網(wǎng)絡(luò)釣魚(yú)主要用來(lái)騙取個(gè)人敏感信息，從而用于一些惡意目的。今天主要談釣魚(yú)用來(lái)做金融欺詐和身份盜竊的行為，包括對(duì)網(wǎng)銀、購(gòu)物等欺詐行為。

隨著上網(wǎng)人群的增多，釣魚(yú)潛在目標(biāo)范圍也更大，有三個(gè)主要的可利用的地方：

個(gè)人信息泄露：很多用戶(hù)在網(wǎng)上有意無(wú)意泄露了自己的個(gè)人信息，雖然用戶(hù)認(rèn)為他沒(méi)有泄露過(guò)任何密碼，但在今天大數(shù)據(jù)的形勢(shì)下，掌握你其他信息，就可以爆破出密碼。

客戶(hù)敏感信息保護(hù)：很多網(wǎng)站安全保護(hù)措施薄弱，被黑客攻破拿到賬戶(hù)、訂單等信息用來(lái)欺詐。

犯罪分子技術(shù)進(jìn)步：犯罪分子的技術(shù)也在不斷進(jìn)步中，比如電子郵件欺詐、養(yǎng)號(hào)、DNS欺騙、客服回訪等更具有偽裝性的手段。對(duì)于一般用戶(hù)來(lái)說(shuō)是很難防范的。

釣魚(yú)技術(shù)

早些時(shí)候，釣魚(yú)主要是使用電子郵件進(jìn)行，冒充自己是一個(gè)正規(guī)的銀行、購(gòu)物網(wǎng)站，要求用戶(hù)更換密碼、驗(yàn)證賬戶(hù)等，這種方法到現(xiàn)在還在大規(guī)模使用。最近幾年，有一些新方法，比如偽裝成銀行有獎(jiǎng)?wù){(diào)查，要求提供你的銀行卡信息，同時(shí)偽造一個(gè)非常仿真的假網(wǎng)站釣魚(yú)。再比如專(zhuān)門(mén)針對(duì)賬戶(hù)信息的惡意軟件，尤其在手機(jī)端的安卓平臺(tái)上是重災(zāi)區(qū)。

在今天，釣魚(yú)已經(jīng)成為一個(gè)完整的產(chǎn)業(yè)鏈，所有釣魚(yú)需要的工具和技術(shù)都有專(zhuān)業(yè)人員包裝提供好，包括自動(dòng)采集郵件、發(fā)送釣魚(yú)郵件、釣魚(yú)網(wǎng)站托管、專(zhuān)門(mén)的惡意軟件等都有相應(yīng)的工具，其管理后臺(tái)甚至超過(guò)一般的中小網(wǎng)站技術(shù)水平?？傮w上包括以下手段：

1、僵尸/僵尸網(wǎng)絡(luò)

所謂僵尸機(jī)器是指計(jì)算機(jī)被遠(yuǎn)程控制，實(shí)際上可能通過(guò)IRC、HTTP等各種點(diǎn)對(duì)點(diǎn)協(xié)議實(shí)現(xiàn)控制，由于被遠(yuǎn)程操縱，因此稱(chēng)之為僵尸機(jī)器。當(dāng)一批這樣的僵尸機(jī)器存在就稱(chēng)之為僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)可以用來(lái)完成很多工作，包括發(fā)送郵件釣魚(yú)、WEB服務(wù)器釣魚(yú)、更新安裝惡意軟件、分布式拒絕服務(wù)、代理服務(wù)、刷各種活動(dòng)、漏洞掃描、檢測(cè)等。僵尸機(jī)器的產(chǎn)生，大部分是由于郵件、文件共享、各種即時(shí)通訊傳播而形成的。

2、釣魚(yú)服務(wù)

我們?cè)?jīng)打擊過(guò)一些釣魚(yú)網(wǎng)站，每個(gè)釣魚(yú)網(wǎng)站的背后，都有一些某某釣魚(yú)公司、某某軟件公司的存在，這些釣魚(yú)公司、軟件公司設(shè)計(jì)完成各類(lèi)釣魚(yú)頁(yè)面，從各大銀行到各大電商、三方支付公司、各個(gè)電視臺(tái)、微博等，還提供偽造的電子郵件服務(wù)器，為方便管理釣魚(yú)，提供代理、短信通知，甚至提供釣魚(yú)網(wǎng)站托管業(yè)務(wù)。這些公司的存在，最大程度的減少了釣魚(yú)者的技術(shù)障礙，讓其關(guān)于與核心業(yè)務(wù)：詐騙。

3、技術(shù)欺騙

很多用戶(hù)也從電視報(bào)紙上受到各種提示和教育，但釣魚(yú)技術(shù)也在進(jìn)步，包括url模糊化、瀏覽器漏洞利用、偽裝成各種視頻圖片的惡意文件、假基站、偽造電話(huà)號(hào)碼等。技術(shù)欺騙手段需要詳細(xì)的解釋一下：

(1)URL欺騙

URL欺騙的目的是讓用戶(hù)以為這是一個(gè)真網(wǎng)站，并且要在技術(shù)上簡(jiǎn)單高效。最簡(jiǎn)單的是http重定向，把惡意網(wǎng)站隱藏在合法鏈接里，這種釣魚(yú)欺騙比較容易檢測(cè)，當(dāng)鼠標(biāo)指向鏈接的時(shí)候在瀏覽器底部可以看到真實(shí)URL。第二種是圖片格式，圖片指向一個(gè)釣魚(yú)網(wǎng)站，和前面一樣也很容易檢測(cè)。第三種是替代編碼，把url變成十六進(jìn)制，比如http://www.weibo.com,轉(zhuǎn)換后變成%68%74%74%70%3A%2F%2F%77%77%77%2E%77%65%69%62%6F%2E%63%6F%6D。，同樣也可以把IP地址192.168.1.1轉(zhuǎn)換成0xc0a80101，瀏覽器能夠解釋這兩種編碼，XSS攻擊里也常用這種手法。第四種則是類(lèi)似的域名注冊(cè)，讓人看上去以為是合法網(wǎng)站，比如www.bank.com是真網(wǎng)站，而www-bank.com就是一個(gè)釣魚(yú)，類(lèi)似的變換還有很多種。

(2)瀏覽器欺騙漏洞

一些漏洞可以利用WEB瀏覽器的問(wèn)題混淆URL，甚至安裝惡意軟件。比如早年前IE的彈出窗口對(duì)象類(lèi)型確認(rèn)漏洞，攻擊者偽造一個(gè)彈出窗口，正好覆蓋住url地址欄，而這個(gè)窗口又用了一個(gè)合法的圖片來(lái)遮掩。再比如ActiveX跨域漏洞，用戶(hù)查看特定頁(yè)面時(shí)可以遠(yuǎn)程執(zhí)行命令。

(3)瀏覽器跨域

也就是同源策略，但瀏覽器存在一些跨域漏洞，可以讀取其他網(wǎng)頁(yè)內(nèi)容、劫持token甚至跨域傳輸。

4、Session劫持

多數(shù)釣魚(yú)方法是想辦法讓用戶(hù)點(diǎn)擊惡意URL，Session劫持則是劫持會(huì)話(huà)，即使用戶(hù)正在訪問(wèn)合法網(wǎng)站，也會(huì)被重定向到釣魚(yú)網(wǎng)站上去。結(jié)合現(xiàn)在大規(guī)模的家用路由漏洞，這種方法效果就更好了。

(1)域名解析攻擊

典型的例子是DNS緩存中毒，通過(guò)污染DNS緩存來(lái)達(dá)到目的。但這種手段攻擊成本高、影響大，黑產(chǎn)講究的是簡(jiǎn)單實(shí)用，于是我們就看到更簡(jiǎn)單的辦法，直接篡改主機(jī)上的host文件，這就容易多了，而且也很容易通過(guò)惡意軟件傳播。

(2)XSS攻擊

理論上XSS攻擊可以用來(lái)做很多事，wooyun網(wǎng)上常見(jiàn)的是盜取cookie技術(shù)，不過(guò)這種手段無(wú)疑不符合黑產(chǎn)簡(jiǎn)單實(shí)用的作風(fēng)，用在黑產(chǎn)里的跨站，多數(shù)還是url重定向這一類(lèi)。

(3)中間人攻擊

中間人攻擊的定義比較廣泛，總體意思是攻擊者能夠攔截、讀取、修改通信內(nèi)容。

5、木馬

同時(shí)也出現(xiàn)了很多定制化的木馬，專(zhuān)門(mén)針對(duì)某一類(lèi)網(wǎng)銀、某一類(lèi)網(wǎng)站，而且這類(lèi)木馬可以簡(jiǎn)單修改后復(fù)用，這種隱藏比較深的定制木馬成功率更高。但不管木馬怎么變化，技術(shù)上還是這些類(lèi)：

(1)竊聽(tīng)類(lèi)

早年間有一些鍵盤(pán)記錄的工具，現(xiàn)在的竊聽(tīng)工具可以做到，當(dāng)你輸入gongshangyinhang這種拼音的時(shí)候自動(dòng)觸發(fā)。同時(shí)也可監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包，雖然很多網(wǎng)站使用SSL協(xié)議，但在加密之前的信息仍可竊聽(tīng)到。

(2)密碼類(lèi)

有一些軟件利用google搜索技術(shù)搜集密碼，有一些則是暴力破解?，F(xiàn)在更流行的則是社工撞庫(kù)。

(3)其他

我們之前抓到的一個(gè)木馬很有意思，當(dāng)你連接到某銀行的url時(shí)，木馬會(huì)直接接管，彈出一個(gè)釣魚(yú)網(wǎng)站，讓用戶(hù)輸入信息，輸入完之后則顯示網(wǎng)站維護(hù)中。另外一種變形是當(dāng)你進(jìn)入銀行網(wǎng)站時(shí)，彈出來(lái)一個(gè)對(duì)話(huà)框，要求你確認(rèn)賬號(hào)密碼。我們還聽(tīng)說(shuō)過(guò)在國(guó)外有一種軟件，甚至可以把轉(zhuǎn)賬過(guò)程也自動(dòng)化實(shí)現(xiàn)。#p#

釣魚(yú)防范

對(duì)于反釣魚(yú)來(lái)說(shuō)，單從技術(shù)上是很難解決的，所以針對(duì)釣魚(yú)行為，需要多種方法組合。

1、用戶(hù)教育

到目前為止，用戶(hù)教育仍然是一種主要方式。但現(xiàn)在釣魚(yú)也開(kāi)始變得更巧妙，比如你會(huì)收到一封郵件，說(shuō)你在某某購(gòu)物網(wǎng)站的訂單信息如下，由于系統(tǒng)原因造成卡單，需要退款，請(qǐng)聯(lián)系QQ云云。由于郵件里給出了準(zhǔn)確的訂單信息，用戶(hù)就信以為真，實(shí)際上這是由于購(gòu)物信息泄露導(dǎo)致的，這種情況下的用戶(hù)教育雖然很少看到，但實(shí)際案件中很多。而且不管你花多大代價(jià)去宣傳，總有一部分客戶(hù)在受到詐騙時(shí)大腦一片空白，完全忘記。

2、托管釣魚(yú)網(wǎng)站

現(xiàn)在很多國(guó)家、機(jī)構(gòu)成立了反釣魚(yú)聯(lián)盟，旨在最短時(shí)間內(nèi)關(guān)閉釣魚(yú)網(wǎng)站。目前最快的一家公司號(hào)稱(chēng)在8個(gè)小時(shí)以?xún)?nèi)全球關(guān)閉惡意網(wǎng)站，國(guó)內(nèi)也有互聯(lián)網(wǎng)公司和金融機(jī)構(gòu)組成的反釣魚(yú)聯(lián)盟，同時(shí)也有很多機(jī)器化的算法在檢測(cè)。但釣魚(yú)者的適應(yīng)能力更快，包括使用了動(dòng)態(tài)DNS、端口級(jí)重定向，來(lái)迅速的讓釣魚(yú)網(wǎng)站重生。

3、瀏覽器安全

很多瀏覽器都提供了針對(duì)釣魚(yú)網(wǎng)站的保護(hù)，在用戶(hù)訪問(wèn)時(shí)通過(guò)和后臺(tái)數(shù)據(jù)庫(kù)比對(duì)來(lái)發(fā)現(xiàn)釣魚(yú)網(wǎng)站，但這還是慢了一步，因?yàn)樾枰跀?shù)據(jù)庫(kù)里記錄了這個(gè)釣魚(yú)網(wǎng)站。有的瀏覽器使用了啟發(fā)式的方法，比如url超長(zhǎng)，url變形等檢測(cè)。

4、身份驗(yàn)證增強(qiáng)

國(guó)內(nèi)多數(shù)金融網(wǎng)站都必須有雙因素認(rèn)證，有的是令牌、有的是短信校驗(yàn)碼。互聯(lián)網(wǎng)公司為了增強(qiáng)客戶(hù)體驗(yàn)，會(huì)分析用戶(hù)的常用機(jī)器、IP來(lái)做判斷。這樣在最大程度上保護(hù)用戶(hù)驗(yàn)證。

5、病毒、木馬、釣魚(yú)郵件

現(xiàn)在的電腦不裝殺毒軟件的已經(jīng)很少了，但有些木馬是免殺的，可以繞過(guò)殺毒軟件。垃圾郵件預(yù)防對(duì)反釣魚(yú)也有作用，現(xiàn)在常用的郵件服務(wù)器技術(shù)包括黑名單、貝葉斯過(guò)濾等機(jī)制，但釣魚(yú)者也在升級(jí)技術(shù)能力，不斷地繞過(guò)這些檢測(cè)機(jī)制。

總體而言，網(wǎng)絡(luò)釣魚(yú)絕對(duì)是一個(gè)高利潤(rùn)的違法活動(dòng)，手段上越來(lái)越多樣、成熟。在我國(guó)某些地方，比如福建某地、海南某地、湖南某地甚至形成了專(zhuān)業(yè)村，在國(guó)外，俄羅斯是黑客技術(shù)高超，東南亞是洗錢(qián)，巴西是信用卡詐騙。在新技術(shù)的使用上，偽基站，手機(jī)木馬也是迅速鋪開(kāi)。而防護(hù)方則各自為戰(zhàn)，整體處于被動(dòng)局面，比如假基站就很難進(jìn)行打擊，對(duì)手機(jī)木馬的預(yù)防到現(xiàn)在也沒(méi)有完善的解決方案。因此，任重道遠(yuǎn)。

最后舉一些最近發(fā)生的案例，可以看到，多數(shù)手段其實(shí)技術(shù)難度都不大：

1、搜索引擎假客服

有個(gè)用戶(hù)在網(wǎng)上搜索X銀行客服電話(huà)，第一次搜到一個(gè)假客服電話(huà)，客服誘導(dǎo)用戶(hù)去一個(gè)釣魚(yú)網(wǎng)站輸入信息，從而導(dǎo)致資金損失。用戶(hù)后來(lái)發(fā)現(xiàn)資金有損失，再次上網(wǎng)搜索客服電話(huà)，又搜到一個(gè)假客服，假客服遠(yuǎn)程控制客戶(hù)電腦協(xié)助操作，再次導(dǎo)致資金損失。這些假客服電話(huà)是如何進(jìn)入搜索引擎的呢，分析發(fā)現(xiàn)某些知名度較大的網(wǎng)站存在漏洞，被人修改了網(wǎng)頁(yè)內(nèi)容，放上了假客服電話(huà)，而搜索引擎基于權(quán)重的排名機(jī)制，把這些假客服電話(huà)放在了搜索的前幾條。

2、偽基站

用戶(hù)收到某銀行短信，生成積分可兌換獎(jiǎng)品。用戶(hù)點(diǎn)擊短信鏈接后，輸入了個(gè)人信息并下載木馬客戶(hù)端。釣魚(yú)者利用用戶(hù)輸入的信息迅速轉(zhuǎn)款，而手機(jī)端的關(guān)鍵驗(yàn)證碼，則被木馬客戶(hù)端攔截發(fā)送給釣魚(yú)者。

3、兼職詐騙

最近是暑假期間，很多學(xué)生去找一些所謂網(wǎng)上兼職，幫別人打打字，每天就可以賺百元左右。在入職的時(shí)候，對(duì)方會(huì)要求提供身份證、銀行卡、支付寶賬號(hào)等信息，然后通過(guò)密碼找回，成功轉(zhuǎn)款。