南方的早春總是伴著綿綿細(xì)雨，難得今天是個晴朗天，某服裝公司的張經(jīng)理帶著十幾個重要員工來到郊外一個魚塘進(jìn)行垂釣活動。張經(jīng)理放置好釣具后，便打開了隨身攜帶的筆記本電腦并連上網(wǎng)絡(luò)，他想利用這點(diǎn)時間處理一下最近的一筆生意。秘書見他在這種時候還離不開工作，便勸他：“經(jīng)理，今天是游玩的日子，難得放松一下，今天還是不要處理公司業(yè)務(wù)了吧……您不怕釣竿被魚叼走了？”張經(jīng)理對秘書笑了笑，看著身前的釣竿緩緩說道：“都說姜太公釣魚，愿者上鉤，但是如果不知道提竿的時機(jī)，即將到手的魚也會溜走的。等這筆生意談妥，我再休息也不遲�！闭f罷又繼續(xù)低頭敲鍵盤。

    生意終于談妥，客戶把貨款轉(zhuǎn)入張經(jīng)理的銀行賬戶，張經(jīng)理笑了：“這條大魚終于被我釣到了�！比缓笏�登上網(wǎng)絡(luò)銀行賬戶查看轉(zhuǎn)賬情況。當(dāng)頁面上顯示出賬戶剩余金額時，張經(jīng)理心里一緊，接著有了暈眩的感覺：賬戶里原來的存款不翼而飛，頁面里惟有客戶剛剛轉(zhuǎn)入的貨款，仿佛在嘲笑著張經(jīng)理。

    張經(jīng)理做夢也沒想到，這一次，他成了別人釣上的魚，而且是大魚。

    釋疑網(wǎng)絡(luò)釣魚

    網(wǎng)絡(luò)釣魚（Phishing），并不是一種新的入侵方法，但是它的危害范圍卻在逐漸擴(kuò)大，成為近期最嚴(yán)重的網(wǎng)絡(luò)威脅之一。Phishing就是指入侵者通過處心積慮的技術(shù)手段偽造出一些以假亂真的網(wǎng)站和誘惑受害者根據(jù)指定方法操作的email等方法，使得受害者“自愿”交出重要信息或被竊取重要信息（例如銀行賬戶密碼）的手段。入侵者并不需要主動攻擊，他只需要靜靜等候這些釣竿的反應(yīng)并提起一條又一條魚就可以了，就好像是“姜太公釣魚，愿者上鉤”。

    看到這里，有些讀者可能會說，這不是社會工程學(xué)嗎？兩者都是騙人的手段啊。不錯，網(wǎng)絡(luò)釣魚里面的確有社會工程學(xué)的影子，但是與后者相比，網(wǎng)絡(luò)釣魚更趨向于技術(shù)方面，因?yàn)樗�不僅僅是欺騙，里面還必須摻入技術(shù)成分，否則如果連“垂釣者”自己都無法控制“釣竿”的話，又怎么可能釣到魚呢？

    視覺陷阱：網(wǎng)頁背后的釣竿

    警察正在分析張經(jīng)理那臺筆記本電腦硬盤里的數(shù)據(jù)，張經(jīng)理本人在報案時因心臟病發(fā)作而住進(jìn)了醫(yī)院。由于無法得知張經(jīng)理最后一次登錄網(wǎng)絡(luò)銀行的時間，而且系統(tǒng)里也沒有感染任何偷盜賬號的后門程序，案件變得有點(diǎn)撲朔迷離起來。一個分析員無意中打開了Foxmail，發(fā)現(xiàn)最后一封信件是銀行發(fā)送的，主題為“XX網(wǎng)絡(luò)銀行關(guān)于加強(qiáng)賬戶安全的通告”，分析員預(yù)測案件與這封信件有重大關(guān)系，馬上打開閱讀。這是一封HTML網(wǎng)頁模板的信件，內(nèi)容大意為銀行為了加強(qiáng)賬戶安全而升級了系統(tǒng)，請各位客戶盡快重新設(shè)置賬戶密碼，末尾還給出了設(shè)置密碼的URL鏈接。

    幕后黑手果然在這里！分析員馬上查看信件源代碼，很快就找出了其中的貓膩：正如常說的 “說的一套，做的一套”，這個郵件的作者采用了“看的一套，進(jìn)的一套”這種簡單的欺騙手法，入侵者利用HTML語言里URL標(biāo)記的特性，把它寫成了這樣：“〈A 〉http://www.xxbank.com.cn/account/index.asp〈/A〉”，由于心理作用，受害者潛意識里都會直接點(diǎn)擊那個寫著“http://www.xxbank.com.cn/account/index.asp”的URL鏈接，然而他們并不知道，這個點(diǎn)擊實(shí)際上是把他們引向“http://www.xxxbank.com.cn/account/index.asp”這條釣竿！而這個所謂的更改密碼頁面，當(dāng)然偽造得與真正的銀行頁面完全一致，但是它的“更改密碼”功能卻是把賬號和密碼發(fā)送到了幕后的“垂釣者”手上，然后“垂釣者”登錄上真正的網(wǎng)絡(luò)銀行改了受害者設(shè)置的密碼，并順手牽羊把銀行賬戶里的存款轉(zhuǎn)移掉。這樣釣來的魚，即使是小魚也會讓“垂釣者”在夢里發(fā)出笑聲來了，即使一條太小，積累起來的數(shù)目也會變得相當(dāng)可觀了。在金錢的誘惑下，“垂釣者”一次又一次提竿，殊不知，他自己也是被金錢釣竿釣上的一條魚。

    拙劣手段成功的關(guān)鍵

    為什么如此拙劣的技術(shù)卻能頻頻得手呢？在你的實(shí)際生活中有沒有遇到類似的情況呢？你會采取什么樣的預(yù)防措施呢？

    因?yàn)榫W(wǎng)絡(luò)釣魚充分利用了人們的心理漏洞，首先，人們收到銀行這類影響力很大的商務(wù)郵件時幾乎都會緊張，很多人都不曾懷疑信件的真實(shí)性，更會下意識地根據(jù)要求打開郵件里面指定的URL進(jìn)行操作；其次，頁面打開后，我們通常都只會留意頁面內(nèi)容而不會注意瀏覽器地址欄的顯示，正是這點(diǎn)讓“垂釣者”有了可乘之機(jī)。

    其實(shí)“垂釣者”們是可以利用IE的URL欺騙漏洞把自己偽裝得更像一回事似的，只是現(xiàn)在IE普遍打了補(bǔ)丁，這種情況下還使用這個漏洞就會“不打自招”了，所以只有極少數(shù)“垂釣者”會采用這個方法，有的“垂釣者”根本連個看起來“比較正規(guī)”的域名都沒有，而是采用IP地址形式甚至直接光明正大把真實(shí)地址顯示在瀏覽器的地址欄里——因?yàn)樗麄冎�道，除非出現(xiàn)意外情況，否則大部分人根本是不會注意瀏覽器的地址欄的。

    這里順便提一下那封email，為什么張經(jīng)理會上當(dāng)呢？縱然，如果那封email的發(fā)件人地址不是銀行網(wǎng)站的，那么白癡都看得出來這是偽造的郵件。但是問題就出在這里，這封email的發(fā)件人地址清清楚楚寫著該銀行網(wǎng)站的技術(shù)支持信箱地址！“垂釣者”是怎么做到的呢？很簡單，一些未經(jīng)設(shè)置的email服務(wù)器并不會驗(yàn)證用戶信息是否真實(shí)，于是騙子用這樣的郵件服務(wù)器發(fā)送一封偽造了發(fā)件人地址的信件簡直是易如反掌。

    借竿釣魚：愛恨交加的搜索引擎

    由于Internet的迅速發(fā)展，信息量大爆炸時代隨著網(wǎng)絡(luò)的普及聳立在世人面前，我們可以獲取信息的途徑越來越多，但是查找特定的信息數(shù)據(jù)也開始變得困難，為此人們急切需要一種能盡量把各種信息統(tǒng)一管理并提供簡便搜索功能的工具，搜索引擎因此而誕生。與此同時，搜索引擎的代表作Google由于技術(shù)的強(qiáng)大已經(jīng)成為病毒和入侵者窺視的焦點(diǎn)。

    這次，依舊是Google惹的禍。很早以前，Google就“提供”了一種“搜索入侵”：入侵者通過在Google上查詢某些特定的字符，可以發(fā)現(xiàn)甚至直接進(jìn)入存在該漏洞的計算機(jī)，當(dāng)年有許多存在Unicode漏洞的計算機(jī)就是被Google拎了出來——只要搜索諸如“/scripts/..%255c../winnt/system32/cmd.exe?/c+dir”此類的關(guān)鍵字就能發(fā)現(xiàn)很多包含“Directory of”字符串的IP地址，點(diǎn)擊進(jìn)去，你會發(fā)現(xiàn)你已經(jīng)用Unicode漏洞入侵了該計算機(jī)……現(xiàn)在雖然這個方法已經(jīng)基本失效，但是Google帶來的安全性問題卻更值得引起所有人的重視。面對強(qiáng)大的Google，“垂釣者”已經(jīng)不滿足于僅靠Web頁面釣魚，他們還看上了Google的桌面搜索工具Desktop Search，這個工具存在一個信息泄漏的漏洞，入侵者能通過腳本程序欺騙Desktop Search提供用戶信息，最常見的就是泄漏磁盤數(shù)據(jù)。利用這個漏洞提供的信息，“垂釣者”可以偽造相關(guān)信件并建立欺騙性的電子商務(wù)網(wǎng)站，讓用戶誤以為是大公司發(fā)給自己的信函而受欺騙。一些“垂釣者”用假的口令驗(yàn)證得以竊取用戶信息，另一些則欺騙用戶點(diǎn)擊一些商品信息而被種植木馬程序。

典型的Phishing攻擊示例 

    跨站釣魚：真實(shí)網(wǎng)站的噩夢

    前面提到的偽造頁面欺騙是“垂釣者”利用虛假信函和人們尋求方便的心理，直接點(diǎn)擊信函給出的惡意鏈接而達(dá)到釣魚的目的，如今隨著媒體的揭露以及用戶警惕性的提高，這種手段成功率逐漸降低了。于是處心積慮的騙子們開始制造一種新的迷霧：他們同樣是用某種手段把用戶騙到商務(wù)網(wǎng)站，但是與以前不同的是，這次用戶訪問到的是真正的商務(wù)站點(diǎn)。難道“垂釣者”們改邪歸正了？答案是否定的，這個真正的商務(wù)站點(diǎn)依然會把用戶帶到“垂釣者”的惡意頁面——騙子利用一種稱為“跨站攻擊”的技術(shù)，在真實(shí)網(wǎng)站上插入惡意鏈接，用戶即使再細(xì)心也很難想到真實(shí)網(wǎng)站也會暗藏殺機(jī)。這種被稱為“雞尾酒釣魚術(shù)”的手段使商務(wù)網(wǎng)站的可信度大大降低。

    什么是“跨站攻擊”呢？業(yè)界對其定義如下：“跨站攻擊是指入侵者在遠(yuǎn)程Web頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，使得用戶認(rèn)為該頁面是可信賴的，但是當(dāng)瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行。”

    跨站攻擊有多種方式，典型的方式有兩種：其一，由于HTML語言允許使用腳本進(jìn)行簡單交互，入侵者便通過技術(shù)手段在某個頁面里插入一個惡意HTML代碼——例如記錄論壇保存的用戶信息（Cookie），由于Cookie保存了完整的用戶名和密碼資料，用戶就會遭受安全損失。讓我們舉一個例子來說明這種情況：比如某個正規(guī)論壇是你經(jīng)常去的，你當(dāng)然不會懷疑這個論壇有問題，但是有些無聊的用戶可能在這個論壇發(fā)布帶有惡意腳本的帖子，當(dāng)你瀏覽這個帖子時，就有可能被攻擊。

    “垂釣者”自然不會索要用戶的Cookie信息，如今有多少商務(wù)網(wǎng)站會允許用戶保存Cookie呢？所以他們只能讓用戶自己送上門來，這就出現(xiàn)了第二種同時也是目前更為流行的跨站攻擊方式：“垂釣者”利用一段特殊的跨站攻擊腳本代碼讓頁面彈出一個設(shè)計時根本不曾有的網(wǎng)頁對話框，它要求用戶輸入密碼或者把用戶帶到偽造的站點(diǎn)。因?yàn)檫@些對話框是用戶在正常網(wǎng)站看到的，他們自然不會懷疑它的合法性，然而正是這種心理欺騙法導(dǎo)致了又一場信任危機(jī)。

    這種方法迫害的不僅僅是用戶，更是無辜的商務(wù)站點(diǎn)，因?yàn)榭缯竟�擊并不是入侵服�?wù)器，而是在客戶那邊進(jìn)行篡改，商務(wù)站點(diǎn)根本不知道發(fā)生了什么事情，直到用戶找上門來，他們才發(fā)現(xiàn)自己的信譽(yù)被這些騙子給毀了。

    危險的HOSTS文件

    對網(wǎng)絡(luò)了解較多的讀者一般都會知道Windows的系統(tǒng)目錄中有個HOSTS文件，它的作用是把IP地址和網(wǎng)址映射起來。大家都知道，訪問網(wǎng)站時必須通過DNS服務(wù)器把域名解析為IP地址，這樣瀏覽器才能知道連接到哪里才是我們要的網(wǎng)站。在Windows的處理邏輯里，它總是先在HOSTS文件里查找這個域名和IP的對應(yīng)關(guān)系，如果對應(yīng)關(guān)系存在，Windows就直接連接HOSTS表里描述的IP地址，只有在找不到的時候才向DNS服務(wù)器發(fā)送解析域名的請求，這個邏輯關(guān)系在某些程度上的確方便了用戶，因?yàn)镠OSTS表的優(yōu)先度比任何一個DNS服務(wù)器都高，然而可怕的是，正是由于HOSTS表的特性，我們可能再次成為被釣的“魚”。

    HOSTS表的原理是更改域名與IP的映射關(guān)系，我們能改，“垂釣者”就也能更改。通過利用諸如MIME、EML等下載漏洞，甚至只是簡單的網(wǎng)頁腳本，騙子就能在HOSTS表里添加任何他們想要的映射關(guān)系，因?yàn)镠OSTS藏得太深了，一般用戶很少會留意到這個文件的變化，這就給“垂釣者”鉆了個空子，雖然HOSTS表是為域名和IP地址建立映射關(guān)系，但是它并不能判斷這個映射關(guān)系的準(zhǔn)確性！于是“垂釣者”把用戶訪問幾率較大的商務(wù)網(wǎng)站域名和他們偽造的網(wǎng)站IP地址映射起來，以后用戶即使是自己輸入的域名，即使安裝了無數(shù)殺毒監(jiān)視程序也無法扭轉(zhuǎn)被帶入欺騙站點(diǎn)的厄運(yùn)——誰讓HOSTS的優(yōu)先權(quán)那么高呢？

 HOSTS表映射原理

    系統(tǒng)升級補(bǔ)�。候_子的魚餌

    相信每個Windows用戶都會對Windows時不時冒出一個漏洞然后再冒出一個補(bǔ)丁的做法恨得牙齒發(fā)癢，也因?yàn)槁┒次：Φ娜遮厙?yán)重，一般用戶都會很緊張地留意新的Windows升級補(bǔ)丁，騙子也不例外，不過他們更在意的是如何借用漏洞補(bǔ)丁程序入侵用戶機(jī)器。騙子偽造一封貌似Microsoft“好心”主動發(fā)送給用戶的“針對某個嚴(yán)重安全漏洞而開發(fā)的補(bǔ)丁”，然而附件里是個木馬程序。一般用戶難得碰上這種殊遇，自然不會起戒心而運(yùn)行這個“補(bǔ)丁”。而騙子也夠精明，他們會將運(yùn)行后出現(xiàn)的界面做得與真正的補(bǔ)丁程序一模一樣，但是最后安裝到用戶機(jī)器的是什么呢？這個不用我說了吧。

    除了這些涉及技術(shù)手段的“網(wǎng)絡(luò)釣魚”，還有許多接近社會工程學(xué)的手段，如利用QQ騙取信任、發(fā)送假冒中獎資訊、買空賣空騙錢術(shù)等，騙子們處心積慮用盡一切方法，就是為了侵害你的利益！

    跨站攻擊示例 

    遠(yuǎn)離釣魚：一道沉重的難題

    網(wǎng)絡(luò)釣魚之所以如此猖獗并且能夠頻頻得手，最大的原因就是利用了人們疏于防范的心理以及“貪小便宜”和“貪圖便利”的弱點(diǎn)�！按贯炚摺蓖断伦銐蛭�引獵物上鉤的“美味魚餌”——或恐嚇，或誘惑，用戶的防線在這些因素的干擾下徹底崩潰而咬住了鉤子。這是任何殺毒軟件也無法解決的，因?yàn)椤岸尽痹趦?nèi)心，而非軟件。當(dāng)然這些騙術(shù)也涉及了一些技術(shù)手段，但是社會工程學(xué)的影響卻成了最大的干擾。我們無法阻止全部網(wǎng)絡(luò)釣魚攻擊，稍不留意，厄運(yùn)就會降臨，我們能做的，惟有提高自己的警惕性和降低貪欲，同時學(xué)習(xí)網(wǎng)絡(luò)安全技術(shù)，才能盡量減少“上鉤”的幾率。