL大部分网民一眼看估计是google的网站URL,可能都会点击去看看。这样就更好帮助钓鱼攻击泛滥。
3、如何防御
综上所述基本都是危险漫步对邮件钓鱼攻击个人见解,如果有不到位的地方可以一起讨论。这里危险漫步告诉大家以下几种防范方法。
个人用户的建议:
(1)提高警惕,不登录不熟悉的网站,键入网站地址的时候要校对,以防输入错误误人狼窝,细心就可以发现一些破绽。
(2)不要打开陌生人的电子邮件,更不要轻信他人说教,特别是即时通讯工具上的传来的消息,很有可能是病毒发出的。
(3)安装杀毒软件并及时升级病毒知识库和操作系统补丁。
(4)将敏感信息输入隐私保护,打开个人防火墙。
(5)收到不明电子邮件时不要点击其中的任何链接。登录银行网站前,要留意浏览器地址栏,如果发现网页地址不能修改,最小化IE窗口后仍可看到浮在桌面上的网页地址等现象,请立即关闭IE窗口,以免账号密码被盗。
企业用户的建议:
(1)安装杀毒软件和防火墙。
(2)加强电脑安全管理,及时更新杀毒软件,升级操作系统补丁。
(3)加强员工安全意识,及时培训网络安全知识。
(4) 一旦发现有害网络,要及时在防火墙中屏蔽它。
(5)为避免被“冒名”,可以加大制作网站的难度。具体办法包括:不使用弹出式广告、不隐藏地址栏、不使用框架等。这种防范是必不可少的,因为一旦网站名称被“网络钓鱼”者利用的话,企业也会被卷进去,所以应该在泛滥前做好准备。
四、跨站技术滋生的钓鱼攻击
1、什么是跨站漏洞攻击
业界对跨站攻击的定义如下:“跨站攻击是指入侵者在远程WEB页面的HTML代码中,插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的恶意脚本就会执行。”由于HTML语言允许使用脚本进行简单交互,入侵者便通过技术手段在某个页面里插入一个恶意HTML代码,例如,论坛保存的用户信息(Cookie),由于Cookie保存了完整的用户名和密码资料,用户就会遭受安全损失。如这句简单的Javascript脚本就能轻易获取用户信息:aler(document.cookie),它会弹出一个包含用户信息的消息框。入侵者运用脚本就能把用户信息发送到他们自己的记录页面中,稍做分析便获取了用户的敏感信息。
2、跨站攻击是如何滋生钓鱼攻击的
相信大家肯定见过跨站也就是xss,有些朋友可能会不以为意,其实他危害还是相当大的。一般来说,还经常伴随着页面变形的情况。而所谓跨站脚本执行漏洞,也就是通过别人的网站达到攻击的效果,这种攻击能在一定程度上隐藏身份。虽然XSS漏洞攻击方法很多,但是我们今天主题是钓鱼攻击。
这是一个登陆表单,这里没有SQL注入,现在我们就可以利用当前发现的XSS漏洞开工了。我们需要的信息:
登陆表单”userslogin”
用户名文本域”userslogin.user”
密码文本域”useslogin.pass”
如果页面中包含登陆表单与搜索引擎,可以通过劫持提交的数据,使其发送到我们控制的远程主机上建立的网页,而非“somepage.php”。我们可以将恶意构造的URL链接发送给别人,让他们登陆,
现在我们已经知道接下来该怎么做了,代码我就不贴出来了,有需要的朋友可以找我要。
下面这段代码可以将登陆认证提交给在页面主体内容中创建的隐藏的iframe,并加载其它恶意PHP脚本,以获得用户名与密码并保存它们。老规矩要代码可以来找我。
这些代码很容易理解:获取登陆用户名与密码,并写入一个文件中。给合这两个恶意脚本,攻击者就可以利用这“小小”(管理员经常这样认为)的漏洞,获得重要的认证信息,使通过WEB程序验证成为可能,当然,这只是举个例子!
一般情况下直接进行类似alert(document.cookie)之类的攻击没有什么问题,但是有时CGI程序对用户的输入进行了一些处理,这时我们就需要使用一些小技巧来绕过这些限制。如果你对HTML语言比较熟悉的话,绕过这些限制应该不成问题。 (xss部分代码来源于网络版权归原作者所有)
3.如何防御跨站攻击
要避免受到跨站脚本执行漏洞的攻击,需要程序员和用户两方面共同努力:
程序员:
(1)过滤或转换用户提交数据中的HTML代码。
(2)限制用户提交数据的长度。
用户:
(1)不要轻易访问别人给你的链接。
(2)禁止浏览器运行JavaScript和ActiveX代码。
附:常见浏览器修改设置的位置为
Intemet Explorer:
工具-Internet选项-安全-Internet-自定义级别
工具-Internet选项一安全-Intranet-自定义级别
Opera:
文件——快速参数一允许使用Java
文件——快速速参数一允许使用插件
文件——快速速参数-允许使用JavaScript
五、软件钓鱼
软件钓鱼这种钓鱼方法没有前两种犀利,个人感觉有点鸡肋(守株待兔的感觉)。就是制造好一个软件然后发布在网络上,等待别人下载触发里面事件盗取了你的账号。
防范方法:
文章写到这里就要结束了,危险漫步还是要提醒一下软件钓鱼攻击,一般只存在于想对某游戏或者某应用程序进行投机取巧的操作,所以危险漫步建议,尽量少用外挂和来源模糊诱惑力高的软件,天下没有免费的午餐。有需要输入个人信息的(比如游戏的账号密码,手机号码等)更需要慎重。