互聯(lián)網(wǎng)中網(wǎng)絡(luò)釣魚指的是什么意思

網(wǎng)絡(luò)釣魚其實就是網(wǎng)絡(luò)上眾多誘騙手法之中的一種，由于它的手段基本就是通過網(wǎng)絡(luò)用一些誘餌（比如假冒的網(wǎng)站、郵件）等使用者上當(dāng)，很像現(xiàn)實生活中的釣魚過程，所以就被稱之為“網(wǎng)絡(luò)上的釣魚”。它的最大危害就是會竊取用戶銀行卡的帳號、密碼等重要信息，使用戶受到經(jīng)濟上的損失。

多數(shù)情況下，這些假冒的網(wǎng)站、件是釣魚騙局，只要點擊了其中的鏈接就會進(jìn)入到以獲取個人信息為目的的假冒網(wǎng)站。很多人已熟知“網(wǎng)絡(luò)釣魚”這個詞語。這是一種網(wǎng)絡(luò)詐騙，網(wǎng)絡(luò)犯罪分子進(jìn)行釣魚的目的是誘騙用戶提供自己的敏感信息。通常，網(wǎng)絡(luò)釣魚騙局旨在搜集信用卡號、賬戶密碼和社保號以進(jìn)行虛假交易。而諸如姓名、出生日期和地址之類的其他信息則是用于冒用身份。網(wǎng)絡(luò)釣魚形式繁多，可通過多種工具和技術(shù)實現(xiàn)。下面將重點介紹用于實施網(wǎng)絡(luò)釣魚的最常用工具和技術(shù)。

一、鏈接操控

鏈接操控是網(wǎng)絡(luò)釣魚中廣泛使用的技術(shù)，具體做法是誘騙用戶點擊鏈接，進(jìn)入到假冒網(wǎng)站。一般說來，許多用戶都不會輕易點擊一眼看去就很可疑的鏈接。所以，黑客要想方設(shè)法操控用戶點擊鏈接。他們一般使用如下方法進(jìn)行鏈接操控：

1. 使用子域

對于不熟悉子域概念的非技術(shù)用戶，這個方法百試不爽。假設(shè)你收到知名銀行 xyz 的郵件，要求你提供憑證并點擊 www.xyzbank.user.com。若沒有技術(shù)背景，你會認(rèn)為這個鏈接指向的是 xyz 銀行的“user”版塊。實際上，它指向的是 www.user.com 的“xyzbank”版塊。雖然域名唯一，子域名卻不唯一，所以域名擁有者無法阻止他人將自己的域名用作其他域名的子域。無論懂不懂技術(shù)，用戶都應(yīng)該時刻牢記，URL 層級結(jié)構(gòu)總是從右到左排列的。因此，mail.yahoo.com 鏈接指向的是雅虎的郵件子域，而 yahoo.mail.com 指向的卻是 mail.com 的雅虎子域。

2. 隱藏 URL

另一種常用的鏈接操控技術(shù)是將實際的 URL 隱藏于純文本下。也就是說，顯示的并不是實際的 URL，而是諸如“點擊這里”或“訂閱”這樣的字眼，點擊這些文字就會進(jìn)入釣魚網(wǎng)站。但有些郵件會顯示實際的 URL 鏈接，如 www.americanexpress.com，以便看起來更為可信。點擊這個鏈接進(jìn)入的實際上是其他網(wǎng)站。還有一種隱藏 URL 的方法就是使用 tinyurl 或 bit.ly 等 URL 簡化工具。

如今，越來越多的用戶使用社交媒體網(wǎng)絡(luò)，使釣魚者可以“廣撒網(wǎng)，多斂魚”。利用社交媒體，釣魚者能夠輕而易舉地獲取信任，這在以前是要花費大力氣的。人們會關(guān)注自己信任的人和服務(wù)并接收他們的消息。疑心重的用戶可能很容易辨識欺騙性消息，但是多數(shù)情況下，這些消息會蒙混過關(guān)，欺騙用戶進(jìn)行點擊。

僅通過一個惡意鏈接，黑客便能一蹴而就，捕獲一大批用戶。社交媒體中大量使用簡化 URL，很難預(yù)知鏈接指向的實際地址。要避免點擊人為操縱的隱藏 URL，時刻謹(jǐn)記將鼠標(biāo)懸停在鏈接上，查看實際所鏈接到的網(wǎng)站。若鏈接看起來像是在“釣魚”，絕不要點擊。

3. 錯誤拼寫的 URL

第三種鏈接操控技術(shù)是黑客使用常用域名的拼寫變體申請域名，例如 facebok.com、googlle.com、yahooo.com 等，然后搭建類似網(wǎng)站，欺騙用戶訪問并提供個人信息。這種技術(shù)也被稱為URL劫持或誤植域名。它的優(yōu)勢在于惡意用戶無需通過郵件誘騙用戶訪問，只需要小小的一個輸入錯誤就能夠吸引大把的用戶。

二、國際域名(IDN)同形異義字欺騙攻擊

使用該技術(shù)，惡意用戶利用相似字符誤導(dǎo)用戶點擊鏈接。例如，經(jīng)常訪問 Citibank.com 網(wǎng)站的用戶可能會進(jìn)入另一個用西里爾字母 С 代替拉丁字母 C 的同名網(wǎng)站。此外，相似字符也可能被用來欺騙用戶。例如，大寫的 i(I)和小寫的 L(l)看起來差不多，零(0)和大寫字母 o(O)更是一模一樣。

1. 網(wǎng)站偽造

網(wǎng)站偽造這種釣魚技術(shù)模仿真實網(wǎng)站搭建惡意網(wǎng)站，誘騙訪問用戶提供賬戶詳細(xì)信息、密碼、信用卡號碼等敏感信息。這種技術(shù)有兩種實現(xiàn)方式：跨站腳本執(zhí)行與網(wǎng)站欺騙。

2. 跨站腳本執(zhí)行

跨站腳本執(zhí)行(XSS)指黑客在合法 Web 應(yīng)用或網(wǎng)站中執(zhí)行惡意腳本或內(nèi)容。這種技術(shù)很常見，被廣泛使用。攻擊者并不直接針對特定受害者，而是利用用戶所訪問的Web 應(yīng)用或網(wǎng)站中的漏洞，最終將惡意腳本發(fā)送到受害者瀏覽器中。

雖然黑客也可以在 ActiveX 或 VBScript 中利用 XSS，最常使用的還是 JavaScript，因為當(dāng)今幾乎所有的網(wǎng)站都使用 JavaScript。要讓詭計得逞，攻擊者需要在受害者訪問的網(wǎng)頁中注入內(nèi)容。而要讓用戶訪問網(wǎng)頁，攻擊者需要利用社會工程或鏈接操控技術(shù)。下一步，需要用戶在偽造網(wǎng)頁上直接輸入數(shù)據(jù)。

之后，攻擊者可以在網(wǎng)頁中插入字符串，用戶的瀏覽器會將該字符串識別為代碼。瀏覽器一旦加載網(wǎng)頁，惡意腳本就會執(zhí)行，觸發(fā)攻擊，而受害者對此一無所知。

雖然無法完全避免 XSS，但防護(hù)也不是沒有可能。有些瀏覽器內(nèi)置 XSS 防護(hù)，因此，推薦做法是查看瀏覽器的安全選項并將瀏覽器更新至最新版本。有些擴展如火狐瀏覽器的NoScript 提供了“允許”和“拒絕”權(quán)限選項，還允許用戶拒絕打開非指定網(wǎng)站。

3. 網(wǎng)站欺騙

網(wǎng)站欺騙是另一種網(wǎng)站偽造技術(shù)，指建立與合法網(wǎng)站相似的虛假網(wǎng)站，誤導(dǎo)用戶訪問。欺騙性網(wǎng)站與合法網(wǎng)站在用戶界面和設(shè)計方面都很相似，連 URL 都看似相同。匆忙之間，用戶一不小心就會誤將這樣的網(wǎng)站當(dāng)做合法網(wǎng)站訪問。若沒有手動輸入 URL、而是通過點擊某個鏈接打開網(wǎng)頁，須特別謹(jǐn)慎。在“鏈接操控”一節(jié)，我們已建議用戶留意隱藏 URL，將鼠標(biāo)懸停在鏈接上檢查鏈接地址是否為實際 URL，以防萬一。

三、彈出窗口

彈出消息是最簡單的技術(shù)，但對于網(wǎng)絡(luò)釣魚來說卻頗為有效。使用這種技術(shù)，黑客向用戶發(fā)送彈出消息，引導(dǎo)用戶訪問偽造網(wǎng)站，以此竊取登錄信息。有一種被稱為“在線釣魚”(In-Session Phishing)的網(wǎng)絡(luò)釣魚攻擊就是這樣實施的：在在線銀行會話期間，彈出窗口，偽裝成銀行發(fā)送的消息。

典型的在線釣魚場景如下：

• 用戶登錄在線銀行賬戶;
• 不關(guān)閉當(dāng)前頁面，打開另一個窗口查看其它網(wǎng)站;
• 一會兒之后，有看似來自銀行的消息彈出，要求用戶重新輸入用戶名和密碼，因為之前的會話已過期;
• 用戶之前登錄過銀行網(wǎng)站，所以信以為真，直接輸入信息。近來還有一種彈窗釣魚大行其道，叫“彈窗技術(shù)支持”(Popup Tech Support)。用戶在上網(wǎng)時會突然接到彈窗消息，通知系統(tǒng)被感染，要求用戶聯(lián)系廠商獲得技術(shù)支持。

下圖就是這樣一個例子。

為了避免這種釣魚，在沒有點擊任何超鏈接的情況下，盡量不要回復(fù)自動彈出的消息。此外，在瀏覽器設(shè)置中阻止彈出窗口，完成業(yè)務(wù)處理后，立即退出銀行會話以及其他的敏感賬戶。最佳防御工具—SecurityIQ 及 PhishSimSecurity IQ 的 PhishSim 工具提供許多模板。借助這些模板，用戶可深入了解實際的網(wǎng)絡(luò)釣魚技術(shù)如鏈接操控和網(wǎng)站偽造。

如下圖所示，PhishSim 工具展示了利用隱藏 URL 技術(shù)進(jìn)行的鏈接操控。

下圖所示的 Facebook 邀請模板經(jīng)過精心設(shè)計，與真實的邀請并無二致，專門提供給PhishSim 用戶使用。

四、結(jié)論

事實是，對于大多數(shù)人來說，獲取知識最有效的方式是“做”而不是“學(xué)”。要了解網(wǎng)絡(luò)釣魚方法和技術(shù)，最好的方法是在安全可控的環(huán)境中親身體驗。SecurityIQ 的PhishSim 軟件為用戶提供工具創(chuàng)建自己的網(wǎng)絡(luò)釣魚任務(wù)，向親友或員工發(fā)動攻擊，追蹤這種攻擊的有效性，并及時調(diào)整攻擊方法。通過為他人提供網(wǎng)絡(luò)釣魚安全教育，用戶可更深入地了解釣魚者誘人上鉤的各種惡意方法。釣魚技術(shù)持續(xù)改進(jìn)，防御措施須不斷更新以積極應(yīng)對。