社會工程學攻擊之網站釣魚

前言
網絡給了咱們方便的同時，但也並不老是那麼美好。還記得邀請蒼蠅到它的客廳作客的蜘蛛嗎？還記得幫助蠍子渡河的烏龜嗎？這些故事都包含了獵物的天真和獵手的骯髒。互聯網也是如此，其中中充斥着誘惑的陷阱、陰暗的角落、惡意的行爲。網站釣魚就是其中的一種。
網站釣魚相信很多人都據說過，它就是一種針對性的社會工程學攻擊。現代社會工程學攻擊一般以交談、欺騙、假冒或假裝等方式開始，從合法用戶那裏套取用戶的敏感信息，好比系統配置、密碼或其餘有助於進一步攻擊的有用信息，而後再利用此類信息結合黑客技術實施攻擊。此類攻擊雖然在技術上實現難度不大，但確很是行之有效。由於人性的弱點，老是能被垂手可得地利用。
本人曾經就受到過網站釣魚攻擊，進而遭受了一系列的損失。那個時的我仍是互聯網的小白，並不知其中原理，如今細想起來對此有了更深入的感悟，對那些欺騙害人的狡詐之徒也是深惡痛絕。但要想防護此類攻擊，就要先了解其攻擊原理。正所謂：「不知攻，焉知防。」咱們就站在攻擊者的角度，看看此類攻擊是如何發生的。

社會工程學攻擊工具包SET

這裏首先介紹一個在kali中提供的功能十分強大的社會工程學工具包（SET），它能夠與metasploit進行協做使用，進行鍼對性的社會工程學攻擊。
SET工具包在kali的漏洞利用工具集中，黑客能夠利用SET執行一連串的連環攻擊，涵蓋了社會工程學攻擊的完整流程。SET中包括的工具不少，好比針對性郵件釣魚（Spear-Phishing）攻擊、網站釣魚（website Atack）攻擊、羣發郵件（Mass Mailer）攻擊、還有僞造短信（SMS Spoofing）攻擊等。

接下來就是利用這個工具包，製做一個釣魚網頁，以後欺騙用戶進入釣魚網頁，使用戶的我的信息及密碼遭到泄露。那如何欺騙用戶進入這個釣魚網頁呢，這就須要攻擊策劃。

網站釣魚社會工程學攻擊策劃

先來講說我當時受騙的情景。在2016年11月份一次坐公交的時候，本身的iPhone7手機被偷了，我下站後第一時間就是把iPhone鎖定，以後也報了警。當時心裏能夠說是十分焦急。而在次日的時候，忽然郵箱收到一封郵件，上面說iphone已經找到。郵件以下：

打開後顯示的是下圖的頁面：

看到這個消息的我腦殼一熱也沒多想，二話不說點了進去。打開是一個蘋果官方登陸的頁面，（如今這個網址已經打不開了）。我在進入這個登陸頁面的時候，下意識的把密碼輸了進去，可是跳轉頁面一直在加載，這個時候我開始意識到不對勁。回頭看了下郵件的發送方，發現並非蘋果的官方郵箱，而是來自我的：

這時候才知道，這是個釣魚網頁，我這是上當受騙了！並且用戶名和密碼也已經被攻擊者知道了。只能用《涼涼》這首歌表明我那時候的心情了，雖然這首歌還沒在2016年出現。
知道密碼泄露後，我趕忙更換了密碼，祈禱攻擊者沒有立刻利用密碼登陸帳戶。固然事情還沒結束，由於我是多個平臺使用的都是同一個密碼（很糟糕的習慣），緊接着發現個人QQ和微信都登陸不上去了。不過幸運的是，在手機被偷的當天，我已經把手機號給凍結，而且綁定到了新的手機卡上，我利用手機號找回了QQ和微信。不然手機號一旦被攻擊者利用，那支付寶和銀行帳戶均可能被盜，從而形成更多的損失。儘管我的信息泄露的風險解除了，可是手機也再也沒有機會找回。
從上面的過程也能夠分析出，攻擊者是如何利用弱點進行攻擊欺騙的。咱們能夠把這攻擊過程套入一個社會工程學技術框架中，看看攻擊者是如何進行佈局的。

1.信息蒐集環節
攻擊者拿到個人手機以後，能夠知道此時手機的Apple ID，而個人ID正好是個人QQ郵箱，這樣一來，個人qq號和郵箱都已經被攻擊者掌握。但攻擊者此時還不能解除鎖定，也就無法得到更多的信息。
2.誘導環節
攻擊者想知道我Apple ID的密碼，因此能夠利用郵箱，發送郵件結合託詞設計或欺騙進行誘導。
3.設計託詞環節
爲了能讓我訪問攻擊者構造的釣魚網站並在登陸頁面中輸入用戶名和密碼，因此他們假冒蘋果官網。聲稱手機在受權店中進行維修激活，要我登陸官網進行設備鎖定。如上圖的郵件中的內容。
4.心理影響和操縱環節
攻擊者知道當手機丟失時用戶的心理，因此首先和用戶創建信任，就是假扮蘋果官方，告知我被丟失的手機在何處發現，讓我認爲手機很快就能找到，來製造緊迫感。此時的我已經心理上被攻擊者操縱，未經思考，十分快速的登陸攻擊者給的連接，並輸入了用戶名和密碼。

釣魚網站的製做
攻擊者利用社會工程學，針對性的展開攻擊，十分有效地獲取了用戶名和密碼。在這其中的關鍵一步，就是網站釣魚。那釣魚網站是如何製做的呢？ 方法固然有不少種，這裏介紹的是使用上面簡單講解過的SET工具集製做一個釣魚頁面。這個釣魚頁面能夠本身設計仿造，也能夠經過克隆官方網頁實現。咱們簡單地演示如何克隆一個釣魚網站。
簡單的克隆頁面
第一步：選擇仿冒頁面
由於蘋果公司如今的登陸頁面已是動態頁面，安全性更高，克隆起來會更加的麻煩，因此咱們這裏找的是一個靜態登陸頁面的網站。頁面顯示以下：

第二步：運行SET
咱們首先再kali上開啓http服務

點應用程序->漏洞利用工具集->SET

而後顯示下面的命令終端界面：

第三步：選擇「1」Social-Engineering Attacks
進入第二個命令選擇界面：

第四步：選擇「2」Website Attack Vectors（釣魚網站攻擊向量）
進入以下選擇界面：

這個界面上面有很長的一段各功能的詳細介紹，支持Java Applet僞造攻擊、Metasploit瀏覽器滲透攻擊、登陸密碼截取攻擊、標籤頁劫持攻擊（Tabnabbing）、中間人攻擊、網頁劫持、綜合多重攻擊方法等。在這裏，咱們選擇「3」登陸密碼截取攻擊（Credential Harvester Attack Method），克隆網站的登陸界面，儘量多地記錄用戶登陸敏感信息。選擇後，還會出現以下命令選擇界面：

這裏提供了SET三種搭建釣魚網站的方法：
·使用預約義的網站模板
·克隆網站
·定製導入
克隆網站是仿冒靜態網站最簡單的方法，因此咱們選擇「2」Site Cloner。
第五步：輸入url
確認網站服務器的ip地址（虛擬機當前ip爲192.168.1.136），再按提示輸入url，回車後顯示以下：

按下y鍵回車繼續：

這時釣魚網站就已經開啓了。
第六步：訪問攻擊機的80端口
咱們用瀏覽器訪問虛擬機的ip：192.168.1.136，顯示如圖，除了url以外，頁面內容看起來和原來的網站如出一轍。

若是在這個仿冒的釣魚頁面中輸入用戶名和密碼，並進行提交，SET工具就會記錄下全部的輸入，而後重定向到合法的URL上。
第七步：測試
輸入用戶名密碼：

獲取到用戶名密碼：

更精心的假裝

若是假裝的更像點，就要僞造一個類似的url。關於域名的僞造，下面這張圖就能說明其原理：

是否恍然大悟？再來看一個「完美假裝」的域名：

這或許是用肉眼最難分辨的釣魚網站，沒有之一，網站的URL地址顯示的是蘋果官網，網址旁邊是安全字樣和綠色小鎖，表示網站信息基於https加密傳輸，徹底沒什麼問題，然而它就是一個釣魚網站（演示網站）。

雖然HTTPS的使用有助於保障互聯網用戶在瀏覽器和網站之間的數據安全，但愈來愈多的網絡釣魚方案正在利用人們對綠色小掛鎖的無知。隨着免費SSL證書和瀏覽器指示標誌的最新變化，網絡釣魚網站假裝成合法化變得愈來愈容易。網絡釣魚防範公司PhishLabs發佈的報告顯示，在HTTPS頁面上託管釣魚網站的速度明顯快於整個HTTPS的採用速度。

再來看這個域名到底哪裏有問題。這種僞造方式稱爲「同形異義詞」攻擊。其實並非新方法，最先能追溯到2001年。不過因爲一些現實狀況，該問題目前依然存在於很多瀏覽器。它使用的a實際上是西里爾文的a，雖然看起來都是A，但計算機顯然是把它們當成不一樣的字符來對待。

據瞭解，這是一位名叫徐正東的中國研究人員報告的一種釣魚方法。基於這種方法，也能用俄文拼出一個www. tаоbао.com (www.taobao.com),

其中t和b是英文，a和o是俄文，若是用上面這個網站的話，搜到的結果以下：

表面上看起來極其類似，但在計算機中所識別的含義確是大不相同。

常被仿冒的網站

12321網絡不良與垃圾信息舉報受理中心(www.12321.cn)公佈了2018年7月被舉報釣魚網站TOP10。根據接到網民舉報的短信、郵件、網站等信息，2018年7月，被舉報的釣魚網站前十名以下：

如何防範防範「釣魚網站」

若是要辨別本身遇到的是否爲釣魚網站，能夠經過如下一些方法。
1、留意域名
辨別釣魚網站的最直接的方法就是對比它的域名是否是官方域名，請必定要仔細查看所打開頁面後的具體網址，而不是隻看打開網頁前的網址。若是不是官方域名，哪怕頁面再類似，那麼咱們均可以判定其爲釣魚網站。如：假冒網站一般將英文字母I被替換爲數字1，CCTV被換成CCYV或者CCTV－VIP這樣的仿造域名，包括上面更加真假難辨的「同形異義詞」。
2、查看連接
首先，網購要選擇信任的網站，千萬不要貪圖便宜輕信「低價」網站。其次，支付前必定要確認購物網站網址是否正確，切勿單擊來自陌生人的電子郵件和即時消息中的連接或全部看上去可疑的連接。由於即使是來自朋友和家人的消息也多是僞造的。
3、觀察網站內容
仿冒網站上沒有連接，用戶可點擊欄目或圖片中的各個連接看是否能打開。而且假冒網站上的字體樣式是不一致的，而且模糊不清。若是發現訪問的網站忽然「改版」了，和以前的頁面佈局大不相同，就要提升警戒。
4、查看安全證書
針對大型電子商務網站或網銀站點須要查看其安全證書。目前大型的電子商務網站或網絡銀行站點都應用了可信證書類產品，這類的網站網址都是「https」開頭的，若是發現網址信息不是「https」開頭，須要對該網站謹慎對待。
5、嘗試輸入法
當咱們在收到他人發送來的一個網址時，咱們能夠打開這個網站，一旦提示您須要登陸或者輸入其餘信息，就能夠採用「嘗試輸入法」，也就是隨意輸入一個用戶名及密碼，若是這個網站提示您登陸成功或者進入一個不正常的頁面，那麼咱們能夠判定其爲釣魚網站。
最後，要安裝防火牆、殺毒軟件並按期更新。養成以上良好好習慣，識別跟防範釣魚網站詐騙。

參考文章：http://www.sohu.com/a/1205677...

http://news.zol.com.cn/636/6360545.html
      《metasploit滲透測試魔鬼訓練營》