目录
鱼叉式钓鱼攻击
攻击目标
钓鱼技术
链接操作
避免过滤
伪造网站
钓电话网
WIFI免费热点网络钓鱼
隐藏重定向漏洞
鱼叉攻击“鱼叉”Spear phishing )是指从亚洲和东欧只对特定目标进行攻击的钓鱼攻击。
攻击目标是锐腾网络钓鱼锁定的对象不是普通个人,而是特定公司、组织的成员,因此被盗的数据已经不是普通网络钓鱼窃取的个人信息,而是知识产权、商业秘密等敏感的其他数据。
网络钓鱼是引导黑客连接到锁定的目标。 这种攻击方法成功率高,非常常见。 单击链接、打开表单或连接其他文件都会感染病毒。 一次简单的点击就相当于为攻击者打开了电子门,他可以触摸到你内部的弱点。 你同意他进去,所以他可以触摸弱点,挖掘信息并允许连接。
钓鱼技术链接操作大多数钓鱼方法都是以某种形式进行技术欺诈,使一个邮箱中的链接及其连接的欺诈网站)看起来真正属于合法组织。 使用拼写错误的网址和子网域是网络钓鱼的常用手段。 在以下网站的示例中,http://www .您的银行.示例.com/似乎将被带到“您的银行”网站的“示例”子网域。 实际上,该网站指向“样本”网站上的“你的银行”,也就是网络钓鱼的子网域。 另一个常见的手段是使链接到锚文本的链接合法,实际上是将链接引导到网络钓鱼攻击网站。
另一种古老的方法是使用包含“@”符号的欺诈链接。 原本是作为包含用户名和密码与标准对比)的自动登录方式使用的。 例如,链接http://www.Google.com @ members.tripod.com /会欺骗偶然访问的网民,使其以为是打开www.Google.com上的网页,然后单击此地址在IE中被禁用,但Mozilla Firefox和Opera会显示警告消息,用户可以选择是否继续浏览或取消此站点。
如何在web浏览器中使用国际化域名http://www.Sina.com/nter national 3358 www.Sina.com/omain 3358 www.Sina.com/Ames,以下简称IDN ) 这应该被称为IDN诈骗或同构异义词攻击的漏洞是众所周知的,但网络钓鱼者也冒着同样的风险,利用可信网站上的URL重定向服务来隐藏恶意网站
过滤回避网钓鱼者用图像代替文字,反网钓鱼过滤器使钓鱼邮箱中常用的文字难以检测
网站伪造受害者访问网络钓鱼网站后,诈骗并没有就此结束。 一些网络钓鱼诈骗使用JavaScript命令更改地址栏。 这是通过放置合法网站地址栏的图像以覆盖地址栏,或者关闭原始地址栏并重新启动新的合法URL来实现的。
攻击者还可以在信誉良好的网站上利用自己脚本的漏洞来对付受害者。 这种类型的攻击也称为跨站点脚本)问题尤为严重,因为它会引导用户直接登录到自己的银行和服务网页。 在这里,从网络地址到安全证书似乎都是正确的。 实际上,链接到这个网站是摆弄攻击,但没有专业知识就很难发现。
还有RSA信息安全公司发现的通配符中间人网络钓鱼
包,它提供了一个简单易用的界面让网钓者以令人信服地重制网站,并捕捉用户进入假网站的登录细节。
为了避免被反网钓技术扫描到网钓有关的文字,网钓者已经开始利用Flash构建网站。这些看起来很像真正的网站,但把文字隐藏在多媒体对象中。
电话网钓
并非所有的网钓攻击都需要个假网站。声称是从银行打来的消息告诉用户拨打某支电话号码以解决其银行账户的问题。一旦电话号码(网钓者拥有这支电话,并由IP电话服务提供)被拨通,该系统便提示用户键入他们的账号和密码。话钓Vishing,得名自英文Voice Phishing,亦即语音网钓)有时使用假冒来电ID显示,使外观类似于来自一个值得信赖的组织。
WIFI免费热点网钓
网络黑客在公共场所设置一个假Wi-Fi热点,引人来连在线网,一旦用户用个人计算机或手机,登录了黑客设置的假Wi-Fi热点,那么个人数据和所有隐私,都会因此落入黑客手中。你在网络上的一举一动,完全逃不出黑客的眼睛,更恶劣的黑客,还会在别人的计算机里安装间谍软件,如影随形
隐蔽重定向漏洞
2014年5月,新加坡南洋理工大学壹位名叫自然的鸭子Wang Jing)的物理和数学科学学院博士生,发现了OAuth和OpenID开源登录工具的””英语:Covert Redirect)]。
攻击者创建一个使用真实站点地址的弹出式登录窗口——而不是使用一个假的域名——以引诱上网者输入他们的个人信息。
黑客可利用该漏洞给钓鱼网站“变装”,用知名大型网站链接引诱用户登录钓鱼网站,壹旦用户访问钓鱼网站并成功登陆授权,黑客即可读取其在网站上存储的私密信息。
未完待续。
参考自百度百科。