反黑风暴- 第16部分

对于WindowsXP系统，把“REGEDIT4”改为“WindowsRegistryEditorVersion5。00”即可。

第一章　恐怖的网络钓鱼攻击

网络钓鱼（Phishing）一词是英文单词“Fishing”和“Phone”的综合，由于黑客始祖最初是以电话作案的，所以用“Ph”取代了“F”，创造了“Phishing”，Phishing的发音也与Fishing相近。网络钓鱼属于社会工程学攻击的一种，就其本身来说，网络钓鱼称不上是一种攻击手段，更像是一种诈骗方法。

攻击者利用伪造的电子邮件和伪造的Web站点来进行诈骗活动，诱骗访问者访问其伪造的页面，并获取受害人的一些个人信息，如信用卡号、账户和口令等个人隐私内容，以获取非法利益。诈骗者通常会将自己的伪装成知名银行、在线零售商和信用卡公司等可信的品牌。这就是典型的网络钓鱼攻击方式，这里的“鱼铒”就是欺骗性的电子邮件与伪造的Web站点。

攻击者为了扩大攻击范围，会利用邮件、IM即时通讯工具批量群发这些欺骗性信息，甚至会通过使用高级黑客手段（蠕虫式感染等）来进行攻击。钓鱼式攻击属于社会工程学攻击的一种。

网络钓鱼攻击的主要方法有如下7种。

1。发送电子邮件，以虚假信息引诱用户中圈套

钓鱼者以垃圾邮件的形式向受害者发送大量的欺诈性邮件，这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。

如，钓鱼者自称是某个购物网站或某商业网站的客户代表，告诉用户，如果不登录其所提供的某伪造网站并提供自己的身份信息，则该用户在该购物网站的账号就有可能被封掉。

当然，这种钓鱼方法在早期的网络钓鱼攻击中比较常见，现在的网络钓鱼者往往通过远程攻击一些防护薄弱的服务器获取客户名称的数据库，并通过钓鱼邮件投送给明确的目标。

2。利用浏览器漏洞实现钓鱼技术

利用浏览器的地址栏欺骗漏洞和跨域脚本漏洞可以实现完美的钓鱼攻击。利用地址栏欺骗漏洞，钓鱼攻击者可以在真实的URL地址下伪造任意的网页内容；利用跨域脚本漏洞，钓鱼攻击者可以跨域名跨页面修改网站的任意内容。

当用户访问一个URL时，返回给用户的却是攻击者可以控制的内容，如果这里伪造的是一个钓鱼网页内容，普通用户就会无从分辨真伪。

利用这种方法实现钓鱼攻击，对用户来说危害是最严重的，因为这类攻击利用的是客户端软件漏洞，完全不受服务端程序和网络环境的限制，是网站管理员无法控制的。用户只能在知道漏洞的情况下，及时安装软件补丁，或使用安全软件修补客户端软件的漏洞。

3。利用URL编码实现钓鱼技术

浏览器除了支持ASCII码字符的URL，还支持ASCII码以外的字符，同时支持对所有的字符进行编码。URL编码就是将字符转换成16进制，并在前面加上“％”前缀，比如“”的ASCII码是92，92的十六进制是5c，所以“”的URL编码就是“％5c”。这样的URL编码浏览器和服务端都能够正常支持。

从这些原理分析来看，攻击者是如何通过URL编码进行钓鱼攻击呢？

钓鱼攻击者常用攻击伎俩就是混淆URL，通过利用相似的域名和内容骗取受害者信任，这里就存在一个相似度的值，通过URL编码就能提高URL的相似度。如，用户看到经常使用的域名。baidu。，往往会不加思索地直接单击，但若看到域名“。diaoyu。”，可能就会迟疑。

但如果用户看到域名“//。baidu。％2e％64％69％61％6f％79％75％2e％63％6f％6d”，可能也会直接单击。因为对普通用户来说，这个域名就是百度的域名，只是在后面加了一些页面地址而已，是可以绝对信任的。

其实，这个域名是经过URL编码的，还原回来的域名是“。baidu。。diaoyu。”。这个域名跟百度一点关系也没有，是攻击者在这个域名上伪造了一个百度的页面和相关功能，而普通用户是很难分辨出真伪的。用户就极易进入钓鱼网站，被攻击的可能性也大大增加。

4。建立假冒网上银行、网上证券网站，骗取用户账号和密码

不法分子还经常会创建域名和网页内容都与真实的网上银行系统、网上证券交易平台极为相似的网站，欺骗用户输入账号和密码等私人信息，从而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡窃取用户的资金。

5。利用用户弱口令等漏洞破解、猜测用户账号和密码

一些用户在设置口令时，有时为了贪图方便，常使用自己的生日或一些简单的数字组合作为口令，这样，攻击者就能非常容易地利用弱口令的漏洞，对银行卡密码进行破解。实际上，不法分子在实施网络诈骗的犯罪活动过程中，经常采取发送虚假电子邮件、建立假冒网上银行、利用虚假的电子商务等手段交织、配合进行。

6。利用虚假的电子商务进行欺骗

从事这类网络诈骗活动的不法分子，大都采用在知名电子商务网站，如“易趣”、“淘宝”、“阿里巴巴”等发布虚假信息，以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种商品，很多用户在他们低价的诱惑下上当受骗。

由于网上交易多是异地交易，通常需要汇款。不法分子一般要求消费者先付部分款，再以各种理由诱骗消费者付余款或者其他各种名目的款项，等到钱款或他们的伎俩被识破时，就立即切断与消费者的联系。

7。利用木马和黑客技术窃取用户信息后实施盗窃

木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金必然受到严重威胁。

第二章　真网址与假网址

钓鱼者经常会利用人们的心理弱点，将真实的网址进行少许的更改来伪造网址。当用户点击网址时，只会对网址中的几个关键字符与网站的主题特征进行大概的对比，感觉没什么异常就进入网站了。这样就正好中了攻击者设计好的圈套了。

7。2。1假域名注册欺骗

为了达到欺骗的目的，攻击者会注册一个域名。域名欺骗的好处就是增加欺骗度，特别是对金融网站进行钓鱼攻击时，伪造域名更是必不可少的。

注册假域名的方式有如下三种：

1．二级解析欺骗

二级解板欺骗主要针对拥有二级域名的网址欺骗。这里以“百度知道”站点为例，地址栏中的网址“//zhidao。baidu。”，其中“zhidao”为二级域名。用户在注册时，不可以直接注册“//zhidao。baidu。”，而是要先注册“//。baidu。”域名后，域名提供商才提供二级域名解析“zhidao。baidu。”。

但要注册baidu。类域名需要花费很多钱，钓鱼者肯定不会为了达到欺骗目的，花费大量资金注册这样一个域名。但他们会注册一个与其类似的域名，如“//。ba1du。”（用数字1替换掉了字母i），且让域名提供商提供二级blog解析“//zhidao。ba1du。”。这样当上网用户看到这个网址时，如果不仔细对比，就会把它当作是百度的站点“//zhidao。baidu。”，而直接点击。

2．一级域名欺骗

地址栏中的网址“//zhidao。baidu。”中的“baidu”为一级域名，要利用一级域名进行欺骗，可像上面一样，注册一个类似的域名“//。ba1du。”，从而欺骗用户。

3．域名后缀欺骗

域名后缀欺骗即利用网址最后的域名后缀进行欺骗。经常上网的用户都知道，域名后缀能很多，如、、cn等。攻击者可以注册一个后缀为co的域名“//。baidu。co”，这样，对于一些麻痹大意的用户来说，可以轻易地骗过他们的眼睛。

7。2。2状态栏中的网址欺骗

虽然利用假域名进行欺骗也是钓鱼攻击中的一种可行的方法，但如果遇到细心的用户，当打开网址时检查网页状态栏是否显示为真实的网址，如果发现异常，可能就不会继续点击该网址了。针对这种情况，钓鱼者同样有应付的方法，即利用代码使状态栏中的网址与网页内容的链接相同。

代码的内容如下：















//。hockbase。













代码中的网址“//。hackbase。/”是将要打开的网站，链接中的网址用“//。hockbase。”来代替了。

当打开这个静态网页，并将鼠标移动到网页中的链接上时，状态栏上显示的链接与网页内容中的链接是相同的，看不出来有任何问题。但当用户单击该链接打开网站时，会发现打开的网站是“//。hackbase。/”，而不是“//。hockbase。”。

7。2。3IP转换与URL编码

IP地址转换就是数值之间的进制转换。IP地址最常写成加点的十进制形式，此种IP通常有4组数字段，并以“。”分隔开，每段数字都在0到255之间。众所周知，IP地址与域名是对应的，使用域名能够访问网站，同样，使用IP地址也能访问网站。

如果把十进制的IP地址转换成八进制与十六进制，再使用IP地址访问网站，用户将看到一段无意义的数字，一般不会怀疑。

要将网站域名对应的IP地址转换为八进制或十六进制，可使用一个简单的小工具——终极URL。下面将以。sina。网站为例，介绍IP地址转换的方法。

步骤01单击【开始】→【运行】，在弹出的【运行】对话框中输入“CMD”，即可打开“命令提示符”窗口。在命令提示符下输入“Ping。sina。”命令，获得网站。sina。对应的IP地址为59。175。132。61。

步骤02从网上下载“终极URL工具”压缩包并解压打开工具，在“IP转换”栏中输入网站。sina。对应的IP地址，并选中“点分八进制”单选项，单击“加密”按钮，在“加密后IP”栏中即可显示转换后的八进制的IP地址。

步骤03复制转换后的IP地址，并使用IE浏览器打开该地址，即可看到打开的网站仍然是新浪站点。还可以在“IP转换”栏中选择“点分十六进制”单选项，将IP地址转换为十六进制。

另外，使用“终极URL工具”还可以将域名转换为URL编码。URL编码是字符的ASCII码的十六进制状态，并在字符前加上“％”符号。例如，3的16进制ASCII码是33，URL编码后的结果是％33。

若要将某一网站的域名转换为URL编码，可在“终极URL工具”中的“URL加密”栏中的“待加密URL”文本框中输入网站的域名。

如黑基网“。hackbase。”，单击“加密”按钮，即可在“加密后URL”文本框中显示相应的URL编码：//％77％77％77％2E％68％61％63％6B％62％61％73％65％2E％63％6F％6D/。再复制该URL编码并使用IE浏览器打开加密后的URL，即可看到能正常打开“黑基网”站点。

第三章　E…Mail邮件钓鱼技术

早期的E…mail邮件钓鱼技术非常简单，就是利用欺骗性的E…mail和伪造的Web站点来进行诈骗活动，使受骗者泄露自己的重要数据，如信用卡号、用户名和口令等。但随着钓鱼事件的增多，越来越多的网民增强了防范心理，也采取了一些防范措施，使邮件钓鱼攻击越来越困难。在这种压力下，攻击者提出了更高级的邮件钓鱼技术，将“欺骗”发挥到极致。

7。3。1花样百出的钓鱼邮件制造

网络钓鱼作为一种诈骗手段，其中并没有太多的技术含量，攻击者只是利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动，受骗者往往会毫不设防地泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。而且网络钓鱼的存活期平均是15天，在这么短的时间内让攻击达到百万次，关键是施放的鱼饵。影响存活其的因素在于技术上实现的隐蔽性、针对性、操作性，影响因素越小，存活性就会越长。

一般来说，成功的钓鱼者不会盲、任意地寻找攻击目标，而是有计划有步骤地对不同的用户群进行分类。他们常将用户群分为两种类型进行攻击，一种是针对型，一种是广谱型。针对型的钓鱼攻击比较常见，主要是为了获取有用数据而专门攻击小范围的具备某特点的团体。例如，盯上了苹果的新品iPhone的钓鱼邮件，往往会将目标锁定到对iPhone感兴趣的时尚一族，银行/金融机构的客户等。

广谱型的钓鱼攻击即没有特定的目标，对于普通的用户群会进行大面积撒网。它与传统的直接盲目发送邮件非常相似，但实质性的内容却不同。

针对型钓鱼者为了使发送的钓鱼邮件实现较高的点击率，往往会采取如下方法使邮件更加真实。

●针对型的钓鱼邮件在邮件格式上会套用被欺骗企业常用的邮件格式，作为标准邮件格式。

●邮件的正文表达的意思非常明确，如要求用户注册验证、账户更新或系统升级等，不会使用一些含糊不清的内容，使用户产生怀疑。

●使用Photoshop、Dreamweaver等专业工具对邮件中使用的图片进行处理，并生成HTML代码插入邮件内容进行发送。

●伪造被欺骗企业信息和认证标志，使钓鱼邮件更逼真。

而广谱型钓鱼邮件没有必要像针对型钓鱼邮件那样制作一个标准的钓鱼邮件，因为这类邮件可以批量发送给网络中的所有用户，只要邮件内容能够引起用户的好奇心或注意力，让他们点击邮件链接即可。因此，这类钓鱼邮件需要钓鱼者在邮件的标题及内容上多花些功夫。

7。3。2伪造发件人地址

邮件诈骗则是网络诈骗最常用的手段。黑客通过伪造地址和发信人的邮件，发送虚假的获奖信息或者活动信息，骗取收件人的信任并诈骗收件人的财务。

比如，如果收到一收朋友发