網(wǎng)絡釣魚主要用來騙取個人敏感信息，從而用于一些惡意目的。今天主要談釣魚用來做金融欺詐和身份盜竊的行為，包括對網(wǎng)銀、購物等欺詐行為。

隨著上網(wǎng)人群的增多，釣魚潛在目標范圍也更大，有三個主要的可利用的地方：

個人信息泄露：很多用戶在網(wǎng)上有意無意泄露了自己的個人信息，雖然用戶認為他沒有泄露過任何密碼，但在今天大數(shù)據(jù)的形勢下，掌握你其他信息，就可以爆破出密碼。

客戶敏感信息保護：很多網(wǎng)站安全保護措施薄弱，被黑客攻破拿到賬戶、訂單等信息用來欺詐。

犯罪分子技術進步：犯罪分子的技術也在不斷進步中，比如電子郵件欺詐、養(yǎng)號、DNS欺騙、客服回訪等更具有偽裝性的手段。對于一般用戶來說是很難防范的。

釣魚技術

早些時候，釣魚主要是使用電子郵件進行，冒充自己是一個正規(guī)的銀行、購物網(wǎng)站，要求用戶更換密碼、驗證賬戶等，這種方法到現(xiàn)在還在大規(guī)模使用。最近幾年，有一些新方法，比如偽裝成銀行有獎調(diào)查，要求提供你的銀行卡信息，同時偽造一個非常仿真的假網(wǎng)站釣魚。再比如專門針對賬戶信息的惡意軟件，尤其在手機端的安卓平臺上是重災區(qū)。

在今天，釣魚已經(jīng)成為一個完整的產(chǎn)業(yè)鏈，所有釣魚需要的工具和技術都有專業(yè)人員包裝提供好，包括自動采集郵件、發(fā)送釣魚郵件、釣魚網(wǎng)站托管、專門的惡意軟件等都有相應的工具，其管理后臺甚至超過一般的中小網(wǎng)站技術水平。總體上包括以下手段：

1、僵尸/僵尸網(wǎng)絡

所謂僵尸機器是指計算機被遠程控制，實際上可能通過IRC、HTTP等各種點對點協(xié)議實現(xiàn)控制，由于被遠程操縱，因此稱之為僵尸機器。當一批這樣的僵尸機器存在就稱之為僵尸網(wǎng)絡。僵尸網(wǎng)絡可以用來完成很多工作，包括發(fā)送郵件釣魚、WEB服務器釣魚、更新安裝惡意軟件、分布式拒絕服務、代理服務、刷各種活動、漏洞掃描、檢測等。僵尸機器的產(chǎn)生，大部分是由于郵件、文件共享、各種即時通訊傳播而形成的。

2、釣魚服務

我們曾經(jīng)打擊過一些釣魚網(wǎng)站，每個釣魚網(wǎng)站的背后，都有一些某某釣魚公司、某某軟件公司的存在，這些釣魚公司、軟件公司設計完成各類釣魚頁面，從各大銀行到各大電商、三方支付公司、各個電視臺、微博等，還提供偽造的電子郵件服務器，為方便管理釣魚，提供代理、短信通知，甚至提供釣魚網(wǎng)站托管業(yè)務。這些公司的存在，最大程度的減少了釣魚者的技術障礙，讓其關于與核心業(yè)務：詐騙。

3、技術欺騙

很多用戶也從電視報紙上受到各種提示和教育，但釣魚技術也在進步，包括url模糊化、瀏覽器漏洞利用、偽裝成各種視頻圖片的惡意文件、假基站、偽造電話號碼等。技術欺騙手段需要詳細的解釋一下：

(1)URL欺騙

URL欺騙的目的是讓用戶以為這是一個真網(wǎng)站，并且要在技術上簡單高效。最簡單的是http重定向，把惡意網(wǎng)站隱藏在合法鏈接里，這種釣魚欺騙比較容易檢測，當鼠標指向鏈接的時候在瀏覽器底部可以看到真實URL。第二種是圖片格式，圖片指向一個釣魚網(wǎng)站，和前面一樣也很容易檢測。第三種是替代編碼，把url變成十六進制，比如http://www.weibo.com,轉(zhuǎn)換后變成%68%74%74%70%3A%2F%2F%77%77%77%2E%77%65%69%62%6F%2E%63%6F%6D。，同樣也可以把IP地址192.168.1.1轉(zhuǎn)換成0xc0a80101，瀏覽器能夠解釋這兩種編碼，XSS攻擊里也常用這種手法。第四種則是類似的域名注冊，讓人看上去以為是合法網(wǎng)站，比如www.bank.com是真網(wǎng)站，而www-bank.com就是一個釣魚，類似的變換還有很多種。

(2)瀏覽器欺騙漏洞

一些漏洞可以利用WEB瀏覽器的問題混淆URL，甚至安裝惡意軟件。比如早年前IE的彈出窗口對象類型確認漏洞，攻擊者偽造一個彈出窗口，正好覆蓋住url地址欄，而這個窗口又用了一個合法的圖片來遮掩。再比如ActiveX跨域漏洞，用戶查看特定頁面時可以遠程執(zhí)行命令。

(3)瀏覽器跨域

也就是同源策略，但瀏覽器存在一些跨域漏洞，可以讀取其他網(wǎng)頁內(nèi)容、劫持token甚至跨域傳輸。

4、Session劫持

多數(shù)釣魚方法是想辦法讓用戶點擊惡意URL，Session劫持則是劫持會話，即使用戶正在訪問合法網(wǎng)站，也會被重定向到釣魚網(wǎng)站上去。結合現(xiàn)在大規(guī)模的家用路由漏洞，這種方法效果就更好了。

(1)域名解析攻擊

典型的例子是DNS緩存中毒，通過污染DNS緩存來達到目的。但這種手段攻擊成本高、影響大，黑產(chǎn)講究的是簡單實用，于是我們就看到更簡單的辦法，直接篡改主機上的host文件，這就容易多了，而且也很容易通過惡意軟件傳播。

(2)XSS攻擊

理論上XSS攻擊可以用來做很多事，wooyun網(wǎng)上常見的是盜取cookie技術，不過這種手段無疑不符合黑產(chǎn)簡單實用的作風，用在黑產(chǎn)里的跨站，多數(shù)還是url重定向這一類。

(3)中間人攻擊

中間人攻擊的定義比較廣泛，總體意思是攻擊者能夠攔截、讀取、修改通信內(nèi)容。

5、木馬

同時也出現(xiàn)了很多定制化的木馬，專門針對某一類網(wǎng)銀、某一類網(wǎng)站，而且這類木馬可以簡單修改后復用，這種隱藏比較深的定制木馬成功率更高。但不管木馬怎么變化，技術上還是這些類：

(1)竊聽類

早年間有一些鍵盤記錄的工具，現(xiàn)在的竊聽工具可以做到，當你輸入gongshangyinhang這種拼音的時候自動觸發(fā)。同時也可監(jiān)控網(wǎng)絡數(shù)據(jù)包，雖然很多網(wǎng)站使用SSL協(xié)議，但在加密之前的信息仍可竊聽到。

(2)密碼類

有一些軟件利用google搜索技術搜集密碼，有一些則是暴力破解?，F(xiàn)在更流行的則是社工撞庫。

(3)其他

我們之前抓到的一個木馬很有意思，當你連接到某銀行的url時，木馬會直接接管，彈出一個釣魚網(wǎng)站，讓用戶輸入信息，輸入完之后則顯示網(wǎng)站維護中。另外一種變形是當你進入銀行網(wǎng)站時，彈出來一個對話框，要求你確認賬號密碼。我們還聽說過在國外有一種軟件，甚至可以把轉(zhuǎn)賬過程也自動化實現(xiàn)。#p#

釣魚防范

對于反釣魚來說，單從技術上是很難解決的，所以針對釣魚行為，需要多種方法組合。

1、用戶教育

到目前為止，用戶教育仍然是一種主要方式。但現(xiàn)在釣魚也開始變得更巧妙，比如你會收到一封郵件，說你在某某購物網(wǎng)站的訂單信息如下，由于系統(tǒng)原因造成卡單，需要退款，請聯(lián)系QQ云云。由于郵件里給出了準確的訂單信息，用戶就信以為真，實際上這是由于購物信息泄露導致的，這種情況下的用戶教育雖然很少看到，但實際案件中很多。而且不管你花多大代價去宣傳，總有一部分客戶在受到詐騙時大腦一片空白，完全忘記。

2、托管釣魚網(wǎng)站

現(xiàn)在很多國家、機構成立了反釣魚聯(lián)盟，旨在最短時間內(nèi)關閉釣魚網(wǎng)站。目前最快的一家公司號稱在8個小時以內(nèi)全球關閉惡意網(wǎng)站，國內(nèi)也有互聯(lián)網(wǎng)公司和金融機構組成的反釣魚聯(lián)盟，同時也有很多機器化的算法在檢測。但釣魚者的適應能力更快，包括使用了動態(tài)DNS、端口級重定向，來迅速的讓釣魚網(wǎng)站重生。

3、瀏覽器安全

很多瀏覽器都提供了針對釣魚網(wǎng)站的保護，在用戶訪問時通過和后臺數(shù)據(jù)庫比對來發(fā)現(xiàn)釣魚網(wǎng)站，但這還是慢了一步，因為需要在數(shù)據(jù)庫里記錄了這個釣魚網(wǎng)站。有的瀏覽器使用了啟發(fā)式的方法，比如url超長，url變形等檢測。

4、身份驗證增強

國內(nèi)多數(shù)金融網(wǎng)站都必須有雙因素認證，有的是令牌、有的是短信校驗碼?；ヂ?lián)網(wǎng)公司為了增強客戶體驗，會分析用戶的常用機器、IP來做判斷。這樣在最大程度上保護用戶驗證。

5、病毒、木馬、釣魚郵件

現(xiàn)在的電腦不裝殺毒軟件的已經(jīng)很少了，但有些木馬是免殺的，可以繞過殺毒軟件。垃圾郵件預防對反釣魚也有作用，現(xiàn)在常用的郵件服務器技術包括黑名單、貝葉斯過濾等機制，但釣魚者也在升級技術能力，不斷地繞過這些檢測機制。

總體而言，網(wǎng)絡釣魚絕對是一個高利潤的違法活動，手段上越來越多樣、成熟。在我國某些地方，比如福建某地、海南某地、湖南某地甚至形成了專業(yè)村，在國外，俄羅斯是黑客技術高超，東南亞是洗錢，巴西是信用卡詐騙。在新技術的使用上，偽基站，手機木馬也是迅速鋪開。而防護方則各自為戰(zhàn)，整體處于被動局面，比如假基站就很難進行打擊，對手機木馬的預防到現(xiàn)在也沒有完善的解決方案。因此，任重道遠。

最后舉一些最近發(fā)生的案例，可以看到，多數(shù)手段其實技術難度都不大：

1、搜索引擎假客服

有個用戶在網(wǎng)上搜索X銀行客服電話，第一次搜到一個假客服電話，客服誘導用戶去一個釣魚網(wǎng)站輸入信息，從而導致資金損失。用戶后來發(fā)現(xiàn)資金有損失，再次上網(wǎng)搜索客服電話，又搜到一個假客服，假客服遠程控制客戶電腦協(xié)助操作，再次導致資金損失。這些假客服電話是如何進入搜索引擎的呢，分析發(fā)現(xiàn)某些知名度較大的網(wǎng)站存在漏洞，被人修改了網(wǎng)頁內(nèi)容，放上了假客服電話，而搜索引擎基于權重的排名機制，把這些假客服電話放在了搜索的前幾條。

2、偽基站

用戶收到某銀行短信，生成積分可兌換獎品。用戶點擊短信鏈接后，輸入了個人信息并下載木馬客戶端。釣魚者利用用戶輸入的信息迅速轉(zhuǎn)款，而手機端的關鍵驗證碼，則被木馬客戶端攔截發(fā)送給釣魚者。

3、兼職詐騙

最近是暑假期間，很多學生去找一些所謂網(wǎng)上兼職，幫別人打打字，每天就可以賺百元左右。在入職的時候，對方會要求提供身份證、銀行卡、支付寶賬號等信息，然后通過密碼找回，成功轉(zhuǎn)款。