来源:蜘蛛抓取(WebSpider)
时间:2018-01-13 06:47
标签:
钓鱼网站的症状
说啥?刷屏好友圈的“穿上军装”游戏是钓鱼链接?真相是...
点击“盐官网”
今日潮讯:日(农历闰六月初九)日潮06:00,夜潮18:00。预计明天日潮07:00,夜潮19:00。明日小潮。观潮请提前40分钟等候。
今天,小伙伴们的朋友圈一定被一张张军装照刷屏了吧?不过有网友提醒大家:这是钓鱼链接,小心自己的照片和微信号被不法分子获取!还有网友煞有其事的通过分析该网站的域名来判断其为钓鱼网站。这究竟是怎么回事?
【人民日报客户端声明!
火爆的“军装照”H5,是冒充人民日报客户端的网络诈骗?
人民日报客户端严正声明:请造谣传谣者歇歇吧!
您千万别私存!一定给你朋友也看看!焦点访谈:
(第一条)
通告各位亲:
央视焦点访谈已报道,QQ及微信中小孩走失求转发、小孩急病和类似星座好运、今天是什么儿子节、女儿节、老公节、老婆节、爸爸节、妈妈节、兄弟姐妹节、朋友节等等,都是虚假的,并且是恐怖的,特别是小孩走失公布的求救电话都是境外和一些非法运行商的窃取号码,央视报道已有上万人好心但被骗。一定要核实后转发!
(第二条)
星座好运转发和什么女儿、儿子节等是非法网站骗取用户,利用点击转发骗取数字流量。
(第三条)
请大家警惕起来,不再转发类似信息,以免我们的亲友真的上当受骗。
(第四条)
另外,一些转发了会如何如何好、不转发就会怎么怎么样的信息,实在是荒唐,就像只癞蛤蟆,不咬人却硌应人。
(第五条)
所以请好友圈里的朋友们自觉抵制、拒绝转发此类信息!
(第六条)
同意的分享到各自好友圈,不让有害信息从我们手中传播。
我同意,我分享到好友圈了!
内容来源:人民日报 综合网络
版权归原作者所有,如有侵权请联系我们
责任编辑:
声明:本文由入驻搜狐号的作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。
今日搜狐热点爆红台州人朋友圈的“穿上军装”疑为钓鱼网站?真相是... - 台州杂谈 - 台州生活网 - Powered by Discuz!
后使用快捷导航没有帐号?
查看: 20457|回复: 13
爆红台州人朋友圈的“穿上军装”疑为钓鱼网站?真相是...
微信扫一扫到手机
主题帖子好友
副总监, 积分 370, 距离下一级还需 230 积分
TA的帖子:
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
才可以下载或查看,没有帐号?
&&扫一扫,用微信登录
正值建军90周年之际
大阅兵和电影《建军大业》让我们过了一把军装的瘾
这两天你的朋友圈、微博应该已经被军装照强势刷屏了▼
好奇宝宝小苹果
也打算点进去尝试一下
按照步骤来识别图中的二维码进入一个名为“穿上军装”的页面上传自己的照片,选择性别与参军年代就可以生成专属自己的军装照▼
正在大家开开心心晒照片的时候小苹果发现朋友圈有人在转发电炸新手法等内容what?穿上军装是钓鱼网站?▼
可是小苹果通过扫描登陆显示的的确是人民日报客户端啊▼
这难道是“假的”人民日报吗?通过IP查询,结果显示的位置在加拿大!▼
再通过域名查询显示的是一个北京的公司名下还有大量的域名▼
开始有网友怀疑一个北京的公司IP地址为什么会在加拿大的服务器上?这绝对是冒充人民日报客户端获取大家的个人信息
然而,各大公安网警帐号开始在微博辟谣称这是人民日报客户端做的活动只是页面是找第三方公司制作的▼
同时,人民日报也站出来辟谣▼
真是吓了一跳但是提高警惕总是好的这下终于可以大胆的晒起来了我们朋友圈见
来源:综合自网络
主题帖子好友
部门经理, 积分 160, 距离下一级还需 140 积分
终于可以愉快的晒图了,早上看见是钓鱼网站,吓都吓死了
主题帖子好友
总监, 积分 825, 距离下一级还需 175 积分
生活币1025
早上闺蜜一脸紧张的和我说这个事来着,幸好辟谣了
主题帖子好友
副总监, 积分 544, 距离下一级还需 56 积分
生活币1049
我也去试试
主题帖子好友
总监, 积分 806, 距离下一级还需 194 积分
生活币1380
好像挺玩的
主题帖子好友
生活币1901
比美图秀秀还强大的是这个软件,这张我妈绝对认不出来
你知道幽默是什么吗,幽默就是在你哭的时候还有想笑的冲动。
主题帖子好友
生活币11818
主题帖子好友
生活币9002
比美图秀秀还强大的是这个软件,这张我妈绝对认不出来
这是小苹果?
主题帖子好友
生活币9002
大家可以来晒下自己的军装照哟
主题帖子好友
董事, 积分 5622, 距离下一级还需 1378 积分
生活币8859
现在骗子太多,弄得大家草木皆兵
http://www.tz.cc All Rights Reserved 版权所有 : 台州市奇易网络技术有限公司 法律顾问:
信息产业部备案/许可证编号: 浙ICP备号 经营性ICP证:浙B2- 浙公网安备 61号12被浏览3,760分享邀请回答
网络钓鱼攻击技术的研究初探
摘要:中国是全球第一大网。人数最多,联网区域最广。由于中国网络迅速发展,钓鱼网站、钓鱼程序已经逐渐出现在我们身边。钓鱼网站的大量出现,严重地影响了在线金融服务、的发展,还危害了公众的利益,影响公众应用互联网的信心。根据中国反钓鱼网站联盟统计,截止2013年7月份,中国反钓鱼网站联盟累计认定并处理钓鱼网站128881个[1]。我对网络钓鱼问题进行了初步的探索,了解到了网络攻击和防范的一些技术,认为目前网络钓鱼猖獗的重要原因在于其技术门槛低、实现代价小、用户们安全意识不够等原因,最后提出一些相关建议。
关键词:互联网 网络钓鱼 识别
问题的提出:经常在电视上新闻上看到某人因在钓鱼网站交易被骗了钱,为此对网络钓鱼进行了的研究。想通过本文让大家了解网络钓鱼,防范网络钓鱼。一、网络钓鱼介绍
网络钓鱼攻击[2](Phishing Attack)者利用欺骗性的、伪造的 Web 站点、欺骗性的程序来进行活动,受骗者往往会泄露自己的私人资料,如信用卡号、卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。它是“”的一种形式。
钓鱼网站的大量出现,严重地影响了在线金融服务、的发展,还危害了公众的利益,影响公众应用互联网的信心。根据中国反钓鱼网站联盟统计,截止2013年7月份,中国反钓鱼网站联盟累计认定并处理钓鱼网站128881个[1]。而我们如果以“网络钓鱼”、“被骗”等关键词在互联网上进行搜索,则可以发现身边存在大量类似“庄先生订机票时被钓鱼网站骗走2万多元”、“王女士网购遇钓鱼网站7000元打水漂”的网络钓鱼案例新闻[3]。这说明网络钓鱼离我们并不远,就在我们身边。二、钓鱼网站2.1
钓鱼网站的组成
钓鱼网站的组成包括一个域名、一个空间1(虚拟主机)/VPS(Virtual Private Server)/服务器;还需要一份钓鱼网站的网页源码。为何会出现如此多的钓鱼网站?这是因为钓鱼网站的成本并不高。一个.com域名市场上大约的价格为35元,而.cn的域名仅需10元,甚至许多钓鱼网站使用免费的域名,如著名的.tk域名等。那么一个空间又需要多少钱呢?一个美国IP地址的100MB空间每年的租赁费用约为50元人民币2,而钓鱼网站源码在网上则几乎可随处免费下载。甚至可以100至300元的价格专门定制3。如此计算下来,一个钓鱼网站的成本约85元人民币4,还不到一百元。注册域名、租赁空间、下载源码也缺乏有力监管,只需要随意填写一些信息即可,而绝大部分钓鱼网站填写的注册信息为虚假信息。
那么网络钓鱼泛滥的终究原因是什么呢?首先是技术门槛低,目前的某些网络钓鱼网站,所涉及到的实现技术,一名中学生即可掌握,这使得犯罪份子在技术上有条件实现钓鱼网站。其次是实现代价小,钓鱼网站的制作成本十分低廉,如上文所述,一个钓鱼网站只需要不到一百元即可搭建完成,巨大的投入产出比使得犯罪分子趋之若鹜。最后,用户们安全意识不够也是一个重要原因。网络知识缺乏的人占大多数,而且受害者通常处于相对技术劣势,难以区分钓鱼网站与真实网站的区别,这也使得钓鱼网站炮制者更容易得益。2.2
钓鱼网站危害方式
通常钓鱼网站的界面与目标网站的界面十分相似,以此来让访问者相信该网站为官方网站,与实际官方网站差别很小,网络知识淡薄的人很容易上当受骗。钓鱼网站的域名与实际官方网站的域名也很相似。例如著名的淘宝购物网的网址为,而钓鱼网站域名就很有可能使用;再例如用来冒充5;或者是注册6,一旦用户不小心记错或者敲错域名就可能进入钓鱼网站。就算具备一定网络知识的人也有可能看错。2.3
钓鱼网站传播方式
目前钓鱼网站的传播方式大概有如下几种:1)通过MSN、QQ、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接;2)通过搜索引擎、中小网站投放广告,或者交换链接,吸引用户点击钓鱼网站链接;3)通过Email、论坛、博客、贴吧等等网站发布钓鱼网站链接;4)通过微博、社交网站散步钓鱼网站链接;5)通过手机短信,发送钓鱼网站链接;6)通过病毒弹出钓鱼网站链接窗口;7)通过域名相似度,当用户输入域名错误后误入钓鱼网站。2.4 钓鱼网站牟利模式
目前钓鱼网站的牟利方式大致如下:1)黑客通过钓鱼网站设下陷阱,大量收集用户个人隐私信息,通过贩卖个人信息或敲诈用户;2)黑客通过钓鱼网站收集、记录用户网上银行账号、密码,通过技术手段盗取网银的资金;3)黑客假冒网上购物、在线支付网站,欺骗用户直接将钱打入黑客账户;4)通过假冒产品和广告宣传获取用户信任,骗取用户金钱;5)恶意团购网站或购物网站,假借“限时抢购”、“秒杀”等噱头,让用户不假思索地提供个人信息和银行账号,这些黑心网站主可直接获取用户输入的个人资料和网银账号密码信息,进而获利。三、钓鱼程序
钓鱼程序是指用计算机语言编写出来的计算机程序,其性质和目的均为钓鱼。下面本文尝试通过一个刷QB的程序对钓鱼程序进行介绍。图1是我上小学的时候曾经完成的一个程序,其目的是为了尝试研究钓鱼程序的伪装技术7。图1左侧所示图标是腾讯即时通讯软件QQ的图标,这很容易伪造成和QQ一样的图标,在编程的时候简单设置一下即可。运行后,会提示“正在连接腾讯内部服务器”,这一界面可能让使用者更相信该软件的真实性,从而隐藏其可能的真实目的。
图1 一个简单的钓鱼程序用户界面会提示用户输入QQ号码和QQ密码,而当用户输入QQ号码和QQ密码后,软件可以轻易地获取用户输入的内容,并将内容发送到作者的邮箱。即使这样一个最简单的钓鱼程序,也可能会有很多使用者上当。四、反钓鱼技术目前国内主流的浏览器几乎都有拦截钓鱼网站的功能,检测方法主要有以下几种:4.1 基于黑名单的钓鱼识别技术,基于网站黑名单存放的数据库进行识别。
基于黑名单的钓鱼识别技术
当用户打开网址后,浏览器把URL 8 发送到黑名单服务器的数据库中进行查询,如果匹配到则该网页为钓鱼网页,浏览器就阻止用户访问该网页并提示,如果没有匹配到浏览器将会继续打开网页。黑名单中的存在的钓鱼网站URL,大部分为用户举报提交的。很多钓鱼网站在获得暴利后便马上关闭,更换域名和空间以躲避网监的查处, 所以钓鱼网站平均存活率都不高,所以基于黑名单的钓鱼识别技术就要求有良好的实效性。缺点是只能对URL进行简单匹配,无法检测到黑名单以外的钓鱼网站。优点是:实施简单,处理十分迅速,没有误报率。4.2 基于URL的钓鱼识别技术
部分钓鱼网站可能存在域名和官方网站相似的情况。于是浏览器便有了一个功能。基于URL的钓鱼识别技术。
该项技术误报率很大,大部分浏览器不适用该技术。
基于URL的钓鱼识别技术4.3 基于页面文本特征的钓鱼识别技术由于钓鱼网站自身特有的明显特征,可以通过基于页面文本特征的钓鱼识别技术来检测钓鱼网站。首先提取页面的钓鱼特征,如文字特征和DOM(Document Object Model)结构特征,通过分析与正常官网的特征区别进行对比识别。可以通过以下几个方面提取特征:WEB页面URL,链接对象,表单,资源等等。使用该方法误报率较低,根据启发式检测技术,能识别在页面上具有高相似度的钓鱼网站。缺点为 不可避免有误报的情况出现。4.4 基于域名whois的钓鱼识别技术任何一个域名在注册的时候都需要在域名注册商那里填写域名注册人的相关信息。那么识别钓鱼网站的时候也可以通过域名whois进行钓鱼识别。为此我收集了数个钓鱼网站进行识别,发现它们中大部分的域名whois的信息乱填的(即为连续的字母或数字或特殊含义的号码等等),还有少部分钓鱼网站域名whois信息和被钓正规网站相似。极少部分钓鱼网站隐藏了域名whois的信息。由此可得出结论:钓鱼网站也可以通过域名whois的信息进行识别。当用户访问钓鱼网站后浏览器查看域名whois信息和正常被钓网站进行对比,得出其是否为钓鱼网站的结论,返回到客户端告知用户。该识别技术误报率较低。4.5 基于网站备案识别钓鱼网站大部分仿冒的网站为大型网站,根据国家工信部的要求,该网站肯定已经备案。且备案信息中有该企业名称。浏览器可以通过判断“网站”是否备案,备案信息是否与正常网站信息一致。看到这里,也许有人会问,备案的信息不能伪造吗?实际上,中国网站备案步骤比较复杂,公司备案需要营业执照副本、网站负责人身份证正反面、网站负责人照片、核验单等。而且是人工审核,备案时间约为20至30个工作日。钓鱼网站流动性较大,备案困难且备案信息不可伪造。使用网站备案进行识别是一个好方法。误报率几乎为零。4.6 基于图像特征的钓鱼识别技术有些时候基于页面文本特征的钓鱼识别技术不能有效工作的时候,可以使用基于图像特征的钓鱼识别技术进行识别。有些钓鱼网站开发者对于CSS或者美工不擅长技术,于是网页大面积使用图片进行开发,关键字就在图片里面了,文本就会很少。可根据EMD算法计算图片文件与数据库中钓鱼网站截图文件之间的相似度去判断是否为钓鱼网站。基于图像特征的钓鱼识别技术,优点就是检测那些为了躲避文本特征检测识别技术的钓鱼网页。缺点是算法十分复杂,计算量大,占用空间大。4.7 基于PR(PageRank)网页级别进行判断PR值全称为PageRank(网页级别),钓鱼网站由于流动性和临时性,网站的PR值很低,一般的钓鱼网站PR值为0.而钓鱼网站所仿的官方真实网站PR值一般很高.当发现疑似钓鱼网站的网页时,通过判断PR值来确定该网站是否为钓鱼网站也是一个好的方法。五、钓鱼网页的分析5.1钓鱼网页实例(QQ邮箱)这里举出实际的案例,来对钓鱼网页进行分析,下面是一个QQ邮箱的界面示例:
图4 钓鱼页面(QQ邮箱)
图5 官方页面(QQ邮箱)钓鱼网页首页上的链接均使用官方地址
钓鱼示例网页的主要代码
钓鱼网页存储格式为 TIME时间-USER 用户输入的QQ号-PASSWORD 用户输入的密码-IP 用户的IP地址。将以上数据存放在1.txt中。存储后返回真实QQ邮箱登陆界面。钓鱼者通过访问1.txt即可查看到受害者输入的信息。目录结构较为简单,如下图所示:
钓鱼示例网页的目录文件其内容分别为:图片文件夹、css样式、主页文件和存放的受害者的信息文件1.txt,甚至都不需要使用数据库。普通用户往往只看到界面熟悉,而不看到域名就盲目的访问,并且在网页上填写自己的账号密码,就会导致账号被盗,隐私泄露等问题。
图8 本地测试钓鱼网站和真实网页的URL示意图这种钓鱼网页设计简单,并未进行账号密码正确性判断,随便输入任何汉字或字母都可以作为账号“登录”。5.2钓鱼网页实例(QQ安全中心)
图9 钓鱼页面(QQ安全中心)
图10 官方页面(QQ安全中心)
标题和官方网站标题完全一样,通过数个div和css样式组成首页。并且使用QQ安全中心的网页图标,除首页外导航栏均链接到QQ安全中心官方网站。在钓鱼网页上的验证码可随便输入,程序并未识别验证码是否正确。QQ账号和密码也没有进行判断。但是从根目录下的“资料.txt”中可以看到,该代码的收费版的有识别账号密码是否正确的功能,账号可以输入汉字、英文。这意味着更高的隐蔽性,也更加具有欺骗性。
登录后的页面如图11所示:
图11 登录钓鱼网站的QQ安全中心后的伪造信息该网页利用用户的心理,当用户看到账号被冻结且有大量异地登录时,心情肯定很紧张,于是便急于清楚异常。点击清楚异常按钮后出现图12所示的界面:
图12登录钓鱼网站的QQ安全中心后的伪造验证输入框 该界面弹出输入密保问题的框,并要求让用户输入其信息。用户输入信息后,会转入图13所示的伪造申诉信息页面。可以看到,犯罪分子的伪装十分精细而巧妙,试图让用户输入QQ账号申诉时填写的信息,以便盗号者进行申诉盗号。
图13 登录钓鱼网站的QQ安全中心后的系列伪造页面
最后显示我们提交成功,下面我进入钓鱼网站后台,输入管理员账号密码后成功登入。
查看后台登陆记录,可以看到刚刚提交的信息:
图14 钓鱼网站盗取的用户信息可以看到,所有信息都被记录到了后台。根据腾讯公司对找回QQ密码的两种途径。第一种通过密保修改,上面信息记录的内容包括密保问题的三个问题,而通过手机短信修改,以上也收集到用户发送短信后的验证码。而找回密码所需要的资料也全部都有,因此盗号者完全可以通过上面的资料获得QQ号的“所有权”。图15 钓鱼网站的文件目录结构信息图15 钓鱼网站的数据库信息 2555659fhlk544362@$@$#fj目录下为存放钓鱼数据的数据库文件。所有钓鱼数据和管理员账号密码、登录记录都存放在mdb数据库中,作者为了防止黑客下载mdb把数据库的目录和mdb数据库文件的文件名弄的很长很复杂。六、钓鱼网站技术原理6.1 页面制作钓鱼网站首先要模拟出足以诱使用用户登录的看似正常的官方网站内容.常见的内容一般都含有看似复杂的文字、图片、链接以及flash动画等内容,其实这些内容可以简单的通过浏览器的“文件另存为”完成。
这里以IE10为例,我们可以看到另存为后的内容和该网站完全一样:
图16 百度页面
即使有些内容无法获取到也无关紧要,因为没有人会清楚地记得特定网页上会有哪些内容.钓鱼者往往将制作好的网页放到一个可以公开访问的空间上,这样任何人都可以通过互联网访问到这个页面.6.2 后台技术钓鱼网站的目的是获取到用户的个人隐私,因此如何捕捉用户在网页上的输入是关键一步。通常钓鱼者把用户的信息存到mdb数据库文件中或TXT文件中又或者mysql数据库中。正常的网页是需要把账号密码和数据库中的进行对比,而钓鱼者通常为了减少代码量,直接存入,并不做验证。七、钓鱼网站的鉴别方法与防范7.1 安全标志查验法
用户在进行网络交易等重要操作时应养成查看网站身份信息的使用习惯。例如360安全浏览器当你访问为官方网站的时候 便会在地址栏左边显示绿色的标志,如图17(a)所示,如果不是官方网站则提示如图17(b)的标志。(a)
图17 安全信息提示标记可信网站查验是通过中国互联网络信息中心(CNNIC)验证服务来鉴别网站的真实性的方法中国互联网络信息中心(CNNIC)网址是,其网站下面有一个查询的链接。查询后显示可信网站持有者,便为官方可信网站。
图18 网络安全可信网站查验7.2 https安全链接
一般大型支付网站如支付宝等,其URL开头为https 表示该网站通过SSL加密访问。但就算有https也不能全信(开启https需要服务器支持和SSL证书),因为申请SSL证书也很容易,网络上有免费申请SSL证书,虽然过程复杂容易失败,但也有人将其作为高端钓鱼网站的选择。甚至也可以在淘宝购物网站上购买,最低价有8元/年的SSL证书。所以就算有https也不能全信这个网站是安全的官网。7.3 域名结构分析域名最前面一般由http://或者https://构成,这是超文本传输协议,域名的htt*://到第一个单斜杠“/”之间是域名的所在位置。我们先把除此之外的排除掉。按照上述方法 排除
便保留了为空。那么保留后有些钓鱼网站域名为 (不存在该域名),那么它真实的域名是什么呢?我们只需要从最后面“/”的前面光标到“.”,那么“.”的前面拼接“.”再拼接“.”的后面便组成了该域名。如上述的钓鱼网站真实域名为。面对钓鱼网站的时候,我们观察他们的域名,如,对应真实的官网地址应为。我们就能发现其中的玄机——钓鱼网站把“o”换成了“0”以此来试图迷惑用户。7.4 QQ传输法验证
相信大家上网常做的事之一就是上QQ,那么在这里,我告诉大家一个方法验证是否为钓鱼网站,为了不影响其它QQ用户,可使用新建的讨论组进行测试,当发送的网址URL为官方网站的时候QQ会提示您一些信息,如图19所示,左边会有一个绿色的小勾提醒您该网站是安全的。如果提醒您蓝色问号,则请谨慎访问,因为这个URL不是官网网站。如果提醒您红色感叹号,则表明该网站被许多QQ用户举报为并不安全,务必不要访问。
图19 腾讯提供的网站安全性验证服务提示信息7.5 增强安全的防范意识钓鱼网站是利用人们的心理弱点来进行的一种敲诈行为,之所以有不少的人上当,还是因为人们缺乏安全意识,根本没有验证网站的合法性、安全性和真实性。上当的人群通常都相信天上能掉馅饼,在获得“大奖”或其他物质奖励的诱惑下兴奋不已,放松了警戒。7.6 使用安全软件浏览网页的时候可以使用安全的浏览器(不推荐使用Windows自带的IE浏览器),例如360安全浏览器、猎豹浏览器、谷歌浏览器、火狐浏览器等。当用户使用上述浏览器的时候,如果访问的是钓鱼网站,浏览器会自动提醒您警告信息。但需要注意的是,由于现在钓鱼网站技术越来越高超,就算浏览器不提示警告信息, 也不能完全相信。360安全浏览器和猎豹浏览器 目前推出了网购赔付的政策,在用户遇到钓鱼网站或网购木马时,浏览器若有不及时进行拦截而导致您遭受经济损失的,浏览器会为您提供部分或全额的赔付,这确保了浏览器使用者的利益。
图19 提供安全监测功能的浏览器除了浏览器以外我们还应该:
1)开通网银U盾保护。在银行开通网上银行时,同时购买U盾。在登录网上银行时,必须把U盾插入电脑并输入安全锁密码,如果不小心在钓鱼网站上泄露了网银的账号密码,违法者也不能登录.因为登录必须要U盾插入。
2)申请数字证书保护。数字证书是支付宝提供的保护资金安全的工具,使用了数字签证,必须要在安装了有数字证书的电脑上才能进行资金操作,这确保了用户的资金安全。
3)其它保护措施。例如QQ,目前QQ提供了密保手机、手机令牌、QQ令牌、密保卡、密保问题等五种策略来对QQ进行保护。使用上述的五种密保工具,能更大程度上确保QQ的安全。
4)除了上述提到的技术手段外,用户电脑上还应该安装杀毒软件、防火墙。例如360安全卫士、卡巴斯基、瑞星、金山等等,以防止电脑被植入盗号木马等软件。八、XSS漏洞钓鱼攻击
XSS攻击即跨站脚本攻击(Cross Site Scripting)它属于钓鱼攻击的一类。XSS攻击的危害包括:(1)盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号;(2)控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力;(3)盗窃企业重要的具有商业价值的资料;(4)非法转账;(5)强制发送电子邮件;(6)网站挂马;(7)控制受害者机器向其它网站发起攻击。根据国内最大的漏洞提交平台wooyuu(乌云)统计数据,XSS漏洞共计记录有3165条。
那么XSS漏洞的危害体现在哪里呢?有句经常听到的话:“不要打开不明的网站”。下面我们以全球最大的中文IT社区为例9,在某处添加代码。当用户访问某页面的时候,XSS代码生效截取到该用户的cookies,修改cookies后 发现能成功登陆csdn网站。该用户并没有做什么.只是按照日常的习惯访问了csdn的某网页,账号便被盗。这便是XSS漏洞的威力。
图19 XSS攻击示例下面是一个比较著名的一个XSS漏洞事件:日晚,新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建党大业中穿帮的地方”,“让女人心动的100句诗歌”,“这是传说中的神仙眷侣啊”等等微博和私信,并自动关注一位名为hellosamy的用户。事件的经过线索如下:20:14,开始有大量带V的认证用户中招转发蠕虫;20:30,某网站中的病毒页面无法访问;20:32,新浪微博中hellosamy用户无法访问;21:02,新浪漏洞修补完毕。以上事件说明,任何一个大型网站都有可能存在XSS漏洞,访问请务必谨慎。九、路由器钓鱼攻击
一台电脑、一套无线路由器和一个网络分析软件就可搭建免费WIFI,截取用户数据。也许你不信,但是事实确实如此。在公共场所,想上网没有流量,突然发现旁边有一个没有密码的WIFI,也许很多人便连接了。但其实这是很不安全的,里面可能暗藏陷阱。用户在这种没有密码的WIFI进行操作时,传输的数据可被第三方监视,如果登录账户,黑客可以从数据包里查到用户登陆信息,窃取个人邮箱、电子商务账号等信息。
此外,免费WIFI也给黑客植入钓鱼网站提供了便利。通过相关技术,黑客可以在用户浏览网站时植入一段HTML代码,使其自动跳转到钓鱼网站。如果此时登录银行、支付宝等进行电子商务交易,用户可能会有经济损失。
那么有人会问,我用政府/可信任机构提供的有密码的WIFI进行操作是否会有风险? 答案为“有风险”。这些机构运营的网络安全性能很高,但不排除存在安全隐患的可能,只不过突破这些隐患要求黑客技术很高。毕竟任何设备都不是完美的,都可能存在一些漏洞,这就可能被黑客利用。那么自己家中的WIFI是否安全呢?其实也不安全,因为黑客可以破解WIFI密码,进行APR劫持和DNS劫持,从而也可能导致数据泄露。十、打击钓鱼的难点与障碍
在此以钓鱼网站为例简单讨论对钓鱼攻击的抑制和防范。中国反钓鱼网站联盟是一个重要的网络安全组织,主要是针对假冒其成员单位的钓鱼网站打击。钓鱼网站之所以如此猖獗并且能够频频得手,主要是利用了人们“贪”的心理和打击钓鱼网站法律制度的不完善。有的钓鱼网站利用境外的服务器注册,受害者发现上当后报案却因网站的地域性往往难于对其处理。有的网站注册名称是临时的,电话号码等注册信息(域名whois)均为虚假信息。还有的钓鱼网站为了逃避打击,实行游击战术,此起彼伏,经常变换域名,打掉一个马上换到另外一个地方。钓鱼网站制作手法和防屏蔽能力也花样频出,这些钓鱼网站给警察侦查带来了很大的困难。
钓鱼网站的制作手法也不断翻新,让网民防不胜防,从钓鱼网站到钓鱼程序,到XSS漏洞攻击和路由器钓鱼攻击,层出不穷。此外,如前所述,钓鱼网站制作成本极低,迁移性强也是难以打击的一个重要原因。结束语:钓鱼攻击已在我们的身边泛滥,目前还没有针对钓鱼攻击的完整解决方案,只能对其防范。钓鱼网站之所以能够发展迅速,最关键还是利用了人们的贪欲和对网络知识的不了解。只要用户树立了正确的观念,具备安全的上网习惯,钓鱼网站最终也很难以生存。注释:1 由于钓鱼网站被封杀的快,普遍使用空间。2 以美国空间为例,是因为大部分钓鱼网站空间IP地址都位于美国。3.以上提供的价格为本人了解到的市场最低价,和标称价格可能存在出入。域名费用加美国100MB空间的一年期租赁费用。5.该域名中的1是阿拉伯数字的1而非英文字母l。6.这个多了一个o的域名已被谷歌()收购以避免钓鱼网站对其的影响。7.需要声明的是,该软件并未用于任何非法用途和网络传播,代码也未公布。8.统一资源定位符(Uniform Resource Locator,缩写为URL)是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示,也就是我们平时说的网络地址。9. 感谢乌云用户:乔治参考资料[1] 中国反钓鱼网站联盟(Anti-Phishing Alliance of China,简称“APAC”),[2] 百度百科“网络钓鱼”,[3] 百度新闻,[4] 乌云,49 条评论分享收藏感谢收起
