魚叉式網絡釣魚

魚叉式網絡釣魚

攻擊目標

因爲魚叉式網絡釣魚鎖定之對象並不是通常我的，而是特定公司、組織之成員，故受竊之資訊已非通常網絡釣魚所竊取之我的資料，而是其餘高度敏感性資料，如知識產權及商業機密。

網絡釣魚是指誘導人們鏈接那些黑客已經鎖定的目標。這種攻擊方法的成功率很高，也很是常見。點擊連接、打開表格或者鏈接其餘一些文件都會感染 病毒。一次簡單的點擊至關於爲攻擊者開啓了一扇電子門，這樣他就能夠接觸到你的內部弱點了。由於你已經贊成他進入，他可以接觸弱點，而後挖掘信息和受權鏈接。  [1] 

網釣技術

連接操控

大多數的網釣方法使用某種形式的技術欺騙，旨在使一個位於一封郵箱中的連接（和其連到的欺騙性網站）彷佛屬於真正合法的組織。拼寫錯誤的 網址或使用子網域是網釣所使用的常見伎倆。在下面的網址例子裏，http://www. 您的銀行.範例.com/，網址彷佛將帶您到「您的銀行」網站的「示例」子網域;實際上這個網址指向了「示例」網站的「您的銀行」（即網釣）子網域。另外一種常見的伎倆是使錨文本連接彷佛是合法的，實際上連接導引到網釣攻擊站點。下面的連接示例： 誠實，彷佛將您導引到條目「誠實」，點進後實際上它將帶你到條目「謊話」。

另外一種老方法是使用含有'@'符號的欺騙連接。本來這是用來做爲一種包括用戶名和密碼（與標準對比）的自動登陸方式。例如，連接http://www.google.com@members.tripod.com/可能欺騙偶然訪問的網民，讓他認爲這將打開www.google.com上的一個網頁，而它實際上導引瀏覽器指向members.tripod.com上的某頁，以用戶名www.google.com。該頁面會正常打開，無論給定的用戶名爲什麼。這種網址在 Internet Explorer中被禁用，而 Mozilla Firefox與 Opera會顯示警告消息，並讓用戶選擇繼續到該站瀏覽或取消。

還有一個已發現的問題在 網頁瀏覽器如何處理 國際化域名（InternationalDomainNames，下稱IDN），這可能使外觀相同的網址，連到不一樣的、多是惡意的網站上。儘管人盡皆知該稱之爲的 IDN欺騙或者同形異義字攻擊的漏洞，網釣者冒着相似的風險利用信譽良好網站上的 URL重定向服務來掩飾其惡意網址。  [1] 

過濾器規避

網釣者使用圖像代替文字，使反網釣過濾器更難偵測網釣郵箱中經常使用的文字。  [2] 

網站僞造

一旦受害者訪問網釣網站，欺騙並無到此結束。一些網釣詐騙使用 JavaScript命令以改變 地址欄。這由放一個合法網址的地址欄圖片以蓋住地址欄，或者關閉原來的地址欄並重開一個新的合法的URL達成。

攻擊者甚至能夠利用在信譽卓著網站本身的腳本漏洞對付受害者。這一類型攻擊（也稱爲 跨網站腳本）的問題尤爲特別嚴重，由於它們導引用戶直接在他們本身的銀行或服務的網頁登陸，在這裏從 網絡地址到 安全證書的一切彷佛是正確的。而實際上，連接到該網站是通過擺弄來進行攻擊，但它沒有專業知識要發現是很是困難的。這樣的漏洞於2006年曾被用來對付 PayPal。

還有一種由RSA信息安全公司發現的萬用 中間人網釣包，它提供了一個簡單易用的界面讓網釣者以使人信服地重製網站，並捕捉用戶進入假網站的登陸細節。

爲了不被反網釣技術掃描到網釣有關的文字，網釣者已經開始利用 Flash構建網站。這些看起來很像真正的網站，但把文字隱藏在多媒體對象中。

電話網釣

並不是全部的網釣攻擊都須要個假網站。聲稱是從銀行打來的消息告訴用戶撥打某支電話號碼以解決其銀行帳戶的問題。一旦電話號碼（網釣者擁有這支電話，並由 IP電話服務提供）被撥通，該系統便提示用戶鍵入他們的帳號和密碼。話釣(Vishing，得名自英文Voice Phishing，亦即語音網釣）有時使用假冒來電ID顯示，使外觀相似於來自一個值得信賴的組織。

WIFI免費熱點網釣

網絡黑客在公共場所設置一個假Wi-Fi熱點，引人來連在線網，一旦用戶用我的計算機或手機，登陸了黑客設置的假Wi-Fi熱點，那麼我的數據和全部隱私，都會所以落入黑客手中。你在網絡上的一舉一動，徹底逃不出黑客的眼睛，更惡劣的黑客，還會在別人的計算機裏安裝間諜軟件，如影隨形。  [1] 

隱蔽重定向漏洞

2014年5月，新加坡南洋理工大學壹位名叫王晶(Wang Jing)的物理和數學科學學院博士生，發現了OAuth和OpenID開源登陸工具的" 隱蔽重定向漏洞"(英語：Covert Redirect）]。

攻擊者建立一個使用真實站點地址的彈出式登陸窗口——而不是使用一個假的域名——以引誘上網者輸入他們的我的信息。

黑客可利用該漏洞給 釣魚網站「變裝」，用知名大型網站連接引誘用戶登陸釣魚網站，壹旦用戶訪問釣魚網站併成功登錄受權，黑客便可讀取其在網站上存儲的私密信息。  [2] 

如何防範

黑客們是如何作到這些的？咱們又應該如何保護本身呢？
　　美國工業控制系統網絡應急響應小組（ICS-CERT）注意到面向各類人羣和工業控制系統部門的網絡釣魚行爲。攻擊者但願可以在目標設施中找到立足點，一般距離目標越近越好，固然任何立足點均可以發揮做用。對於有針對性的魚叉式網絡釣魚，沒有人可以保證不受其引誘，好比：
　　■ 一名流程工程師收到一份來自自動化合做夥伴或者供應商的 電子郵件通知；

■ 一名 財務分析師收到帶有當前項目數據的電子郵件表格；
　　■ 一名 經理收到一個關於競爭對手收購活動的網站連接。
　　攻擊者的目的是引誘受害人進入一個不能信任的網絡位置，典型的方法是讓他打開一份被感染的PDF文件、文檔文件、表格、 Java應用或者網站。從內部受保護網絡向互聯網非置信區域的數據請求使得入侵者能夠順利進入。

攻擊者經過使用像LinkedIn和Facebook這樣的資源選擇受害者，瞭解他們的社會關係；工做和BBS網站則能夠了解供應商關係、角色和職責；甚至他們還能夠藉助技術工具讀取位於公共網站上的受權文件，瞭解目標機構正在使用的微軟Office，Adobe Acrobat以及Java的版本和安全補丁等級。
　　其餘可能會公開的信息資源和主題包括：
　　■ 公關和媒體發佈；
　　■ 股票、收購和財務聲明；
　　■ 政府和工業會議；
　　■ 政府 數據庫；
　　■ 國際或者政治事件；
　　■ 供應商的成功案例或者合同獎項；
　　■ 社交媒體網站；
　　■ 工做和 BBS網站。

　　若是你發現本身已經被鎖定，保留住那封郵件，並同時密切關注本身的電子郵件和網絡活動。不要想固然地認爲本身被鎖定是一個孤立事件——這極可能是一次範圍更大的活動的一部分。