在大多數人的印象中，網絡釣魚就是那些欺騙人們提供銀行賬戶或身份信息的假冒電子郵件。然而，據蜜網項目組&蜜網研究聯盟（Honeynet Project & Research Alliance）最近發表的研究報告顯示，網絡釣魚要比這更復雜和更可怕。

該聯盟在這份最新的研究報告中警告說，網絡釣魚者正在使用惡意的網絡服務器、端口重新定向和成功率相當高的蜜網誘騙用戶上鉤。他們的努力比人們最初想象的更周密而且更有組織性。在許多情況下，他們與其他的釣魚團伙協調作業并且同時采用多種手段。

蜜網研究人員Arthur Clune在談到這篇報告中的一個攻擊的例子時說，這種釣魚網站的建立速度是非常快的。所有這些網站都是事先準備好的。建立這種網站的人顯然已經做好了準備，因為在這個網站還沒有完全建好之前我們就開始看到有網絡通信了。包括掃描有漏洞的網絡服務器等活動在內所有的過程都是高度自動化的。這一切都表明，攻擊者是認真的、做好準備的并且要盡可能多地尋找有漏洞的主機。

Clune說，這類網站的質量和濫發郵件的做法正在改善。這類網站使用更規范的英語并且嵌入了質量更好的圖片，使之在外表上更像是真正的網站。另一位研究人員David Watson則說，隨著用戶越來越了解網絡釣魚以及網絡釣魚的手段，攻擊者不得不改進他們的方法。他說，受到這種攻擊的人數之多使他感到意外。

Watson說，在我們調查的許多詐騙事件中，我們吃驚地發現，用戶確實會訪問那些假冒的釣魚網站。指導如何安全使用互聯網的信息顯然沒有普及到最終用戶。

這項研究是使用蜜罐進行的。所謂蜜罐指故意設置為沒有保護措施的計算機。當受到攻擊時，研究人員可以對這些攻擊進行研究，更好地了解攻擊者使用的策略。在蜜罐上，研究人員清楚的觀察到釣魚者成功地使用了三種不同的攻擊手段：

攻破網絡服務器

第一種方法是攻破有安全漏洞的服務器并且安裝惡意的網頁內容。在一次典型的釣魚攻擊中，攻擊者使用了如下方法：

·掃描有安全漏洞的服務器；

·攻破有漏洞的服務器并且安裝一個工具集或者口令保護后門；

·通過加密的后門進入那臺被攻破的服務器；

·下載事先制作好的釣魚網站，防止被攻破的服務器是基于網絡的服務器；

·進行有限的內容配置和網站測試，當首次訪問這個網站服務器時有可能會暴露他們真正的IP地址；

·下載大量發送電子郵件的工具，使用這種工具利用垃圾電子郵件為這個假冒的網站做廣告；

·通過上述步驟之后，開始有人訪問這個釣魚網站，并且潛在的受害者開始訪問這個網站的內容。

這個聯盟在聲明中說，從系統首次連接到互聯網算起，這種攻擊通常只有幾個小時或者幾天的時間。研究發現，攻擊者經常是對許多臺服務器和許多機構同時發起攻擊。

端口重新定向

這是第二種攻擊方法。據稱，2005年1月11日，一個攻擊者利用Redhat Linux 7.3系統的安全漏洞成功地進入了一個蜜罐。

研究人員稱，這個攻擊事件有點不同尋常。攻擊者突破了服務器之后并沒有直接上載釣魚的內容。取而代之的是攻擊者在蜜罐中安裝并且配置了一個端口重新定向服務。這個端口重新定向服務旨在把發送到蜜罐網絡服務器的HTTP請求以透明的方式重新路由到另外一臺遠程服務器，使人們很難跟蹤內容來源的位置。

研究人員說，攻擊者隨后在蜜罐服務器中下載和安裝一個名為“redir”的端口重新定向工具軟件。這個工具軟件旨在透明地把進入蜜罐服務器的TCP連接發送到一個遠程主機。攻擊者設置這個軟件，以便把所有通過TCP 80端口進入蜜罐服務器的通信重新定向到在中國的一臺遠程網絡服務器的TCP 80端口。

蜜網

這是第三種釣魚攻擊方法。在2004年9月至2005年1月期間，德國蜜網計劃部署了一系列沒有使用補丁的基于Windows操作系統的蜜罐，以觀察蜜網的活動情況。在此期間，發生了100多起單獨的蜜網活動。

研究人員表示，他們捕獲的某些版本的蜜罐軟件能夠遠程啟動在被攻破的服務器中的SOCKS代理。

研究報告則稱，如果訪問這個蜜網的攻擊者能夠啟動遠程蜜罐服務器中的SOCKS代理功能，這臺服務器就能夠被用來發送大量的垃圾電子郵件。如果一個蜜網包含大量的被攻破的主機，攻擊者就可以非常容易地從毫不察覺的家庭電腦用戶擁有的大量的IP地址發送大量的電子郵件。

資源豐富的蜜網的擁有者利用蜜網從事犯罪活動也許不會使人們感到意外。現在是租用蜜網的時候了。蜜網的經營者將向客戶出售具有SOCKS v4功能的服務器IP地址和端口的列表。有很多文件證明，有人把蜜網出售給垃圾郵件制造者作為轉發垃圾郵件的工具。

底線

在挑選了上述這些攻擊方法之后，研究人員做出結論稱，釣魚攻擊能夠很快地發生。從首次入侵服務器到在網絡上建起釣魚網站只需要非常短的時間。這就使網絡釣魚很難跟蹤和預防。這篇研究報告顯示，許多釣魚攻擊都是同時采取多種手段、組織得非常復雜并且經常聯合采用上面介紹的手段。

IT管理員應該做什么？

Watson指出，黑客經常掃描大量的IP地址，尋找可以攻擊的有漏洞的主機。這種掃描活動是不分青紅皂白的。漏洞最多的服務器將首先被黑客找到。因此，網絡管理員要采取最佳的安全做法并且修復系統的安全漏洞，使用防火墻并且執行嚴格的身份識別措施，或者封鎖不必要的進入服務器的連接。

蜜網研究人員Clune贊同這個觀點，并且對IT管理員提出如下建議：

提高警惕。釣魚網站從建立到開始活動是很快的。這些人預計這種釣魚網站存在時間很短，因此，需要建立很多這類網站。釣魚網站雖然存在的時間短，但是，在被發現之前造成的損失是很大的，特別是在周末。

對簡單的事情也要加小心。阻止直接發出的簡單郵件傳輸協議進入你所有的機器以及進入服務器的HTTP/HTTPS請求等簡單的事情使你的服務器不容易被黑客利用，從而使黑客轉向其它容易利用的服務器。通過你的網關強制執行簡單郵件傳輸協議并且同時運行查找垃圾郵件的軟件可能會完全阻止你的服務器發送垃圾電子郵件。從信譽的角度說，這是一種很好的方法。