魚叉攻擊

目錄

• 簡介
• 攻擊目標
• 釣魚技術
  • 鏈接操作
  • 過濾器規避
  • 網站偽造
  • 電話網釣
  • WIFI免費熱點網釣
  • 隱蔽重定向漏洞

簡介

“魚叉攻擊”是 計算機病毒術語，通常是指利用木馬程序作為電子郵件的附件，
發送到目標電腦上，誘導受害者去打開附件來感染木馬。

魚叉式釣魚指一種源於亞洲與東歐只針對特定目標進行攻擊的網絡釣魚攻擊。

攻擊目標

由於魚叉式網絡釣魚鎖定之對象並非一般個人，而是特定公司、組織之成員。

故受竊之數據已非一般網絡釣魚所竊取之個人資料，而是其他高度敏感性資料，
如知識產權及商業機密。

網絡釣魚是指誘導人們連接那些已經被黑客鎖定的目標。

這種攻擊方法的成功率很高，也非常常見。
點擊鏈接、打開表格或者連接其他一些文件都會感染病毒。

一次簡單的點擊相當於為攻擊者開啟了一扇電子門，這樣他就可以接觸到你的內部弱點了。
因為你已經同意他進入，他能夠接觸弱點，然后挖掘信息和授權連接。 

釣魚技術

鏈接操作

大多數的網釣方法使用某種形式的技術欺騙，旨在使一個位於
一封郵箱中的鏈接（和其連到的欺騙性網站）似乎屬於真正合法的組織。

拼寫錯誤的網址或使用子網域是網釣所使用的常見伎倆。

在下面的網址例子里，http://www. 您的銀行.范例.com/，
網址似乎將帶您到“您的銀行”網站的“示例”子網域;
實際上這個網址指向了“示例”網站的“您的銀行”（即網釣）子網域。

另一種常見的伎倆是使錨文本鏈接似乎是合法的，實際上鏈接導引到網釣攻擊站點。

另一種老方法是使用含有'@'符號的欺騙鏈接。

原本這是用來作為一種包括用戶名和密碼（與標准對比）的自動登錄方式。

例如，鏈接http://www.google.com@members.tripod.com/可能欺騙偶然訪問的網民，
讓他認為這將打開www.google.com上的一個網頁，而它實際上導引瀏覽器指向
members.tripod.com上的某頁，以用戶名www.google.com。

該頁面會正常打開，不管給定的用戶名為何。

這種網址在IE中被禁用，而而在Mozilla Firefox與 Opera 會顯示警告消息，
並讓用戶選擇繼續到該站瀏覽或取消。

還有一個已發現的問題在網頁瀏覽器如何處理國際化域名（InternationalDomainNames，下稱IDN），
這可能使外觀相同的網址，連到不同的、可能是惡意的網站上。

盡管人盡皆知該稱之為的IDN欺騙或者同形異義字攻擊的漏洞，
網釣者冒着類似的風險利用信譽良好網站上的URL重定向服務來掩飾其惡意網址。

過濾器規避

網釣者使用圖像代替文字，使反網釣過濾器更難偵測網釣郵箱中常用的文字

網站偽造

一旦受害者訪問網釣網站，欺騙並沒有到此結束。

一些網釣詐騙使用JavaScript命令以改變地址欄。

這由放一個合法網址的地址欄圖片以蓋住地址欄，
或者關閉原來的地址欄並重開一個新的合法的URL達成。

攻擊者甚至可以利用在信譽卓著網站自己的腳本漏洞對付受害者。

這一類型攻擊（也稱為跨網站腳本）的問題尤其特別嚴重，
因為它們導引用戶直接在他們自己的銀行或服務的網頁登錄，
在這里從網絡地址到安全證書的一切似乎是正確的。
而實際上，鏈接到該網站是經過擺弄來進行攻擊，但它沒有專業知識要發現是非常困難的。

還有一種由RSA信息安全公司發現的萬用中間人網釣包，它提供了一個簡單易用的界面
讓網釣者以令人信服地重制網站，並捕捉用戶進入假網站的登錄細節。

為了避免被反網釣技術掃描到網釣有關的文字，網釣者已經開始利用Flash構建網站。
這些看起來很像真正的網站，但把文字隱藏在多媒體對象中。

電話網釣

並非所有的網釣攻擊都需要個假網站。

聲稱是從銀行打來的消息告訴用戶撥打某支電話號碼以解決其銀行賬戶的問題。

一旦電話號碼（網釣者擁有這支電話，並由IP電話服務提供）被撥通，該系統便提示用戶鍵入他們的賬號和密碼。

話釣(Vishing，得名自英文Voice Phishing，亦即語音網釣）有時使用假冒來電ID顯示，使外觀類似於來自一個值得信賴的組織。

WIFI免費熱點網釣

網絡黑客在公共場所設置一個假Wi-Fi熱點，引人來連在線網，一旦用戶用個人計算機或手機，
登錄了黑客設置的假Wi-Fi熱點，那么個人數據和所有隱私，都會因此落入黑客手中。

你在網絡上的一舉一動，完全逃不出黑客的眼睛，更惡劣的黑客，還會在別人的計算機里安裝間諜軟件，如影隨形

隱蔽重定向漏洞

2014年5月，新加坡南洋理工大學壹位名叫王晶(Wang Jing)的物理和數學科學學院博士生，
發現了OAuth和OpenID開源登錄工具的""(英語：Covert Redirect）]。

攻擊者創建一個使用真實站點地址的彈出式登錄窗口——而不是使用一個假的域名——以引誘上網者輸入他們的個人信息。

黑客可利用該漏洞給釣魚網站“變裝”，用知名大型網站鏈接引誘用戶登錄釣魚網站，
用戶訪問釣魚網站並成功登陸授權，黑客即可讀取其在網站上存儲的私密信息。

想要了解怎樣釣魚，制作郵件，制作木馬等操作，可以看一下這優秀博主的筆記（現在的我水平還不夠，等達到了在來寫博客）： 魚叉攻擊 - _nul1 - 博客園 (cnblogs.com)

筆記主要來源於：https://blog.csdn.net/qq_36119192/article/details/106319543