运维日记丨带你认识网络钓鱼

网络钓鱼（Phishing）是指仿冒现有的合法网页，以蒙骗用户提供个人资料、财务账号和口令。通常情况下，诱骗者总是使用电子邮件并利用一些借口，如：他们的记录资料需要更新，或由于安全程序的改变需要重新核实用户资料等，以骗取用户账号和相关的密码口令。

鱼叉式网络钓鱼（Spear phishing）是针对一小部分人的攻击（某网站的用户、某公司的雇员、某组织的成员），达到暗中破坏公司或组织的目的。

钓鱼技术包括社会工程学、连接操作和网站伪造等。社会工程学-利用人的弱点，通过欺骗手段而入侵计算机系统的一种攻击方法。组织可能采取了很周全的技术安全控制措施，例如：身份鉴别系统、防火墙、加密技术等，但由于员工无意当中通过电话或电子邮件泄漏机密信息（密码、IP地址等），或被非法人员欺骗而泄漏了组织的机密信息，就可能对组织的信息安全造成严重损害。常见的社会工程学手段有电话欺骗、垃圾搜寻和监窥等。防御社会工程学最有效的办法是在组织内不断进行安全意识教育和培训，使其了解社会工程的类型与风险，提高员工的安全防护意识。这种安全意识教育还需推广到对组织信息系统有访问权限的第三方合作伙伴中。

1、复制图片和网页设计、相似的域名 
用户鉴别网站的一种方法是检查地址栏中显示的URL。为了达到欺骗目的，攻击者会注册一个域名，它看起来跟真实的网站域名相似，有时攻击者还会改变大小写或使用特殊字符。由于大多数浏览器是以无衬线字体显示URL的，因此，“paypaI.com”可用来假冒“paypal.com”(小写的L和大写的i)，“barcIays.com”可用来假冒“barclays.com”。更常见的是，假域名只简单地将真域名的一部分插入其中，例如，用“ebay-members-security.com”假冒“ebay.com”，用“users-paypal.com”假冒“paypal.com”。而大多数用户缺少判断一个假域名是否真正为被仿冒公司所拥有的工具和知识。 

2、URL隐藏 
假冒URL的另一种方法利用了URL语法中一种较少用到的特性。用户名和密码可包含在域名前，语法为:http://username:password@domain/。攻击者将一个看起来合理的域名放在用户名位置，并将真实的域名隐藏起来或放在地址栏的最后，例如“http://hzmc.com/%6C%6C...%6C@211.112.***.*”。网页浏览器的最近更新已关闭了这个漏洞，其方法是在地址栏显示前将URL中的用户名和密码去掉，或者只是简单的完全禁用含用户名/密码的URL语法，Internet Explorer就使用了后一种办法。 

3、IP地址 
隐藏一台服务器身份的最简单办法就是使它以IP地址的形式显示，如http://210.93.**.250。这种技术的有效性令人难以置信，由于许多合法URL也包含一些不透明且不易理解的数字，因此，只有懂得解析URL且足够警觉的用户才有可能产生怀疑。 

4、欺骗性的超链接 
一个超链接的标题完全独立于它实际指向的URL。攻击者利用这种显示和运行间的内在差异，在链接标题中显示一个URL，而在背后使用了一个完全不同的URL。即便是一个有着丰富知识的用户，他在看到消息中显而易见的URL后也可能不会想到去检查其真实的URL。检查超链接目的地址的标准方法是将鼠标放在超链接上，其URL就会在状态栏中显示出来，但这也可能被攻击者利用JavaScript或URL隐藏技术所更改。 

5、隐藏提示 
还有一种更复杂的攻击，它不是在URL上做文章，而是通过完全替换地址栏或状态栏达到使其提供欺骗性提示信息的目的。最近发生的一次攻击就使用了用JavaScript在Internet Explorer的地址栏上创建的一个简单的小窗口，它显示的是一个完全无关的URL。 

6、弹出窗口 
最近对某客户的一次攻击使网页复制技术前进了一步，它在浏览器中显示的是真实的网页，但在页面上弹出了一个简单的窗口，要求用户输入个人信息。

7、社会工程 
钓鱼攻击还使用非技术手段使用户坠入陷阱，其中的一个策略就是急迫性，从而使用户急于采取行动，而较少花时间去核实消息的真实性。另一个策略是威胁用户，如果不按照所要求的去做就会造成可怕的后果，如终止服务或关闭账户，少数攻击还许诺将获得巨额回报(如：“你中了一个大奖!”)，吸引你的好奇去点开一份天大的“惊喜”。