浅谈钓鱼网站

0X00 前言

众所周知，Web是互联网中分布全球的应用服务，可以边界的传输信息。但是于此同时，互联网也出现了许多虚假的Web网站，用于非法获取互联网用户信息，钓鱼网站就是其中的一种。2021年上半年，360 secure brain在PC和移动终端上拦截了约581.3亿起针对全国用户的钓鱼网站攻击，比2020年上半年（435.8亿次）增长33.4%。其中，PC终端截获量约578.2亿次，占总截获量的99.5%，日均截获量约3.2亿次；移动终端截获量约3.2亿次，占总截获量的0.5%，日均截获量约175.5万次。

0x01 原理

“钓鱼网站”的页面与真实网站界面基本一致，欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站是指欺骗用户的虚假网站。钓鱼网站一般只有一个或几个页面，和真实网站差别细微。钓鱼网站是互联网中最常碰到的一种诈骗方式，通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。

所运用的技术

页面制作

钓鱼网站的目的是要获取到用户的个人隐私信息，因此如何捕获用户在网页上的输入是关键一步。我们通过kali攻击机能够轻而易举的clone出别人的网站。

后台技术

钓鱼网站的目的是要获取到用户的个人隐私信息，因此如何捕获用户在网页上的输入是关键一步。通常，黑客在获取到网页内容后，会对网页代码根据自己的需要进行修改。正常的网页会将用户的输入传送到后台数据库，并进行校验或回传等动作，而黑客则不需要校验这些过程，只需要将用户输入传送到特定的后台即可。

钓鱼网站流程图

0x02 搭建

环境

攻击机：kali虚拟机；IP：192.168.0.174

受害机：真实物理机；IP：192.168.0.154

工具

social engineering toolkit

步骤

第一步：通过打开kali自带的社会工程学工具

使用命令
 su setoolkit

打开工具

第二步：选择1，社会工程学攻击

第三步：选择2，基于网站的攻击软件

第四步：选择3，Credential Harvester Attack Method(登录验证机制攻击)

第五步：选择1，使用网络模板

第6步：设置攻击者IP，这里设置成攻击机Kali的IP

第7步：选择网站模板，我们这里选择Google，选择2

至此钓鱼网站搭建网站

0x03 验证

在真实的情况下，需要进行DNS欺骗，往往能够达到欺骗用户目的，由于是测试，我们在本机修改我们的host文件，来达到这样的目的

修改host文件

在“C:\Windows\System32\drivers\etc”路径下修改host文件

现在我们在本机输入“http://www.google.com/”网址，进入我们的伪造的登录页面

当我们进入这个页面后，kali就会收到信息

假设用户输入信息后，点击登录按钮

我们看到Kali就收到了用户名和密码

当我们用手机处于同一个局域网时，访问钓鱼网站信息，也能收到消息

当我用手机输入kali IP地址

然后输入用户名密码

kali收到用户名密码

在这里我们可以看到，手机端的界面更加真实，很有迷惑性，只要你点击了链接地址，很有可能被骗。

0x04 危害

传播途径广

黑客通常抓住一些人的好奇心或贪欲，利用社会工程学的方法诱使上网用户访问钓鱼网站。常见的方法有：通过电子邮件、即时通讯工具（QQ或MSN等）、论坛、博客、微博、社交网站等方式发送含有诱惑性内容的信息，如打折、促销、优惠、抢购、贷款、信用卡消费、密码重置、投资管理、彩票、抽奖或社交网站上的好友交往等；入侵网站，并非法修改相关内容，将正常的内容链接到钓鱼网站；在用户浏览的网页中利用弹出窗或悬浮窗的方式发布通知；通过在中小网站甚至搜索引擎中投放广告等手段吸引用户点击进入钓鱼网站。

内容伪装难辨识

黑客总会通过一些办法来伪装发送的内容，来迷惑用户的判断。例如，黑客发送电子邮件时会对邮件地址做一定程度的伪装。特别是如果一些用户的电子邮箱或即时通讯工具被入侵，黑客会直接给地址薄或好友列表中的用户发送信息，这样接收者就更不会怀疑发送来源和发送内容的有害性。

防范难度大

一些警惕性不高的用户都是在无意之间访问到钓鱼网站的，因此当发现自己的利益受损后，往往无法回忆起这些关键信息是如何泄露出去的，这对相关事件的处理带来了很大困难。

0x05 防范

通过钓鱼网站收集到的用户信息对于攻击者来说具有极大的吸引力，他们可以利用所获取的信息，进行非法的银行转账、个人信息买卖、盗刷信用卡、游戏帐户充值甚至直接敲诈用户等活动。

终端防护

URL数据库

目前主流的PC安全软件都含有防钓鱼网站的功能。从前述的技术细节可以看出，钓鱼网站都有其特定的URL地址，因此最常见的防护技术是建立钓鱼网站URL数据库，将用户访问的网站地址在数据库中进行查找比对并判断是否可以继续访问。这实际上是一种穷举的办法，需要采集足够多的样本并不断更新数据库。

Web实时防护

目前出现的新的Web实时防护技术，可以动态智能地分析用户所访问的网页内容。无论呈现给用户的网页有多么复杂，对于浏览器而言都只是可识别的网页代码（HTML、JavaScript、CSS等）。有的安全软件通过专业安全人员的分析可以获得钓鱼网站在网页代码层面的一些特征，通过特征的分析比对可以给访问的网页一个评价值，或对其进行分类，根据分析结果来判断该网页是否为钓鱼网页。这种方式不需要庞大的URL数据库，节省资源，但可能会影响上网速度，并存在误报的可能

IP信誉度

用户访问钓鱼网站时是需要和特定的服务器IP地址建立数据通道的。当数据传输发生时，安全软件将会接收到这个IP地址的信誉排名，该排名根据IP地址是否包含恶意代码，是否指向可疑网站，该IP地址之前的访问量等信息而生成。基于信誉排名，所访问的IP地址将会被指定为受信任的、可疑的或是被禁止的。据此来告知用户该网站是否存在可能的钓鱼危害。

与云计算的结合

近些年发展起来的云技术给网络安全防护带来了新的思路，即所谓的“云安全”。主流的安全软件都有着庞大的，甚至数以亿计的用户。用户遇到的钓鱼网站可以迅速的整合到云数据库中，并分享给其他用户。数据库中可以包含前述的各种技术数据，也可以是它们的组合，构成多维的防护屏障

中间防护

终端防护的优点在于可以将多种防护集于一身，数据更新快。但这种方式也带来了额外的资源开销：会增加网络数据交互，消耗用户端的电脑资源，影响上网体验。对于企业用户而言，额外使用的资源就意味着成本的增加。这种情况下中间防护设备就起到了关键作用

防护思路

0x06 结束

钓鱼网站技术门槛不高，制作简单，向我利用kali工具能够很容易制作出钓鱼网站。一定要提高防范意识，每年都有被骗、被获取信息的，其实钓鱼网站能盛行的根本原因是因为利用人的好奇心或贪欲，我们需要养成良好的上网习惯，树立正确的观念，共同建立良好的网络环境。

免责声明：本文所应用到的技术只用作学习分享。