垂钓者还是被钓者 网络时代的钓鱼危机

　　一、你是垂钓者，还是上钩的鱼?

　　南方的早春总是伴着绵绵细雨，难得今天是个晴朗天气，某服装公司的王经理带着十几个重要员工来到郊外一个鱼塘进行垂钓活动。王经理放置好钓具后，便打开了随身携带的笔记本电脑并连上网络，他想利用这点时间处理一下最近的一笔生意。秘书见他在这种时候还离不开工作，便劝他:“经理，今天是游玩的日子，难得放松一下，今天还是不要处理公司业务了吧……您不怕钓竿被鱼叼走了?”王经理对秘书笑了笑，看着身前的钓竿缓缓说道:“业务就如一条钓竿，谁也无法预料到自己即将钓起的是大鱼还是小鱼，但是总得时刻盯着浮标，稍有松懈，大鱼小鱼都会脱钩逃走，我现在就是那个垂钓者，一刻也不能放松啊。都说姜太公钓鱼，愿者上钩，但是如果不知道提竿的时机，即将到手的鱼也会溜走的。等这笔生意谈妥，我再休息也不迟。”说罢又继续低头敲键盘，秘书被经理突然而来的一番话唬得愣在原地，半天没反应过来。

　　生意终于谈妥，客户把货款转入王经理的银行账户，王经理笑了:“这条大鱼终于被我钓到了。”然后他登上网络银行账户查看转账情况。当页面上显示出账户剩余金额时，王经理心里一紧，接着有了晕眩的感觉:账户里原来的存款不翼而飞，页面里唯有客户刚刚转入的货款，仿佛在嘲笑着王经理……

　　王经理做梦也没想到，这一次，他成了别人钓上的鱼，而且是大鱼。

　　网络钓鱼(Phishing)，并不是一种新的入侵方法，但是它的危害范围却在逐渐扩大，成为近期最威胁网络安全的方法之一。Phishing就是指入侵者通过处心积虑的通过技术手段伪造出一些假可乱真的网站和诱惑受害者根据指定方法作业的E-MAIL等方法，使得受害者“自愿”交出重要信息或被窃取重要信息(例如银行账户密码)的手段。入侵者并不需要主动攻击，他只需要静静等候这些钓竿提起一条又一条鱼就可以了，“姜太公钓鱼，愿者上钩”。

　　看到这里有读者可能会说，这不是社会工程学吗?都是骗人的手段啊。网络钓鱼的确有社会工程学的影子，但是与之相比，它更趋向于技术方面，因为这不仅仅是欺骗，里面还必须掺入技术成分，否则“垂钓者”自己也无法控制钓竿，更别说钓鱼了。

　　二、视觉陷阱:网页背后的钓竿

　　警察正在分析王经理那台笔记本硬盘里的数据，王经理本人在报案时心脏病发作而进了医院。由于无法得知王经理最后一次登录网络银行的时间，而且系统里也没有感染任何偷盗账号的后门，案件变得有点扑朔迷离起来。一个分析员无意中打开了Foxmail，发现最后一封信件是银行发送的，主题为“XX网络银行关于加强账户安全的通告”，分析员预测案件与这封信件有重大关系，马上打开阅读。这是一封HTML网页模板的信件，内容大意为银行为了加强账户安全而升级了系统，请各位客户尽快重新设置账户密码，末尾还给出了设置密码的URL连接。

　　幕后黑手果然在这里!分析员马上查看信件源代码，很快就找出了其中的猫腻:正如常说的俗话“说的一套，做的一套”，这个邮件的作者采用了“看的一套，进的一套”这种简单的欺骗手法，入侵者利用HTML语言里URL标记的特性，把它写成了这样:“http://www.xxbank.com.cn/account/index.asp”，由于心理作用，受害者潜意识里都会直接点记那个写着“http://www.xxbank.com.cn/account/index.asp”的URL连接，然而他们并不知道，这个点击实际上是把他们引向“http://www.xxxbank.com.cn/account/index.asp”这条钓竿!而这个所谓的更改密码页面，当然伪造得与真正银行页面完全一致，但是它的“更改密码”却是把账号和密码发送到了幕后的“垂钓者”手上，然后“垂钓者”登录上真正的网络银行改了受害者设置的密码，并顺手牵羊把银行账户里的存款转移掉。这样钓来的鱼，即使是小鱼也会让“垂钓者”在梦里发出笑声来了，即使一条太小，积累起来数目也会变得相当可观了。在金钱诱惑下，“垂钓者”一次又一次提竿，诛不知，他自己也是被金钱钓竿钓上的一条鱼……

　　为什么如此低陋的技术都能频频得手呢?因为它充分利用了人们的心理漏洞，首先，人们收到银行这类影响力很大的企业的信件时几乎都会紧张，很多人都不曾怀疑信件的真实性，更会下意识的根据要求打开里面指定的URL进行操作;其次，页面打开后，我们通常都只会留意页面内容而不会注意浏览器地址栏的显示，正是这点让“垂钓者”有了可乘之机。

　　其实“垂钓者”们是可以利用IE的URL欺骗漏洞把自己伪装得更像一回事的，只是现在IE普遍打了补丁，这种情况下还使用这个漏洞就会“不打自招”了，所以只有极少数“垂钓者”会采用这个方法，有的“垂钓者”根本连个看起来“好像”的域名都没有，而是采用IP地址形式甚至直接光明正大把真实地址显示在浏览器的地址栏里——因为他们知道，除非出现意外情况，否则大部分人根本是不会注意浏览器的地址栏的。

　　这里顺便提一下那封E-MAIL，为什么王经理会上当呢?纵然，如果这E-MAIL的发件人地址不是银行网站的，那么白痴都看得出来这是假信。但是问题就出在这里，这封E-MAIL的发件人地址清清楚楚写着该银行网站的技术支持信箱地址!“垂钓者”是怎么做到的呢?很简单，一些未经设置的E-MAIL服务器并不会验证用户信息是真实，于是骗子用这样的邮件服务器发送一封伪造了发件人地址的信件简直是易如反掌。

　　三、借竿钓鱼:爱恨交加的搜索引擎

　　上期文章里我描述过搜索引擎的概念:它是一种能够获得网站网页资料并建立数据库并提供查询服务的系统，由于Internet的迅速发展进入信息量大爆炸时代，可以获取信息的途径越来越多，查找一个特定的信息数据开始变得困难，往往在瀚如烟海的网络中找寻半天也无法得到你想要的信息，这种环境同时也导致了信息更新速度的不同步，也许你找了半天才找到的信息已经是昨日黄花，为此人们急切需要一种能尽量把各种信息统一管理并提供简便搜索功能的工具，搜索引擎因此而诞生，而GOOGLE由于技术的强大已经成为病毒和入侵者窥视的焦点。

　　这次，依旧是GOOGLE惹的祸。很早以前，GOOGLE就“提供”了一种“搜索入侵”:入侵者通过在GOOGLE上查询某些特定的字符，可以发现甚至直接进入存在该漏洞的计算机，当年有许多存在Unicode漏洞的计算机就是被GOOGLE拎了出来——只要搜索诸如“/scripts/..%5c../winnt/system32/cmd.exe?/c dir”此类的关键字就能发现很多包含“Directory of”字符串的IP地址，点击进去，你会发现你已经用Unicode漏洞入侵了该计算机……现在虽然这个方法已经失效，但是GOOGLE带来的恐怖影响却足以让初学者汗颜。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有