游侠安全网：钓鱼攻击全攻略（群友投稿）

　　作者：黑色双刃剑【sitedir】
　　
　　网络钓鱼（Phishing?，与钓鱼的英语fishing?发音相近，又名钓鱼式攻击）是通过电子邮件或即时通讯工具，大量发送声称来自于银行或其他知名机构的欺骗性信息，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。
　　
　　钓鱼攻击原理
　　
　　最典型的网络钓鱼攻击是将收信人引诱到一个通过精心设计、与目标组织的网站非常相似的钓鱼网站（官方外观的假冒网站）上，冒充真正需要信息的值得信任的人，并欺诈性地获取收信人在此网站上输入的个人敏感信息（比如口令和信用卡细节），通常这个攻击过程不会
　　
　　尽管在安全技术人员眼里“网络钓鱼”只是小菜一碟。但在最近几年中“网络钓鱼”在全国范围内变得非常猖獗，数量急剧攀升。小黑就在此为大家介绍以下几种常见的“网络钓鱼”手法，广大网民在进行网络冲浪时，需自我提高防范意识，并格外警惕落入“网络钓鱼”诈骗陷阱。如图1，是钓鱼攻击的图解
　　

　　
　　开始实施我们的钓鱼攻击
　　
　　TOP1邮件钓鱼攻击技术
　　
　　钓鱼的关键技术为匿名邮件技术与跨站技术。匿名邮件技术可以伪装任意邮件地址，例如要伪装163邮件客服，就可以将邮件地址伪装成service@163.com，然后借助跨站技术伪装一个输入密码的页面，让用户信以为真，乖乖送上自己的密码。
　　
　　邮件钓鱼顾名思义，利用email匿名等技术来达到欺骗目的。如图2，就是一款典型的匿名邮件发送工具。
　　

　　
　　小小的测试一下那么是否邮件收到了呢？我们来登录我们的邮箱。LOOK~~~~
　　

　　
　　发送成功，那么下面开始说如何发送并且利用匿名邮件，发送邮件网络上很多类似伪造发件人的东东比如“fastmail邮件特快专递”。原来都差不多只有最后达到我们的目的就好了。
　　
　　OK下面我们来说如何在利用邮件做欺骗呢？
　　

　　
　　这里是小黑遇到的实例噢！首先按照现在网民思路肯定是无法上当的，链接太明显，因为按照现在网民安全意识逐步提高，常见把钓鱼网站链接放入邮件对于一般网民没什么效果，所以我可迂回战术。对于一般邮件来说都可以进行HTML模式编辑，这里我们可以利用这种模式编辑。在HTML中利用超级链接“a标签”
　　
　　一、代码时间
　　
　　a标签——代表HTML链接
　　a标签是成对出现的,以开始, 结束
　
　　属性.

　　Common -- 一般属性
　　accesskey -- 代表一个链接的快捷键访问方式
　　charset -- 指定了链接到的页面所使用的编码方式,比如UTF-8
　　coords -- 使用图像地图的时候可以使用此属性定义链接的区域,通常是使用x,y坐标
　　href -- 代表一个链接源(就是链接到什么地方)
　　hreflang -- 指出了链接到的页面所使用的语言编码
　　rel -- 代表文档与链接到的内容(href所指的内容)的关系
　　rev -- 代表文档与链接到的内容(href所指的内容)的关系
　　shape -- 使用图像地图的时候可以使用shape指定链接区域
　　tabindex -- 代表使用"tab"键,遍历链接的顺序
　　target -- 用来指出哪个窗口或框架应该被此链接打开
　　title -- 代表链接的附加提示信息
　　type -- 代表链接的MIME类型
　　
　　链接语法
　　显示的文字
　　
　　语法说明
　　href-- 是链接的属性,告诉浏览器链接到的网址(URI)
　　url-- 是我们要链接到的网页或者文件。url可以是一个绝对的网页,如: http://www.dreamdu.com/xhtml/.或者是一个相对网页
　　如:dreamdu.html,学习相对路径和绝对路径
　　url除了是网页外,还可以是其它的文件(如文本文件,pdf文件等).
　　url还可以是指向HTML文件中的一个位置.
　　url还可以是Email地址.
　　显示的文字-- 是我们想要显示的文字,浏览者点击'显示的文字'就会连接到url页面.

　　这里给大家简单说了下关于html语言，超链接部分。下面小黑根据上面所说，来编写一个HTM超链接文本，放入邮箱是什么效果呢？如图4
　　
　　实践：
　　
　　www.163.com
　　
　　此代码是小黑根据上面所说，来编写一个HTML超链接，放入邮箱是什么效果呢？如图4
　　

　　
　　这样我们在配合适当的语言渲染下发送给受害者，效果如图5
　　

　　
　　这样我刚说没有谁第一眼看着不动心的，但是又有人问虽然邮件过了但是现在很多网民都安装了相关安全软件，比如XX安全卫士、XX网盾等等都带反钓鱼功能，但是经过小黑分析，很多安全软件都是针对钓鱼网站URL比如http://cctv-3.163.os.io\加入数据库。如果用户打开这样的网站就会出现报警界面。那么如何突破呢？这个问题很好，小黑这里给出我个人思路“Url跳转漏洞”
　　
　　二、Url跳转漏洞助钓鱼“一臂之力”
　　
　　①什么是Url跳转漏洞
　　
　　此漏洞是用于网络钓鱼攻击，让用户访问恶意网站而不自知。因为Web应用程序接收到用户提交的URL参数后，没有对参数做“可信任URL”的验证，就向用户浏览器返回跳转到该URL的指令。
　　
　　②实例
　　
　　谷歌的URL跳转漏洞
　　
　　http://www.google.com.hk/search?btnI=&q=allinurl:http://www.sitedirsec.com
　　
　　一般来说这样URL大部分网民一眼看估计是google的网站URL，可能都会点击去看看。这样就更好帮助钓鱼攻击泛滥。
　　
　　③如何防御
　　
　　保证用户所点击的URL，是从web应用程序中生成的URL，所以要做TOKEN验证。这样就可以完全杜绝URL跳转漏洞发生了。
　　
　　那么说到这里差不多接近尾声了。综上所述基本都是小黑对邮件钓鱼攻击个人见解，如果有不到位的地方可以一起讨论。
　　
　　防范方法：
　　
　　这里相信小黑告诉大家以下几种防范方法：
　　
　　个人用户的建议
　　
　　1、提高警惕，不登录不熟悉的网站，键入网站地址的时候要校对，以防输入错误误入狼窝，细心就可以发现一些破绽。
　　2、不要打开陌生人的电子邮件，更不要轻信他人说教，特别是即时通讯工具上的传来的消息，很有可能是病毒发出的。
　　3、安装杀毒软件并及时升级病毒知识库和操作系统（如Windows）补丁。
　　4、将敏感信息输入隐私保护，打开