網絡釣魚的特點與形式

呂方興

（菏澤學院計算機與信息工程系 山東 菏澤 274015）

網絡釣魚的特點與形式

呂方興

（菏澤學院計算機與信息工程系 山東 菏澤 274015）

本文闡述了網絡釣魚的特點，并分析了網絡釣魚的主要表現形式。

網絡釣魚；Phishing；網上銀行；釣魚郵件；釣魚網站

網絡釣魚 （Phishing）攻擊是社會工程學攻擊的一種形式。網絡釣魚攻擊者使用電子郵件或惡意網頁來請求獲得個人信息。攻擊者會假借有信譽的公司或者機構的名義發出電子郵件，這些電子郵件常常稱有問題發生并請求獲得用戶的賬號信息。當用戶按要求回復了相關的資料，攻擊者就能夠利用這些資料進入用戶的賬號。

1 網絡釣魚的特點

“網絡釣魚”作為一種網絡詐騙手段，主要是利用人的心理來實現詐騙。攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務數據，如信用卡號、賬戶和口令、社保編號等內容。近幾年，國內接連發生利用偽裝成銀行網站主頁的惡意網站進行詐騙錢財的事件。

網絡釣魚是基于人性貪婪以及容易取信于人的心理因素來進行攻擊的，有如下特點：

1.1 欺騙性。釣魚者利用自建站點模仿被釣網站，并結合含有近似域名的網址來加強真實程度。更有甚者會先侵入一臺服務器，在服務器上不斷重復地做相同的事情，讓自己可以更好地脫身，逃避追蹤以及調查。

1.2 針對性。通常與釣魚者緊密相關的都是一些銀行、商業機構等的網站，隨著互聯網的飛速發展，電子商務、網上購物已經成為與網民息息相關的服務。龐大的網絡資金流動，帶來了很多的新興行業，也帶來了潛在的安全隱患。

1.3 多樣性。網絡釣魚是一種針對人性弱點的攻擊手法，釣魚者不會千篇一律地去進行攻擊，不管是網絡還是現實中到處都存在釣魚式攻擊的影子。釣魚者不會局限于常用的偽造網站、虛假郵件等手法，而是會結合更多的便民服務，以容易接受的形式去誘騙被釣者，從而在更短的時間內獲得更好的效果。

1.4 可識別性。網絡釣魚并不是無懈可擊，更不是沒有一點破綻。從釣魚者的角度出發，釣魚者本身會利用最少的資源去構造自己的釣魚網站，因為無法去利用真實網站獨有的一些資源（如域名、U盾、數字驗證等）。因此，在偽造網站方面，會利用近似或者類似的方法來進行欺騙，通常我們可以查看偽造網站，根據經驗去識別其真實性。

2 釣魚郵件

曾經通過發送惡意電子郵件而發動大范圍攻擊的網絡罪犯，開始意識到針對那些聚集在網絡社區中的小部分人發動攻擊會更有效。向那些地址發送電子郵件，同時使電子郵件好像是目標用戶的好友發出的，那么他們的攻擊意圖就很有可能得逞。釣魚郵件的基本攻擊流程如下：

2.1 釣魚者入侵服務器，竊取用戶的名字和郵件地址。早期的網絡釣魚者利用垃圾郵件將受害者引向偽造的互聯網站點，這些站點由他們自己設計，看上去與合法的商業網站極其相似。很多人都曾收到過來自網絡釣魚者的所謂“緊急郵件”，他們自稱是某個購物網站的客戶代表，威脅說如果用戶不登錄他們所提供的某個偽造的網站并提供自己的個人信息，這位用戶在購物網站的賬號就有可能被封掉，當然很多用戶都能識別這種騙局。現在網絡釣魚者往往通過遠程攻擊一些防護薄弱的服務器，獲取客戶名稱的數據庫，然后通過釣魚郵件投送給明確的目標。

2.2 釣魚者發送有針對性的郵件。現在，釣魚者發送的釣魚郵件不是隨機的垃圾郵件。他們在郵件中會寫出用戶名稱，而不是以往的“尊敬的客戶”之類。這樣就更加有欺騙性，更容易獲取客戶的信任。這種針對性很強的攻擊更加有效地利用了社會工程學原理。

2.3 受害用戶訪問假冒網址。受害用戶被釣魚郵件引導訪問假冒網址，這種攻擊的主要手段是IP地址欺騙、鏈接文字欺騙、Unicode編碼欺騙等。

2.4 受害用戶提供的密碼和用戶信息被釣魚者獲得。一旦受害用戶被釣魚郵件引導訪問假冒網址，釣魚者可以通過技術手段讓不知情的用戶輸入自己的“User Name”和“Password”，然后，通過表單機制，讓用戶輸入姓名、城市等一般信息，以及信用卡信息和密碼。這是比較常見的一種欺騙方式，有些攻擊者甚至編造公司信息和認證標志，其隱蔽性更強。此后，假冒網址將獲得的受害用戶信息發送給攻擊者。

2.5 釣魚者使用受害用戶的身份進入其他網絡服務器。釣魚者會使用受害用戶的身份進入其他網絡服務器（如購物網站等），進行消費或者在網絡上發送反動的、黃色的信息。

3 釣魚網站

在Web欺騙中，攻擊者能以受攻擊者的名義將錯誤或者易于誤解的數據發送到真正的Web服務器，以及以任何Web服務器的名義給被攻擊者發送數據。在欺騙攻擊中，攻擊者創造一個虛假的Web環境，以誘使受攻擊者進入并且做出缺乏安全考慮的決策。

人們利用計算機系統完成具有安全要求的決策時往往也是基于其所見的。例如，在訪問網上銀行時，員工可能根據員工所見的銀行Web頁面，從該行的賬戶中提取或存入一定數量的存款。因為員工相信自己所訪問的Web頁面就是所需要的銀行的Web頁面，無論是頁面的外觀、URL地址，還是其他一些相關內容，都讓員工感到非常熟悉，沒有理由不相信。

員工在工作中使用自己的賬號訪問社交網站，不僅影響工作效率，而且有些用戶還會在誘騙下訪問假冒的社交網站。這個假冒的社交網站捕獲敲擊鍵盤的動作，竊取包括用來訪問企業網絡和敏感數據庫的登錄名和口令。如果在工作中或者在能夠訪問企業網絡的家庭計算機上隨意訪問這種社交網站，都會造成破壞，從而導致身份被盜，有意或無意地向虛擬圈子中的人泄露公司的秘密信息。

此外，有些網絡犯罪分子現在還利用社交網站作為一個通道，在這個網站上貼出虛假的網站鏈接，實施網絡釣魚，攻擊者借此掌握受害者的用戶名和口令，登錄受害者的賬戶、查看其電子郵件和網絡日記等。對于企業來說，最嚴重的危險來自于同樣的登錄信息使用的頻繁程度。大多數用戶常見的做法是無論登陸什么賬戶都是用相同的口令，如銀行賬戶、電子郵件和即時消息賬戶等。

大量假冒著名網站的客戶信息被攻擊者惡意地發布在各大BBS中，借此將著名網站的用戶和虛假的客戶服務信息聯系起來。相對于傳統的電話詐騙攻擊而言，這種新型的手法運用了搜索引擎優化技術的攻擊而顯得更為復雜。一旦用戶使用慣用的搜索引擎，如Google或者百度搜索客戶服務的相關信息時，從排名非常靠前的網頁中獲取的電話號碼就是攻擊者所發布的虛假信息。

攻擊者通過結合垃圾郵件和虛假客服電話來發動此類攻擊。首先，他們大量發送宣稱郵件接收者中獎的垃圾郵件，這些郵件往往要求人們在回復郵件時提供詳細的個人信息。當人們利用搜索引擎來確認類似的中獎信息是否屬實時，那些虛假的客服相關信息就會出現在人們眼前。與傳統的電話詐騙不同的是，傳統的電話詐騙借助自動語音系統來收集人們的信息，而此類攻擊則充分利用了社會工程學原理，引誘人們去撥打偽客服電話確認中獎信息。大量的門戶網站和購物網站等均被利用而成為攻擊的受害者。攻擊者通過大量地把很多虛假的電話號碼發布在著名的BBS或社區中來提高在搜索引擎中的排名，這使得安全人士很難將電話號碼和一個特定的攻擊聯系起來。

［1］馬春光,郭方方.防火墻、入侵檢測與VPN[M].北京郵電大學出版社,2008,8.

［2］周亞建,鄭康鋒,楊義先,鈕心忻.網絡安全加固技術[M].電子工業出版社,2007,7.

［3］孫繼銀,張宇翔,申巍葳.網絡竊密、監聽及防泄密技術[M].西安電子科技大學出版社,2011,3.

［4］石淑華,池瑞楠.計算機網絡安全技術[M].3版.人民郵電出版社,2012,8.

呂方興，男，菏澤學院計算機與信息工程系教師，計算機應用技術專業碩士研究生。

王洪澤］