網(wǎng)絡釣魚是通過大量發(fā)送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細信息）的一種攻擊方式。最典型的網(wǎng)絡釣魚攻擊將收信人引誘到一個通過精心設計與目標組織的網(wǎng)站非常相似的釣魚網(wǎng)站上，并獲取收信人在此網(wǎng)站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。這些個人信息對黑客們具有非常大的吸引力，因為這些信息使得他們可以假冒受害者進行欺詐性金融交易，從而獲得經(jīng)濟利益。受害者經(jīng)常遭受顯著的經(jīng)濟損失或全部個人信息被竊取并用于犯罪的目的。這篇“了解你的敵人”文章旨在基于德國蜜網(wǎng)項目組和英國蜜網(wǎng)項目組所搜集到的攻擊數(shù)據(jù)給出網(wǎng)絡釣魚攻擊的一些實際案例分析。這篇文章關注于由蜜網(wǎng)項目組在實際環(huán)境中發(fā)現(xiàn)的真實存在的網(wǎng)絡釣魚攻擊案例，但不會覆蓋所有可能存在的網(wǎng)絡釣魚攻擊方法和技術。攻擊者也在不斷地進行技術創(chuàng)新和發(fā)展，目前也應該有（本文未提及的）新的網(wǎng)絡釣魚技術已經(jīng)在開發(fā)中，甚至使用中。

在給出一個簡要的引言和背景介紹后，我們將回顧釣魚者實際使用的技術和工具，給出使用蜜網(wǎng)技術捕獲真實世界中的網(wǎng)絡釣魚攻擊的三個實驗型研究的案例。這些攻擊案例將詳細地進行描述，包括系統(tǒng)入侵、釣魚網(wǎng)站架設、消息傳播和數(shù)據(jù)收集等階段。隨后，將對其中普遍應用的技術及網(wǎng)絡釣魚、垃圾郵件和僵尸網(wǎng)絡等技術進行融合的趨勢給出分析。釣魚者使用惡意軟件進行自動化地 Email 地址收集和垃圾郵件發(fā)送的案例也將被回顧，同時我們也將展示我們在網(wǎng)絡掃描技術及被攻陷主機如何被用于傳播釣魚郵件和其他垃圾郵件上的發(fā)現(xiàn)。最后，我們對本文給出結論，包括我們在最近 6 個月內(nèi)獲得的經(jīng)驗，以及我們建議的進一步研究的客體。

這篇文章包括了豐富的支持性信息，提供了包含特定的網(wǎng)絡釣魚攻擊案例更詳細數(shù)據(jù)的鏈接。最后聲明一下，在研究過程中，我們沒有收集任何機密性的個人數(shù)據(jù)。在一些案例中，我們與被涉及網(wǎng)絡釣魚攻擊的組織進行了直接聯(lián)系，或者將這些攻擊相關的數(shù)據(jù)轉交給當?shù)氐膽表憫M織。

引言

欺騙別人給出口令或其他敏感信息的方法在黑客界已經(jīng)有一個悠久的歷史。傳統(tǒng)上，這種行為一般以社交工程的方式進行。在二十世紀九十年代，隨著互聯(lián)網(wǎng)所連接的主機系統(tǒng)和用戶量的飛速增長，攻擊者開始將這個過程自動化，從而攻擊數(shù)量巨大的互聯(lián)網(wǎng)用戶群體。最早系統(tǒng)性地對這種攻擊行為進行的研究工作在 1998 年由 Gordon 和 Chess 發(fā)表。（ Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet , presented at the Virus Bulletin Conference in Munich, Germany, October 1998 ） Gordon 和 Chess 研究針對 AOL （美國在線）的惡意軟件，但實際上他們面對的是網(wǎng)絡釣魚的企圖而不是他們所期望的特洛伊木馬攻擊。網(wǎng)絡釣魚 (Phishing) 這個詞 (password harvesting fishing) 描述了通過欺騙手段獲取敏感個人信息如口令、信用卡詳細信息等的攻擊方式，而欺騙手段一般是假冒成確實需要這些信息的可信方。 Gordon 和 Chess 描述的一個釣魚信件如下所示：

Sector 4G 9E of our data base has lost all I/O functions. When your account
logged onto our system, we were temporarily able to verify it as a
registered user. Approximately 94 seconds ago, your verification was made
void by loss of data in the Sector 4G 9E. Now, due to AOL verification
protocol, it is mandatory for us to re-verify you. Please click 'Respond' and
re-state your password. Failure to comply will result in immediate account
deletion.

早期的網(wǎng)絡釣魚攻擊主要目的是獲得受害者的 AOL 賬號的訪問權，偶爾也期望獲取信用卡數(shù)據(jù)以用于欺詐目的 ( 如非法買賣這些信息 ) 。這些釣魚的信件通常包含一個簡單的詭計從而哄騙一些“菜鳥”用戶，這些欺騙手段很大程度依賴于受害者對“自動化的”系統(tǒng)功能或權威機構的（表面）輪廓的先天性信任，前面的例子中給出一個硬件設備故障或數(shù)據(jù)庫毀壞的情節(jié)，大部分的普通用戶將會重視任何看起來正式的、或看起來向是為他們提供幫助的緊急的技術上的要求，用戶通常會被催促盡快輸入其敏感信息從而避免嚴重后果，如“ … 重新輸入你的口令，如未及時輸入則將導致直接刪除賬號”。為了避免可能潛在的嚴重的后果，受害者通常立即照做，從而不知不覺地將這些使用此社交工程手段的黑客所需要的敏感數(shù)據(jù)提供給了他們。事后的證據(jù)表明這些黑客都是單獨行動，或是以一個小而簡單的組織形式活動。一些文獻也描述了早期的網(wǎng)絡釣魚者大多是一些期望獲得更多賬號數(shù)據(jù)去惡作劇及打長途電話的青少年，通常沒有很強的組織性和蓄意性。

現(xiàn)在，釣魚者所首選的策略是通過大量散發(fā)誘騙郵件，冒充成一個可信的組織機構（通常是那些釣魚者所期望的已經(jīng)被受害者所信任的機構），去引誘盡可能多的終端用戶。釣魚者會發(fā)出一個讓用戶采取緊急動作的請求，而具有諷刺意義的是通常其理由是保護用戶的機密性數(shù)據(jù)免受惡意活動的侵害，這封欺騙性的電子郵件將會包含一個容易混淆的鏈接，指向一個假冒目標機構公開網(wǎng)站的遠程網(wǎng)頁。釣魚者希望受害者能夠被欺騙，從而向這個假的、但看起來是目標機構的“官方”網(wǎng)站的網(wǎng)頁接口輸入他們的機密信息。被釣魚者所青睞的目標機構包括很多著名的銀行，信用卡公司和涉及日常性支付行為的知名互聯(lián)網(wǎng)商務網(wǎng)站（如 eBay 和 Paypal 等 ）。大量針對互聯(lián)網(wǎng)用戶的釣魚郵件的實例可以在反網(wǎng)絡釣魚工作組 （ Anti-Phishing Working Group ）的網(wǎng)站上 的 釣魚郵件歸檔 中 可以獲得，其中許多郵件都顯示了釣魚者可以欺騙無知的用戶相信他們正在訪問一個合法的網(wǎng)頁接口的極高精確性。

在這個簡要介紹網(wǎng)絡釣魚概念的引言之后，我們將開始回顧在我們觀察到的真實網(wǎng)絡釣魚攻擊中所實際使用的技術和工具。如果你對網(wǎng)絡釣魚的更深入的背景知識感興趣，我們?yōu)槟銣蕚淞?具體的背景信息這個頁面。

工具和策略

網(wǎng)絡釣魚攻擊一般僅利用一些簡單的工具和技術來欺騙無戒備心的用戶。支撐一次網(wǎng)絡釣魚攻擊的底層基礎設施可以是最基本的簡單地拷貝一個 HTML 頁面，上傳到一個剛剛攻陷的網(wǎng)站服務器，以及一個服務器端的用來處理用戶輸入數(shù)據(jù)的腳本，也可能涉及更為復雜的網(wǎng)站及內(nèi)容重定向，但他們的底層目標是一致的——架設一個假冒可信機構的網(wǎng)站，并部署一些必需的后臺腳本處理用戶的輸入數(shù)據(jù)并讓攻擊者獲取。使用最新的 HTML 編輯工具可以非常容易地構建出模仿目標組織機構的網(wǎng)站，同時如果攻擊者不介意掃描互聯(lián)網(wǎng) IP 地址空間以尋找潛在的有漏洞的主機，缺乏有效的安全防護的網(wǎng)站服務器也能夠非常容易地找到并被攻陷。一旦被攻陷，即使是家庭用的 PC 主機都可以作為釣魚網(wǎng)站的宿主主機，所以釣魚者的攻擊目標不僅僅是知名的企業(yè)和學院里的系統(tǒng)。攻擊者經(jīng)常不分青紅皂白地去選擇他們的目標主機，而僅僅是在一個大的 IP 地址空間中隨機地掃描，尋找可被利用的特定的安全漏洞。

一旦釣魚者建立起一個模仿可信機構的真實且能夠讓人信以為真的假冒網(wǎng)站后，對他們的重要挑戰(zhàn)是如何將用戶從一個合法的網(wǎng)站轉移到訪問他們所架設的假冒網(wǎng)站。除非釣魚者有能力去改變目標網(wǎng)站的 DNS 解析（稱為 DNS 中毒攻擊 ）或采取其他方式對網(wǎng)絡流量進行重定向（稱為 pharming 的一種技術），他們必須依賴某種形式的內(nèi)容上的欺騙技巧，去引誘不幸的用戶去訪問假冒的網(wǎng)站。欺騙技巧的質(zhì)量越高，他們所撒的漁網(wǎng)就越寬，一個無知的用戶錯誤地訪問這個假冒網(wǎng)站（并提供給釣魚者他的機密信息和私人數(shù)據(jù)）的機會就越大。

對攻擊者不幸的是，當他們假冒一個組織結構（如一個銀行或可信的商務網(wǎng)站），釣魚者通常沒有任何互聯(lián)網(wǎng)上哪些用戶屬于他們的客戶此類信息，也就不知道哪些用戶最容易上鉤。即使釣魚者可以將指向假冒網(wǎng)站的鏈接發(fā)布到與目標機構相關的一些聊天室或論壇上（如一個技術支持網(wǎng)站或網(wǎng)絡社區(qū)談論組），目標機構很可能比較迅速地被通知并做出反應，這個鏈接也會在很多受害者訪問它所指向的內(nèi)容并提交他們的個人信息前被清除。同時對釣魚者也存在一個顯著的風險，目標機構或法律執(zhí)行部門可能會追蹤并關閉這些假冒的網(wǎng)站。因此，釣魚者需要一個方法，能夠在盡量減少他們所承擔的風險的同時，在短時間內(nèi)欺騙盡可能多的潛在受害群體，他們找到了理想的犯罪搭檔——垃圾郵件。

垃圾郵件發(fā)送者擁有包括幾百萬使用中電子郵件地址的數(shù)據(jù)庫，因此最新的垃圾郵件群發(fā)技術可以用來幫助一個釣魚者低風險廣泛地發(fā)布他們的誘騙郵件。垃圾郵件通常通過一些被攻陷的架設在境外主機上的郵件服務器，或是通過一個全球的傀儡主機網(wǎng)絡 ( botnets ) 進行發(fā)送，因此郵件發(fā)送者被追蹤的可能性將會很小。如果一個無戒備心的用戶收到一封看起來像是由他們的銀行所發(fā)來的，帶有銀行正式標志的電子郵件，要求他們訪問一個看起來與銀行官方網(wǎng)站一摸一樣的網(wǎng)站并由于安全理由更改他們在線的銀行口令，這比起那些介紹新奇產(chǎn)品并鏈接到未知網(wǎng)站的普通垃圾郵件來更可能使得用戶上當。為了增加用戶相信這個郵件是真實的可能性，釣魚者會應用一些另外的技術來進一步提高他們所進行的誘捕手段的質(zhì)量：

在指向假冒網(wǎng)站的鏈接中使用 IP 地址代替域名。一些無戒備心的用戶將不會檢查（或不知道如何檢查）這個 IP 地址是否來自假冒網(wǎng)站頁面上所聲稱的目標機構。

注冊發(fā)音相近或形似的 DNS 域名（如 b1gbank.com 或 bigbnk.com 假冒 bigbank.com ），并在上面架設假冒網(wǎng)站，期望用戶不會發(fā)現(xiàn)他們之間的差異。

在一個假冒釣魚網(wǎng)站的電子郵件 HTML 內(nèi)容中嵌入一些指向真實的目標網(wǎng)站的鏈接，從而使得用戶的網(wǎng)站瀏覽器的大多數(shù) HTTP 連接是指向真實的目標網(wǎng)站，而僅有少數(shù)的關鍵連接（如提交敏感信息的頁面）指向假冒的網(wǎng)站。如果用戶的電子郵件客戶端軟件支持 HTML 內(nèi)容的自動獲取，那會在電子郵件被讀取的時候自動地連接假冒網(wǎng)站，手動地瀏覽也不會在大量與真實網(wǎng)站的正常網(wǎng)絡活動中注意到少量與惡意服務器的連接。

對假冒網(wǎng)站的 URL 進行編碼和混淆，很多用戶不會注意到或者理解 URL 鏈接被做過什么處理，并會假設它是良性的。 IDN 欺騙技術（ IDN spoofing ）就是這樣的一種技術，它使用 Unicode 編碼的 URL 在瀏覽器的地址欄里呈現(xiàn)的看起來像是真實的網(wǎng)站地址，但實際上卻指向一個完全不同的地址。

企圖攻擊用戶網(wǎng)頁瀏覽器存在的漏洞，使之隱藏消息內(nèi)容的實質(zhì)。微軟的 IE 和 Outlook 都被發(fā)現(xiàn)過存在可以被這種技術攻擊的漏洞（如 地址欄假冒 和 IFrame element 漏洞 ）。

將假冒的釣魚網(wǎng)站配置成記錄用戶提交的所有數(shù)據(jù)并進行不可察覺的日志，然后將用戶重定向到真實的網(wǎng)站。這將導致一個“口令錯誤，請重試”錯誤，或甚至完全透明，但在每種情況下，大部分用戶都不會發(fā)覺，更相信是自己的錯誤輸入，而不會想到是由于惡意第三方的干涉。

架設一個假冒網(wǎng)站，作為目標機構真實網(wǎng)站的代理，并偷摸地記錄未使用 SSL 加密保護的口令信息（或甚至為假冒的域名注冊一個有效的 SSL 證書從而對 SSL 加密保護的口令信息進行記錄）。
首先通過惡意軟件在受害者的 PC 上首先安裝一個惡意的瀏覽器助手工具（ Browser Helper Object ），然后由其將受害者重定向到假冒的釣魚網(wǎng)站。 BHO 是一些設計用于定制和控制 IE 瀏覽器的 DLL ，如果成功，受害者將會被欺騙，相信他們正在訪問合法的網(wǎng)站內(nèi)容，然而實際上卻在訪問一個假冒的釣魚網(wǎng)站。

使用惡意軟件去修改受害者 PC 上的用來維護本地 DNS 域名和 IP 地址映射的 hosts 文件，這將使得他們的網(wǎng)頁瀏覽器在連接架設假冒釣魚網(wǎng)站的服務器時，卻讓用戶看起來像是訪問目標機構的合法網(wǎng)站。

由于很多電子商務或在線銀行應用的復雜性，他們的網(wǎng)站經(jīng)常使用 HTML 框架結構或其他復雜的頁面結構架設，這也可能使得一個終端用戶很難判斷一個特定的網(wǎng)頁是否合法。上述列舉的這些技術的組合使用可以隱藏一個精心設計的網(wǎng)頁的真實來源，也使得一個無戒備心的用戶很可能被引誘去訪問釣魚者的假冒網(wǎng)站，不知不覺地泄漏他們的認證口令信息和所需要的數(shù)字身份信息，從而成為一次成功的網(wǎng)絡釣魚攻擊的又一個受害者。