網(wǎng)絡(luò)釣魚(yú)是通過(guò)大量發(fā)送聲稱來(lái)自于銀行或其他知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號(hào) ID 、 ATM PIN 碼或信用卡詳細(xì)信息）的一種攻擊方式。最典型的網(wǎng)絡(luò)釣魚(yú)攻擊將收信人引誘到一個(gè)通過(guò)精心設(shè)計(jì)與目標(biāo)組織的網(wǎng)站非常相似的釣魚(yú)網(wǎng)站上，并獲取收信人在此網(wǎng)站上輸入的個(gè)人敏感信息，通常這個(gè)攻擊過(guò)程不會(huì)讓受害者警覺(jué)。這些個(gè)人信息對(duì)黑客們具有非常大的吸引力，因?yàn)檫@些信息使得他們可以假冒受害者進(jìn)行欺詐性金融交易，從而獲得經(jīng)濟(jì)利益。受害者經(jīng)常遭受顯著的經(jīng)濟(jì)損失或全部個(gè)人信息被竊取并用于犯罪的目的。這篇“了解你的敵人”文章旨在基于德國(guó)蜜網(wǎng)項(xiàng)目組和英國(guó)蜜網(wǎng)項(xiàng)目組所搜集到的攻擊數(shù)據(jù)給出網(wǎng)絡(luò)釣魚(yú)攻擊的一些實(shí)際案例分析。這篇文章關(guān)注于由蜜網(wǎng)項(xiàng)目組在實(shí)際環(huán)境中發(fā)現(xiàn)的真實(shí)存在的網(wǎng)絡(luò)釣魚(yú)攻擊案例，但不會(huì)覆蓋所有可能存在的網(wǎng)絡(luò)釣魚(yú)攻擊方法和技術(shù)。攻擊者也在不斷地進(jìn)行技術(shù)創(chuàng)新和發(fā)展，目前也應(yīng)該有（本文未提及的）新的網(wǎng)絡(luò)釣魚(yú)技術(shù)已經(jīng)在開(kāi)發(fā)中，甚至使用中。

在給出一個(gè)簡(jiǎn)要的引言和背景介紹后，我們將回顧釣魚(yú)者實(shí)際使用的技術(shù)和工具，給出使用蜜網(wǎng)技術(shù)捕獲真實(shí)世界中的網(wǎng)絡(luò)釣魚(yú)攻擊的三個(gè)實(shí)驗(yàn)型研究的案例。這些攻擊案例將詳細(xì)地進(jìn)行描述，包括系統(tǒng)入侵、釣魚(yú)網(wǎng)站架設(shè)、消息傳播和數(shù)據(jù)收集等階段。隨后，將對(duì)其中普遍應(yīng)用的技術(shù)及網(wǎng)絡(luò)釣魚(yú)、垃圾郵件和僵尸網(wǎng)絡(luò)等技術(shù)進(jìn)行融合的趨勢(shì)給出分析。釣魚(yú)者使用惡意軟件進(jìn)行自動(dòng)化地 Email 地址收集和垃圾郵件發(fā)送的案例也將被回顧，同時(shí)我們也將展示我們?cè)诰W(wǎng)絡(luò)掃描技術(shù)及被攻陷主機(jī)如何被用于傳播釣魚(yú)郵件和其他垃圾郵件上的發(fā)現(xiàn)。最后，我們對(duì)本文給出結(jié)論，包括我們?cè)谧罱?6 個(gè)月內(nèi)獲得的經(jīng)驗(yàn)，以及我們建議的進(jìn)一步研究的客體。

這篇文章包括了豐富的支持性信息，提供了包含特定的網(wǎng)絡(luò)釣魚(yú)攻擊案例更詳細(xì)數(shù)據(jù)的鏈接。最后聲明一下，在研究過(guò)程中，我們沒(méi)有收集任何機(jī)密性的個(gè)人數(shù)據(jù)。在一些案例中，我們與被涉及網(wǎng)絡(luò)釣魚(yú)攻擊的組織進(jìn)行了直接聯(lián)系，或者將這些攻擊相關(guān)的數(shù)據(jù)轉(zhuǎn)交給當(dāng)?shù)氐膽?yīng)急響應(yīng)組織。

引言

欺騙別人給出口令或其他敏感信息的方法在黑客界已經(jīng)有一個(gè)悠久的歷史。傳統(tǒng)上，這種行為一般以社交工程的方式進(jìn)行。在二十世紀(jì)九十年代，隨著互聯(lián)網(wǎng)所連接的主機(jī)系統(tǒng)和用戶量的飛速增長(zhǎng)，攻擊者開(kāi)始將這個(gè)過(guò)程自動(dòng)化，從而攻擊數(shù)量巨大的互聯(lián)網(wǎng)用戶群體。最早系統(tǒng)性地對(duì)這種攻擊行為進(jìn)行的研究工作在 1998 年由 Gordon 和 Chess 發(fā)表。（ Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet , presented at the Virus Bulletin Conference in Munich, Germany, October 1998 ） Gordon 和 Chess 研究針對(duì) AOL （美國(guó)在線）的惡意軟件，但實(shí)際上他們面對(duì)的是網(wǎng)絡(luò)釣魚(yú)的企圖而不是他們所期望的特洛伊木馬攻擊。網(wǎng)絡(luò)釣魚(yú) (Phishing) 這個(gè)詞 (password harvesting fishing) 描述了通過(guò)欺騙手段獲取敏感個(gè)人信息如口令、信用卡詳細(xì)信息等的攻擊方式，而欺騙手段一般是假冒成確實(shí)需要這些信息的可信方。 Gordon 和 Chess 描述的一個(gè)釣魚(yú)信件如下所示：

Sector 4G 9E of our data base has lost all I/O functions. When your account
logged onto our system, we were temporarily able to verify it as a
registered user. Approximately 94 seconds ago, your verification was made
void by loss of data in the Sector 4G 9E. Now, due to AOL verification
protocol, it is mandatory for us to re-verify you. Please click 'Respond' and
re-state your password. Failure to comply will result in immediate account
deletion.

早期的網(wǎng)絡(luò)釣魚(yú)攻擊主要目的是獲得受害者的 AOL 賬號(hào)的訪問(wèn)權(quán)，偶爾也期望獲取信用卡數(shù)據(jù)以用于欺詐目的 ( 如非法買賣這些信息 ) 。這些釣魚(yú)的信件通常包含一個(gè)簡(jiǎn)單的詭計(jì)從而哄騙一些“菜鳥(niǎo)”用戶，這些欺騙手段很大程度依賴于受害者對(duì)“自動(dòng)化的”系統(tǒng)功能或權(quán)威機(jī)構(gòu)的（表面）輪廓的先天性信任，前面的例子中給出一個(gè)硬件設(shè)備故障或數(shù)據(jù)庫(kù)毀壞的情節(jié)，大部分的普通用戶將會(huì)重視任何看起來(lái)正式的、或看起來(lái)向是為他們提供幫助的緊急的技術(shù)上的要求，用戶通常會(huì)被催促盡快輸入其敏感信息從而避免嚴(yán)重后果，如“ … 重新輸入你的口令，如未及時(shí)輸入則將導(dǎo)致直接刪除賬號(hào)”。為了避免可能潛在的嚴(yán)重的后果，受害者通常立即照做，從而不知不覺(jué)地將這些使用此社交工程手段的黑客所需要的敏感數(shù)據(jù)提供給了他們。事后的證據(jù)表明這些黑客都是單獨(dú)行動(dòng)，或是以一個(gè)小而簡(jiǎn)單的組織形式活動(dòng)。一些文獻(xiàn)也描述了早期的網(wǎng)絡(luò)釣魚(yú)者大多是一些期望獲得更多賬號(hào)數(shù)據(jù)去惡作劇及打長(zhǎng)途電話的青少年，通常沒(méi)有很強(qiáng)的組織性和蓄意性。

現(xiàn)在，釣魚(yú)者所首選的策略是通過(guò)大量散發(fā)誘騙郵件，冒充成一個(gè)可信的組織機(jī)構(gòu)（通常是那些釣魚(yú)者所期望的已經(jīng)被受害者所信任的機(jī)構(gòu)），去引誘盡可能多的終端用戶。釣魚(yú)者會(huì)發(fā)出一個(gè)讓用戶采取緊急動(dòng)作的請(qǐng)求，而具有諷刺意義的是通常其理由是保護(hù)用戶的機(jī)密性數(shù)據(jù)免受惡意活動(dòng)的侵害，這封欺騙性的電子郵件將會(huì)包含一個(gè)容易混淆的鏈接，指向一個(gè)假冒目標(biāo)機(jī)構(gòu)公開(kāi)網(wǎng)站的遠(yuǎn)程網(wǎng)頁(yè)。釣魚(yú)者希望受害者能夠被欺騙，從而向這個(gè)假的、但看起來(lái)是目標(biāo)機(jī)構(gòu)的“官方”網(wǎng)站的網(wǎng)頁(yè)接口輸入他們的機(jī)密信息。被釣魚(yú)者所青睞的目標(biāo)機(jī)構(gòu)包括很多著名的銀行，信用卡公司和涉及日常性支付行為的知名互聯(lián)網(wǎng)商務(wù)網(wǎng)站（如 eBay 和 Paypal 等 ）。大量針對(duì)互聯(lián)網(wǎng)用戶的釣魚(yú)郵件的實(shí)例可以在反網(wǎng)絡(luò)釣魚(yú)工作組 （ Anti-Phishing Working Group ）的網(wǎng)站上 的 釣魚(yú)郵件歸檔 中 可以獲得，其中許多郵件都顯示了釣魚(yú)者可以欺騙無(wú)知的用戶相信他們正在訪問(wèn)一個(gè)合法的網(wǎng)頁(yè)接口的極高精確性。

在這個(gè)簡(jiǎn)要介紹網(wǎng)絡(luò)釣魚(yú)概念的引言之后，我們將開(kāi)始回顧在我們觀察到的真實(shí)網(wǎng)絡(luò)釣魚(yú)攻擊中所實(shí)際使用的技術(shù)和工具。如果你對(duì)網(wǎng)絡(luò)釣魚(yú)的更深入的背景知識(shí)感興趣，我們?yōu)槟銣?zhǔn)備了 具體的背景信息這個(gè)頁(yè)面。

工具和策略

網(wǎng)絡(luò)釣魚(yú)攻擊一般僅利用一些簡(jiǎn)單的工具和技術(shù)來(lái)欺騙無(wú)戒備心的用戶。支撐一次網(wǎng)絡(luò)釣魚(yú)攻擊的底層基礎(chǔ)設(shè)施可以是最基本的簡(jiǎn)單地拷貝一個(gè) HTML 頁(yè)面，上傳到一個(gè)剛剛攻陷的網(wǎng)站服務(wù)器，以及一個(gè)服務(wù)器端的用來(lái)處理用戶輸入數(shù)據(jù)的腳本，也可能涉及更為復(fù)雜的網(wǎng)站及內(nèi)容重定向，但他們的底層目標(biāo)是一致的——架設(shè)一個(gè)假冒可信機(jī)構(gòu)的網(wǎng)站，并部署一些必需的后臺(tái)腳本處理用戶的輸入數(shù)據(jù)并讓攻擊者獲取。使用最新的 HTML 編輯工具可以非常容易地構(gòu)建出模仿目標(biāo)組織機(jī)構(gòu)的網(wǎng)站，同時(shí)如果攻擊者不介意掃描互聯(lián)網(wǎng) IP 地址空間以尋找潛在的有漏洞的主機(jī)，缺乏有效的安全防護(hù)的網(wǎng)站服務(wù)器也能夠非常容易地找到并被攻陷。一旦被攻陷，即使是家庭用的 PC 主機(jī)都可以作為釣魚(yú)網(wǎng)站的宿主主機(jī)，所以釣魚(yú)者的攻擊目標(biāo)不僅僅是知名的企業(yè)和學(xué)院里的系統(tǒng)。攻擊者經(jīng)常不分青紅皂白地去選擇他們的目標(biāo)主機(jī)，而僅僅是在一個(gè)大的 IP 地址空間中隨機(jī)地掃描，尋找可被利用的特定的安全漏洞。

一旦釣魚(yú)者建立起一個(gè)模仿可信機(jī)構(gòu)的真實(shí)且能夠讓人信以為真的假冒網(wǎng)站后，對(duì)他們的重要挑戰(zhàn)是如何將用戶從一個(gè)合法的網(wǎng)站轉(zhuǎn)移到訪問(wèn)他們所架設(shè)的假冒網(wǎng)站。除非釣魚(yú)者有能力去改變目標(biāo)網(wǎng)站的 DNS 解析（稱為 DNS 中毒攻擊 ）或采取其他方式對(duì)網(wǎng)絡(luò)流量進(jìn)行重定向（稱為 pharming 的一種技術(shù)），他們必須依賴某種形式的內(nèi)容上的欺騙技巧，去引誘不幸的用戶去訪問(wèn)假冒的網(wǎng)站。欺騙技巧的質(zhì)量越高，他們所撒的漁網(wǎng)就越寬，一個(gè)無(wú)知的用戶錯(cuò)誤地訪問(wèn)這個(gè)假冒網(wǎng)站（并提供給釣魚(yú)者他的機(jī)密信息和私人數(shù)據(jù)）的機(jī)會(huì)就越大。

對(duì)攻擊者不幸的是，當(dāng)他們假冒一個(gè)組織結(jié)構(gòu)（如一個(gè)銀行或可信的商務(wù)網(wǎng)站），釣魚(yú)者通常沒(méi)有任何互聯(lián)網(wǎng)上哪些用戶屬于他們的客戶此類信息，也就不知道哪些用戶最容易上鉤。即使釣魚(yú)者可以將指向假冒網(wǎng)站的鏈接發(fā)布到與目標(biāo)機(jī)構(gòu)相關(guān)的一些聊天室或論壇上（如一個(gè)技術(shù)支持網(wǎng)站或網(wǎng)絡(luò)社區(qū)談?wù)摻M），目標(biāo)機(jī)構(gòu)很可能比較迅速地被通知并做出反應(yīng)，這個(gè)鏈接也會(huì)在很多受害者訪問(wèn)它所指向的內(nèi)容并提交他們的個(gè)人信息前被清除。同時(shí)對(duì)釣魚(yú)者也存在一個(gè)顯著的風(fēng)險(xiǎn)，目標(biāo)機(jī)構(gòu)或法律執(zhí)行部門(mén)可能會(huì)追蹤并關(guān)閉這些假冒的網(wǎng)站。因此，釣魚(yú)者需要一個(gè)方法，能夠在盡量減少他們所承擔(dān)的風(fēng)險(xiǎn)的同時(shí)，在短時(shí)間內(nèi)欺騙盡可能多的潛在受害群體，他們找到了理想的犯罪搭檔——垃圾郵件。

垃圾郵件發(fā)送者擁有包括幾百萬(wàn)使用中電子郵件地址的數(shù)據(jù)庫(kù)，因此最新的垃圾郵件群發(fā)技術(shù)可以用來(lái)幫助一個(gè)釣魚(yú)者低風(fēng)險(xiǎn)廣泛地發(fā)布他們的誘騙郵件。垃圾郵件通常通過(guò)一些被攻陷的架設(shè)在境外主機(jī)上的郵件服務(wù)器，或是通過(guò)一個(gè)全球的傀儡主機(jī)網(wǎng)絡(luò) ( botnets ) 進(jìn)行發(fā)送，因此郵件發(fā)送者被追蹤的可能性將會(huì)很小。如果一個(gè)無(wú)戒備心的用戶收到一封看起來(lái)像是由他們的銀行所發(fā)來(lái)的，帶有銀行正式標(biāo)志的電子郵件，要求他們?cè)L問(wèn)一個(gè)看起來(lái)與銀行官方網(wǎng)站一摸一樣的網(wǎng)站并由于安全理由更改他們?cè)诰€的銀行口令，這比起那些介紹新奇產(chǎn)品并鏈接到未知網(wǎng)站的普通垃圾郵件來(lái)更可能使得用戶上當(dāng)。為了增加用戶相信這個(gè)郵件是真實(shí)的可能性，釣魚(yú)者會(huì)應(yīng)用一些另外的技術(shù)來(lái)進(jìn)一步提高他們所進(jìn)行的誘捕手段的質(zhì)量：

在指向假冒網(wǎng)站的鏈接中使用 IP 地址代替域名。一些無(wú)戒備心的用戶將不會(huì)檢查（或不知道如何檢查）這個(gè) IP 地址是否來(lái)自假冒網(wǎng)站頁(yè)面上所聲稱的目標(biāo)機(jī)構(gòu)。

注冊(cè)發(fā)音相近或形似的 DNS 域名（如 b1gbank.com 或 bigbnk.com 假冒 bigbank.com ），并在上面架設(shè)假冒網(wǎng)站，期望用戶不會(huì)發(fā)現(xiàn)他們之間的差異。

在一個(gè)假冒釣魚(yú)網(wǎng)站的電子郵件 HTML 內(nèi)容中嵌入一些指向真實(shí)的目標(biāo)網(wǎng)站的鏈接，從而使得用戶的網(wǎng)站瀏覽器的大多數(shù) HTTP 連接是指向真實(shí)的目標(biāo)網(wǎng)站，而僅有少數(shù)的關(guān)鍵連接（如提交敏感信息的頁(yè)面）指向假冒的網(wǎng)站。如果用戶的電子郵件客戶端軟件支持 HTML 內(nèi)容的自動(dòng)獲取，那會(huì)在電子郵件被讀取的時(shí)候自動(dòng)地連接假冒網(wǎng)站，手動(dòng)地瀏覽也不會(huì)在大量與真實(shí)網(wǎng)站的正常網(wǎng)絡(luò)活動(dòng)中注意到少量與惡意服務(wù)器的連接。

對(duì)假冒網(wǎng)站的 URL 進(jìn)行編碼和混淆，很多用戶不會(huì)注意到或者理解 URL 鏈接被做過(guò)什么處理，并會(huì)假設(shè)它是良性的。 IDN 欺騙技術(shù)（ IDN spoofing ）就是這樣的一種技術(shù)，它使用 Unicode 編碼的 URL 在瀏覽器的地址欄里呈現(xiàn)的看起來(lái)像是真實(shí)的網(wǎng)站地址，但實(shí)際上卻指向一個(gè)完全不同的地址。

企圖攻擊用戶網(wǎng)頁(yè)瀏覽器存在的漏洞，使之隱藏消息內(nèi)容的實(shí)質(zhì)。微軟的 IE 和 Outlook 都被發(fā)現(xiàn)過(guò)存在可以被這種技術(shù)攻擊的漏洞（如 地址欄假冒 和 IFrame element 漏洞 ）。

將假冒的釣魚(yú)網(wǎng)站配置成記錄用戶提交的所有數(shù)據(jù)并進(jìn)行不可察覺(jué)的日志，然后將用戶重定向到真實(shí)的網(wǎng)站。這將導(dǎo)致一個(gè)“口令錯(cuò)誤，請(qǐng)重試”錯(cuò)誤，或甚至完全透明，但在每種情況下，大部分用戶都不會(huì)發(fā)覺(jué)，更相信是自己的錯(cuò)誤輸入，而不會(huì)想到是由于惡意第三方的干涉。

架設(shè)一個(gè)假冒網(wǎng)站，作為目標(biāo)機(jī)構(gòu)真實(shí)網(wǎng)站的代理，并偷摸地記錄未使用 SSL 加密保護(hù)的口令信息（或甚至為假冒的域名注冊(cè)一個(gè)有效的 SSL 證書(shū)從而對(duì) SSL 加密保護(hù)的口令信息進(jìn)行記錄）。
首先通過(guò)惡意軟件在受害者的 PC 上首先安裝一個(gè)惡意的瀏覽器助手工具（ Browser Helper Object ），然后由其將受害者重定向到假冒的釣魚(yú)網(wǎng)站。 BHO 是一些設(shè)計(jì)用于定制和控制 IE 瀏覽器的 DLL ，如果成功，受害者將會(huì)被欺騙，相信他們正在訪問(wèn)合法的網(wǎng)站內(nèi)容，然而實(shí)際上卻在訪問(wèn)一個(gè)假冒的釣魚(yú)網(wǎng)站。

使用惡意軟件去修改受害者 PC 上的用來(lái)維護(hù)本地 DNS 域名和 IP 地址映射的 hosts 文件，這將使得他們的網(wǎng)頁(yè)瀏覽器在連接架設(shè)假冒釣魚(yú)網(wǎng)站的服務(wù)器時(shí)，卻讓用戶看起來(lái)像是訪問(wèn)目標(biāo)機(jī)構(gòu)的合法網(wǎng)站。

由于很多電子商務(wù)或在線銀行應(yīng)用的復(fù)雜性，他們的網(wǎng)站經(jīng)常使用 HTML 框架結(jié)構(gòu)或其他復(fù)雜的頁(yè)面結(jié)構(gòu)架設(shè)，這也可能使得一個(gè)終端用戶很難判斷一個(gè)特定的網(wǎng)頁(yè)是否合法。上述列舉的這些技術(shù)的組合使用可以隱藏一個(gè)精心設(shè)計(jì)的網(wǎng)頁(yè)的真實(shí)來(lái)源，也使得一個(gè)無(wú)戒備心的用戶很可能被引誘去訪問(wèn)釣魚(yú)者的假冒網(wǎng)站，不知不覺(jué)地泄漏他們的認(rèn)證口令信息和所需要的數(shù)字身份信息，從而成為一次成功的網(wǎng)絡(luò)釣魚(yú)攻擊的又一個(gè)受害者。