钓鱼网站攻击流程及鉴别

在很久之前就被钓鱼网站钓过鱼，但是当时并不知道那是什么所以就各种被莫名盗号，直到了解到安全这方面才知道其中原理。但也没有具体研究过，直到前不久有一个好久不联系的同学给我发了一个链接。好家伙，第一眼看上去就感觉这是一个钓鱼网站，过了不久就看到他的空间里发起了广告，这样基本可以肯定这是一个钓鱼网站了的。那就让我来康康什么是钓鱼网站，它的原理又是怎么样的。

一， 什么是钓鱼网站。

钓鱼网站通过一定方式发布在互联网上，吸引用户访问、输入，窃取用户的个人隐私信息，并进行网络敲诈活动，给互联网用户利益造成严重的损害。这种诱捕式的攻击方式类似于日常的钓鱼活动，因此通常被称为“钓鱼网站”。

一张图展示钓鱼网站的结构流程

那既然知道了什么是钓鱼网站的，那有该怎么鉴别网站是真实的还是有人钓鱼的呢？那就来看一下鉴别钓鱼网站及原理。

二， 钓鱼网站原理

从技术的方面讲钓鱼网站并不复杂，只要对电脑及网络知识有所了解经过研究及其努力就可以掌握的相关技术。要实现网站钓鱼的话一般要有页面的制作及一个后台的技术。

1.页面制作最普遍

钓鱼网站想要诱使用户上钩首先要制作出模拟看似正常的网页内容来吸引用户来登录账号和密码。这是利用爬虫技术，去找相应的网站。然而如果骇客通过下载相应的网站源码，进行改变一些内容，再将其传至服务器。那么，用户在搜索想要的内容时，可能会出现骇客所设置好陷阱的网站。如果不仔细检查域名是否正确或者在不知道域名的情况下。更容易泄露个人隐私！

2.后台技术骚操作

钓鱼网站的最终目的是获取用户的账号和密码，所以在页面上获取用户的信息只是关键的一步。一般钓鱼着获得页面代码后会进行一定的修改，修改后将用户所输入的信息传送到后台，可以是具体的文本文件或数据库，直到现在获取到了用户的隐私信息。

3,  钓鱼wifi的那些事

攻击者利用工具对你的wifi进行抓取，创建一个与你同名的wifi，当用户连接wifi的同时，错误连接到攻击端所提供的的wifi，输入密码进行访问，会访问到攻击端建造的错误连接，这个时候密码就已经被攻击者抓取了，你学废了吗？

三，  钓鱼流程

根据一些常用官方网站的一些页面元素（如QQ空间），精心构造一个样式一样的网站。

链接诱使用户访问输入正确的QQ密码和账号，有的会在用户输入后调转到真实的网站上让用户有种自己密码输入错误的错觉。

到现在用户信息已经泄露。

4,    Fluxion钓鱼wifi

配合无线网卡使用，在终端输入命令：git clone https://gitee.com/youzicha123/fluxion.git进行下载偶（注意：可以先去github注册一个用户，）

等待下载完成之后，进入Fluxion文件夹进行配置，键入./fluxion.sh进行安装

随后进入FLUXION界面，键入.fluxion.sh，选择中文17，耐心等待

选择第一项专属门户

选择扫描信道，不要着急，一步一步来

接着就会出现一个黑色框框，上面是目标，出现后，键入CTRL+C

选择目标准备进行攻击，序号为47

选择模拟AP的网卡哈，这里选择无线网卡wlan0

接下来选择推荐的hostapd

选择我们用aircrack-ng工具截取的包

继续使用推荐的cowpatty验证

选择第一个创建SSL证书

选择第一个推荐，断开原网络，连接咱们构造的假AP

好了，到了验证网页我们选择通用认证网页，同时也可以自己写一个假网页构造，让别人信以为真

接下来我们会得到一个非常炫酷的界面，六个命令框，这个时候表示已经开始钓鱼

当别人连接我们所构造的假热点时候，会成功显示验证页面

细思极恐，就这样得到了密码，如果截取流量，得到比如微博，微信等密码嘞

四，  鉴别网站

首先，我们认识一下域名。域名就是上网单位的名称，是一个通过计算机登上网络的单位在该网中的地址。每个单位、企业、公司、个人只要有网站，必须要有自己的域名。比如好123的域名就是“hao123.com”淘宝的域名“taobao.com"。
我们拿“taobao.com”来分析一下域名的组成：“taobao”是域名主体，“.com”是域名的后缀，这点需要注意：后缀前面一定是主体。
后缀也有很多种，国内主要常见的是“.com”“.com.cn”“.cn”“.net”“.net.cn”“.cc”等

其次还可以使用一些安全软件来鉴别，比如可以安装360安全卫士、金山卫士或者电脑管家的一种，这些电脑安全工具，会在您访问购物网站时，提示您真假，方便用户快速识别。

那我们就来看一下一个经典的QQ空间钓鱼网址

钓鱼网站最直观的就是看域名，可以看到目标网站域名 ：qq.xps.com 尽管域名中出现了 qq 字样，但是一级域名却是 xps.com 这一点就直接暴露了钓鱼网站的本性。

之前还在一个贴子上看到过一种利用拉丁字母注册的域名伪造钓鱼网站的，这种就比较逼真了的，然后举几个例子。

唯品会官网 真假域名

OPPO官网 真假域名

官方认证标注：比如我们经常用到的教育、医学、各个证件等网站都会有明显的（官方认证）的标注，攻击者会制作一模一样的网站从而诱捕，用户有时候不注意就会把敏感信息泄露。

总结

钓鱼网站如此多的原因。然而，钓鱼网站之所以能够大行其道，最根本的原因还是利用了人们普遍的好奇心或贪欲等，只要用户树立了正确的观念，养成良好的上网习惯，钓鱼网站便难以有生存的土壤。