按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
对于WindowsXP系统,把“REGEDIT4”改为“WindowsRegistryEditorVersion5。00”即可。
第一章 恐怖的网络钓鱼攻击
网络钓鱼(Phishing)一词是英文单词“Fishing”和“Phone”的综合,由于黑客始祖最初是以电话作案的,所以用“Ph”取代了“F”,创造了“Phishing”,Phishing的发音也与Fishing相近。网络钓鱼属于社会工程学攻击的一种,就其本身来说,网络钓鱼称不上是一种攻击手段,更像是一种诈骗方法。
攻击者利用伪造的电子邮件和伪造的Web站点来进行诈骗活动,诱骗访问者访问其伪造的页面,并获取受害人的一些个人信息,如信用卡号、账户和口令等个人隐私内容,以获取非法利益。诈骗者通常会将自己的伪装成知名银行、在线零售商和信用卡公司等可信的品牌。这就是典型的网络钓鱼攻击方式,这里的“鱼铒”就是欺骗性的电子邮件与伪造的Web站点。
攻击者为了扩大攻击范围,会利用邮件、IM即时通讯工具批量群发这些欺骗性信息,甚至会通过使用高级黑客手段(蠕虫式感染等)来进行攻击。钓鱼式攻击属于社会工程学攻击的一种。
网络钓鱼攻击的主要方法有如下7种。
1。发送电子邮件,以虚假信息引诱用户中圈套
钓鱼者以垃圾邮件的形式向受害者发送大量的欺诈性邮件,这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。
如,钓鱼者自称是某个购物网站或某商业网站的客户代表,告诉用户,如果不登录其所提供的某伪造网站并提供自己的身份信息,则该用户在该购物网站的账号就有可能被封掉。
当然,这种钓鱼方法在早期的网络钓鱼攻击中比较常见,现在的网络钓鱼者往往通过远程攻击一些防护薄弱的服务器获取客户名称的数据库,并通过钓鱼邮件投送给明确的目标。
2。利用浏览器漏洞实现钓鱼技术
利用浏览器的地址栏欺骗漏洞和跨域脚本漏洞可以实现完美的钓鱼攻击。利用地址栏欺骗漏洞,钓鱼攻击者可以在真实的URL地址下伪造任意的网页内容;利用跨域脚本漏洞,钓鱼攻击者可以跨域名跨页面修改网站的任意内容。
当用户访问一个URL时,返回给用户的却是攻击者可以控制的内容,如果这里伪造的是一个钓鱼网页内容,普通用户就会无从分辨真伪。
利用这种方法实现钓鱼攻击,对用户来说危害是最严重的,因为这类攻击利用的是客户端软件漏洞,完全不受服务端程序和网络环境的限制,是网站管理员无法控制的。用户只能在知道漏洞的情况下,及时安装软件补丁,或使用安全软件修补客户端软件的漏洞。
3。利用URL编码实现钓鱼技术
浏览器除了支持ASCII码字符的URL,还支持ASCII码以外的字符,同时支持对所有的字符进行编码。URL编码就是将字符转换成16进制,并在前面加上“%”前缀,比如“”的ASCII码是92,92的十六进制是5c,所以“”的URL编码就是“%5c”。这样的URL编码浏览器和服务端都能够正常支持。
从这些原理分析来看,攻击者是如何通过URL编码进行钓鱼攻击呢?
钓鱼攻击者常用攻击伎俩就是混淆URL,通过利用相似的域名和内容骗取受害者信任,这里就存在一个相似度的值,通过URL编码就能提高URL的相似度。如,用户看到经常使用的域名。baidu。,往往会不加思索地直接单击,但若看到域名“。diaoyu。”,可能就会迟疑。
但如果用户看到域名“//。baidu。%2e%64%69%61%6f%79%75%2e%63%6f%6d”,可能也会直接单击。因为对普通用户来说,这个域名就是百度的域名,只是在后面加了一些页面地址而已,是可以绝对信任的。
其实,这个域名是经过URL编码的,还原回来的域名是“。baidu。。diaoyu。”。这个域名跟百度一点关系也没有,是攻击者在这个域名上伪造了一个百度的页面和相关功能,而普通用户是很难分辨出真伪的。用户就极易进入钓鱼网站,被攻击的可能性也大大增加。
4。建立假冒网上银行、网上证券网站,骗取用户账号和密码
不法分子还经常会创建域名和网页内容都与真实的网上银行系统、网上证券交易平台极为相似的网站,欺骗用户输入账号和密码等私人信息,从而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡窃取用户的资金。
5。利用用户弱口令等漏洞破解、猜测用户账号和密码
一些用户在设置口令时,有时为了贪图方便,常使用自己的生日或一些简单的数字组合作为口令,这样,攻击者就能非常容易地利用弱口令的漏洞,对银行卡密码进行破解。实际上,不法分子在实施网络诈骗的犯罪活动过程中,经常采取发送虚假电子邮件、建立假冒网上银行、利用虚假的电子商务等手段交织、配合进行。
6。利用虚假的电子商务进行欺骗
从事这类网络诈骗活动的不法分子,大都采用在知名电子商务网站,如“易趣”、“淘宝”、“阿里巴巴”等发布虚假信息,以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种商品,很多用户在他们低价的诱惑下上当受骗。
由于网上交易多是异地交易,通常需要汇款。不法分子一般要求消费者先付部分款,再以各种理由诱骗消费者付余款或者其他各种名目的款项,等到钱款或他们的伎俩被识破时,就立即切断与消费者的联系。
7。利用木马和黑客技术窃取用户信息后实施盗窃
木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金必然受到严重威胁。
第二章 真网址与假网址
钓鱼者经常会利用人们的心理弱点,将真实的网址进行少许的更改来伪造网址。当用户点击网址时,只会对网址中的几个关键字符与网站的主题特征进行大概的对比,感觉没什么异常就进入网站了。这样就正好中了攻击者设计好的圈套了。
7。2。1假域名注册欺骗
为了达到欺骗的目的,攻击者会注册一个域名。域名欺骗的好处就是增加欺骗度,特别是对金融网站进行钓鱼攻击时,伪造域名更是必不可少的。
注册假域名的方式有如下三种:
1.二级解析欺骗
二级解板欺骗主要针对拥有二级域名的网址欺骗。这里以“百度知道”站点为例,地址栏中的网址“//zhidao。baidu。”,其中“zhidao”为二级域名。用户在注册时,不可以直接注册“//zhidao。baidu。”,而是要先注册“//。baidu。”域名后,域名提供商才提供二级域名解析“zhidao。baidu。”。
但要注册baidu。类域名需要花费很多钱,钓鱼者肯定不会为了达到欺骗目的,花费大量资金注册这样一个域名。但他们会注册一个与其类似的域名,如“//。ba1du。”(用数字1替换掉了字母i),且让域名提供商提供二级blog解析“//zhidao。ba1du。”。这样当上网用户看到这个网址时,如果不仔细对比,就会把它当作是百度的站点“//zhidao。baidu。”,而直接点击。
2.一级域名欺骗
地址栏中的网址“//zhidao。baidu。”中的“baidu”为一级域名,要利用一级域名进行欺骗,可像上面一样,注册一个类似的域名“//。ba1du。”,从而欺骗用户。
3.域名后缀欺骗
域名后缀欺骗即利用网址最后的域名后缀进行欺骗。经常上网的用户都知道,域名后缀能很多,如、、cn等。攻击者可以注册一个后缀为co的域名“//。baidu。co”,这样,对于一些麻痹大意的用户来说,可以轻易地骗过他们的眼睛。
7。2。2状态栏中的网址欺骗
虽然利用假域名进行欺骗也是钓鱼攻击中的一种可行的方法,但如果遇到细心的用户,当打开网址时检查网页状态栏是否显示为真实的网址,如果发现异常,可能就不会继续点击该网址了。针对这种情况,钓鱼者同样有应付的方法,即利用代码使状态栏中的网址与网页内容的链接相同。
代码的内容如下: