详解网络钓鱼的实现与防范技巧

      网络钓鱼因其严重危害网民利益和互联网信誉体制,越来越多地受到人们的关注,国际上已经成立反网络钓鱼工作小组(APWG,Anti-Phishing Working Group),这是一个联合机构,拥有大约800名成员,他们来自约490家金融服务公司、技术公司、服务提供商、国家法律执行机构和立法机构,这些机构的职责是向产业股份持有人提供一个保密论坛以讨论网络钓鱼问题。反网络钓鱼工作小组通过召开会议以及成员之间的电子形式的讨论,努力从硬成本和软成本两个方面来定义网络钓鱼的范围,分享信息和最佳操作模式以消除存在的问题,希望在不久的将来,彻底消灭网络钓鱼陷阱,还给大家一个真诚、诚信的互联网。

      一. 钓鱼的原理:

      网络钓鱼(Phishing)一词,是"Fishing"和"Phone"的综合体,由于黑客始祖起初是以电话作案,所以用"Ph"来取代"F",创造了"Phishing",Phishing 发音与 Fishing相同。 "网络钓鱼"就其本身来说,称不上是一种独立的攻击手段,更多的只是诈骗方法,就像现实社会中的一些诈骗一样。攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,诱骗访问者提供一些个人信息,如信用卡号、账户用和口令、社保编号等内容(通常主要是那些和财务,账号有关的信息,以获取不正当利益),受骗者往往会泄露自己的财务数据。

      现在网络钓鱼的技术手段越来越复杂,比如隐藏在图片中的恶意代码、键盘记录程序,当然还有和合法网站外观完全一样的虚假网站,这些虚假网站甚至连浏览器下方的锁形安全标记都能显示出来。网络钓鱼的手段越来越狡猾,这里首先介绍一下网络钓鱼的工作流程。通常有五个阶段:

      1. 钓鱼者入侵初级服务器,窃取用户的名字和邮件地址

      2. 钓鱼者发送有针对性质的邮件3. 受害用户访问假冒网址

      4. 受害用户提供秘密和用户信息被钓鱼者取得

      5. 钓鱼者使用受害用户的身份进入其他网络服务器

      关于恶意垃圾邮件,想必大家都很了解了,这里我们要实现和操作的是第三种,伪造目标网站,使目标用户访问假冒网站,从而完成我们的欺骗。

      二. 实现方法

      下面我们实现一个简单的网页钓鱼页面,大家可以根据自己的需要添加和修改。

      1.首先我们申请一个空间,在空间上用来存放我们的网页

      2.我们再申请一个域名,为了达到欺骗效果,我们可以申请一些名字和我们要欺骗的网站类似的域名:如: www.yahoo.com 我们申请一个 www.yaho.com等

      如果不能申请这些顶级域名的话,我们也可以修改我们的二级域名

      如:我们自己的域名是tcbmail.com,我们可以添加一个yahoo.tcbmail.com的二级域名,这样可以增加欺骗的成功率

      将我们的空间地址绑定到我们的域名上

      3.选取目标,修改代码。

      下面我们看一下我们要欺骗的目标,这里我们以yahoo为例,其他网站我们也可以采取类似办法

      打开yahoo邮件的主页:https://login.yahoo.com/config/mail?.intl=us

      查看其原代码,我们看到这样一句话

      这句话的意思就是将我们输入的表单项的值提交到后台的处理网页https://login.yahoo.com/config/login?呵呵,这里就给我们提供了机会,我们可以仿造一个yahoo的邮件的主页,将提交后的页面换成我们自己的页面,通过后台数据库处理,就可以达到截获目标帐户密码的效果。下面我们就具体操作一下将yahoo邮件的主页保存到本地将

      修改为

      保存为mail.html4.编写test.asp,使其完成将输入的值存储到我们对应的数据库中,这里我们可以直接使用access数据库利用以下代码就可以完成我们的目的5.将编辑好的mail.html、test.asp以及我们编辑好的pass.mdb上传到空间中访问http://我们自己的域名/mail.html是不是就看到yahoo的邮箱主页当你输入用户名、密码的时候,对应的输入已经存储到我们自己的数据库pass.mdb中了,欺骗成功.

      当然啦,现在大家的安全意识都比以前强了,如果大家留意我们所发的链接时,有些细心的朋友还是会注意到网页和实际的不同但是如果你的域名欺骗性比较大的话,你的成功性也会比较大如:http://mail.yaho.com.cn/mail.html看起来是不是很像或者添加一个二级域名如:http://yahoo.duay.com/mail.html也可以起到一个不错的欺骗效果如果你申请的域名类似于www.tiger.com那我们该如何处理呢?下面再简单介绍几种URL欺骗的方法三.

      实现技巧

      1. 特殊标志解析欺骗

      在HTTP规范中,网络协议名称之后的完整格式为http://IP:@name:pass/,其中只有第一部分IP是必需的,"@"后面是用户名参数,":"后面是密码,这使服务器可以解析带有更多信息的完整字符串。我们最常见的通过浏览器登录Ftp服务器时的URL格式(ftp://name@ftp.xxx.com:port)就是这样一种情况,如果用户名和密码包含在URL中,真正的主机地址是从"@"字符之后开始,这就可以产生欺骗。

      例如一位朋友告诉你http://mail.yahoo.com@www.tiger.com/mail.html,你恐怕不假思索就会点上去。但注意看一下"@"后面的内容,那才是真正的网址,而"www.tiger.com"将被视为yahoo服务器上的一个用户名(当然,它是不存在的),实际指向后面的页面http:// www.tiger.com/mail.html,这个就是我们的欺骗首页

      虽然这些URL在网络标准中都是"合法"的,它们伪装成用户信任的站点,如果有恶意行为,很难立即发现。遇到这种情况,不妨看看"@"的解释,就知道是否有问题存在了。@符号可以用40%来代替,这样得话上面得网子更具有迷惑性,不过这只对ie有效,netscape等无效~

      2.十进制格式的IP欺骗

      像上面例子那样的带有欺骗性的URL,是利用了我们对熟悉的URL格式的信任,利用了用户从URL的顶级域名来判断可信度的习惯,还有另外一种欺骗则反其道而行,用一串不知所云的数字麻痹用户。

      如百度的就是220.181.27.5

      在IE当中,输入www.baidu.com大家都知道可以访问百度,同样输入IP也可以访问。那么请你尝试一下http://3702856453/这个URL,看看能不能访问到百度?没错,他们和IP完全等效,成为十进制IP地址

      下面我说下具体算法:如百度IP为220.181.27.5(不固定)

      那么它的十进制地址为

      220*16777216+181*65536+27*256+5=3702856453

      使用这种办法我们可以将我们对应的ip地址转换为10进制,然后将链接发给对方,当然我们也可以采用其他编码

      如:八进制编码 十六进制编码 UNICODE编码

      例如:http://%31%30%38%39%30%36%30%32%30%30/mail.com

      3.名不符实的链接文字

      我们知道,链接文字本身并不要求与实际网址相同,那么你可不能只看链接的文字,而应该多注意一下浏览器状态栏的实际网址了。

      例如我们可以使用以下代码:

      www.163.comhttp://kimoomail.pcllw.cn/">www.163.com>

      大家看到的是以下链接

      但是点击该链接实际上打开的是http://kimoomail.pcllw.cn/

      如果该网页屏蔽了在状态栏提示的实际网址,你还可以在链接上按右键,查看链接的"属性"。 象上面这个代码,我们右键点击其属性的时候,可以看到其实际所指向的地址

      这里再给出一个代码

      【*注:使用时,请把"["换成"<","]"换成">"】

      打开此文件.看到www.163.com我们把鼠标移动上去,会看到状态栏显示为http://www.163.com/最终打开的还是http://localhost/

      这里巧妙的利用了HTML的ID属性和表单的label标签,将真正的链接覆盖起来,利用label跳转到指定的ID上.

      4.其他类型的钓鱼技巧

      对于不同的系统,由于设计上的不同,也会造成一些跨站和仿真率极高的钓鱼页面。

      比如前段时间火热的"用百度空间钓鱼(挂马)的新方式–高仿(图片、ID样样俱全)的冒名欺诈"。这种钓鱼模式是非常惟妙惟肖的,黑客主要利用的是字符替换。

      看一下源代码可以看到,对方是用"а"替代了"a"(注:前面的那个字母,是斯拉夫字母),在页面显示上基本和真正的一模一样。

      四.防范技巧

      对于网络钓鱼,我们首先要做到:

      1.不要相信陌生人

      2.不要轻易点链接

      3.不要轻易泄露个人信息

      4.不要害怕。呵呵,这个多说几句,有点欺骗性网站伴随着一些威胁和警告,比如账户撤销,资金冻结什么的,这个时候不要只观察网站上的警示信息,可以打电话去公司或者机关查询。当然了,电话一点要从黄页上查,不然也可能被忽悠哦!!

      对于正常的网络浏览,我们也可以采用以下办法进行防范:

      1.打开WindowsXP的"自动更新"功能,随时缝补IE浏览器及系统漏洞,强烈建议非WindowsXP SP3升级至最新版本。

      2.升级IE浏览器7.0,新版IE浏览器自带反网络钓鱼功能,在IE7浏览器中单击菜单"Tools→Phishing Filter",在弹出的下拉菜单中选择"Turn On Automatic Checking"来开启它。

      3.使用Maxthon等具备广告过滤、弹出窗口过滤、对话框过滤功能的第三方浏览器。

      4.打开IE浏览器,执行"工具→Internet选项"命令,切换到"隐私"标签,将"设置"中滚动条拖至"高"或"阻止所有Cookie"项,WindowsXP SP2用户一定要确保勾选"阻止弹出窗口"项

      5.给IE6.0浏览器打补丁:

      ① 使用瑞星卡卡助手可以帮助你屏蔽恶意网站、钓鱼网站,下载地址:http://tool.ikaka.com/,如果你遇到了恶意网站或钓鱼网站还可向卡卡助手报告以丰富卡卡助手的恶意网站数据库,从而保护更多网友,避免大家的损失。

      ② 使用雅虎助手,在其"安全防护→反钓鱼专家"中勾选 "启用上网助手反钓鱼功能"项就可让IE6.0也具有反钓鱼功能,另外,多使用雅虎助手提供的银行直达功能来访问网上银行。

      ③ 许多网友不喜欢"霸道"的雅虎助手(原3121上网助手 )如果不喜欢雅虎助手,可以为你的IE浏览器安装MSN Search Toolbar,其同样具有反钓鱼功能。

      反钓鱼功能

      如果涉及到网银交易或者网上购物,可以采用以下几点防范:

      ①硬件级的保护:到银行购买安全锁(即U盾,内含智能芯片,形状大小类似U盘)。在登录网上银行时,需将U盾插入电脑USB端口并输入U盾密码,如不小心泄露了网上银行用户名和密码,只要U盾仍然掌握在自己手中,或者连U盾也丢失但U盾的密码仍然掌握在自己手中,他人都无法登录你的网上银行。

      ②用鼠标点击检查网站首页最下方的红盾工商标志或ICP经营标志是否真实有效,如果能链接到工商行政部门备案网页,还应注意检察是否与网站名称、经营内容相符。