社会工程学攻击之网站钓鱼

前言
网络给了咱们方便的同时，但也并不老是那么美好。还记得邀请苍蝇到它的客厅作客的蜘蛛吗？还记得帮助蝎子渡河的乌龟吗？这些故事都包含了猎物的天真和猎手的肮脏。互联网也是如此，其中中充斥着诱惑的陷阱、阴暗的角落、恶意的行为。网站钓鱼就是其中的一种。
网站钓鱼相信很多人都据说过，它就是一种针对性的社会工程学攻击。现代社会工程学攻击一般以交谈、欺骗、假冒或假装等方式开始，从合法用户那里套取用户的敏感信息，好比系统配置、密码或其余有助于进一步攻击的有用信息，而后再利用此类信息结合黑客技术实施攻击。此类攻击虽然在技术上实现难度不大，但确很是行之有效。由于人性的弱点，老是能被垂手可得地利用。
本人曾经就受到过网站钓鱼攻击，进而遭受了一系列的损失。那个时的我仍是互联网的小白，并不知其中原理，如今细想起来对此有了更深入的感悟，对那些欺骗害人的狡诈之徒也是深恶痛绝。但要想防护此类攻击，就要先了解其攻击原理。正所谓：“不知攻，焉知防。”咱们就站在攻击者的角度，看看此类攻击是如何发生的。

社会工程学攻击工具包SET

这里首先介绍一个在kali中提供的功能十分强大的社会工程学工具包（SET），它能够与metasploit进行协做使用，进行针对性的社会工程学攻击。
SET工具包在kali的漏洞利用工具集中，黑客能够利用SET执行一连串的连环攻击，涵盖了社会工程学攻击的完整流程。SET中包括的工具不少，好比针对性邮件钓鱼（Spear-Phishing）攻击、网站钓鱼（website Atack）攻击、群发邮件（Mass Mailer）攻击、还有伪造短信（SMS Spoofing）攻击等。

接下来就是利用这个工具包，制做一个钓鱼网页，以后欺骗用户进入钓鱼网页，使用户的我的信息及密码遭到泄露。那如何欺骗用户进入这个钓鱼网页呢，这就须要攻击策划。

网站钓鱼社会工程学攻击策划

先来讲说我当时受骗的情景。在2016年11月份一次坐公交的时候，本身的iPhone7手机被偷了，我下站后第一时间就是把iPhone锁定，以后也报了警。当时心里能够说是十分焦急。而在次日的时候，忽然邮箱收到一封邮件，上面说iphone已经找到。邮件以下：

打开后显示的是下图的页面：

看到这个消息的我脑壳一热也没多想，二话不说点了进去。打开是一个苹果官方登陆的页面，（如今这个网址已经打不开了）。我在进入这个登陆页面的时候，下意识的把密码输了进去，可是跳转页面一直在加载，这个时候我开始意识到不对劲。回头看了下邮件的发送方，发现并非苹果的官方邮箱，而是来自我的：

这时候才知道，这是个钓鱼网页，我这是上当受骗了！并且用户名和密码也已经被攻击者知道了。只能用《凉凉》这首歌表明我那时候的心情了，虽然这首歌还没在2016年出现。
知道密码泄露后，我赶忙更换了密码，祈祷攻击者没有立刻利用密码登陆帐户。固然事情还没结束，由于我是多个平台使用的都是同一个密码（很糟糕的习惯），紧接着发现个人QQ和微信都登陆不上去了。不过幸运的是，在手机被偷的当天，我已经把手机号给冻结，而且绑定到了新的手机卡上，我利用手机号找回了QQ和微信。不然手机号一旦被攻击者利用，那支付宝和银行帐户均可能被盗，从而形成更多的损失。尽管我的信息泄露的风险解除了，可是手机也再也没有机会找回。
从上面的过程也能够分析出，攻击者是如何利用弱点进行攻击欺骗的。咱们能够把这攻击过程套入一个社会工程学技术框架中，看看攻击者是如何进行布局的。

1.信息搜集环节
攻击者拿到个人手机以后，能够知道此时手机的Apple ID，而个人ID正好是个人QQ邮箱，这样一来，个人qq号和邮箱都已经被攻击者掌握。但攻击者此时还不能解除锁定，也就无法得到更多的信息。
2.诱导环节
攻击者想知道我Apple ID的密码，因此能够利用邮箱，发送邮件结合托词设计或欺骗进行诱导。
3.设计托词环节
为了能让我访问攻击者构造的钓鱼网站并在登陆页面中输入用户名和密码，因此他们假冒苹果官网。声称手机在受权店中进行维修激活，要我登陆官网进行设备锁定。如上图的邮件中的内容。
4.心理影响和操纵环节
攻击者知道当手机丢失时用户的心理，因此首先和用户创建信任，就是假扮苹果官方，告知我被丢失的手机在何处发现，让我认为手机很快就能找到，来制造紧迫感。此时的我已经心理上被攻击者操纵，未经思考，十分快速的登陆攻击者给的连接，并输入了用户名和密码。

钓鱼网站的制做
攻击者利用社会工程学，针对性的展开攻击，十分有效地获取了用户名和密码。在这其中的关键一步，就是网站钓鱼。那钓鱼网站是如何制做的呢？ 方法固然有不少种，这里介绍的是使用上面简单讲解过的SET工具集制做一个钓鱼页面。这个钓鱼页面能够本身设计仿造，也能够经过克隆官方网页实现。咱们简单地演示如何克隆一个钓鱼网站。
简单的克隆页面
第一步：选择仿冒页面
由于苹果公司如今的登陆页面已是动态页面，安全性更高，克隆起来会更加的麻烦，因此咱们这里找的是一个静态登陆页面的网站。页面显示以下：

第二步：运行SET
咱们首先再kali上开启http服务

点应用程序->漏洞利用工具集->SET

而后显示下面的命令终端界面：

第三步：选择“1”Social-Engineering Attacks
进入第二个命令选择界面：

第四步：选择“2”Website Attack Vectors（钓鱼网站攻击向量）
进入以下选择界面：

这个界面上面有很长的一段各功能的详细介绍，支持Java Applet伪造攻击、Metasploit浏览器渗透攻击、登陆密码截取攻击、标签页劫持攻击（Tabnabbing）、中间人攻击、网页劫持、综合多重攻击方法等。在这里，咱们选择“3”登陆密码截取攻击（Credential Harvester Attack Method），克隆网站的登陆界面，尽量多地记录用户登陆敏感信息。选择后，还会出现以下命令选择界面：

这里提供了SET三种搭建钓鱼网站的方法：
·使用预约义的网站模板
·克隆网站
·定制导入
克隆网站是仿冒静态网站最简单的方法，因此咱们选择“2”Site Cloner。
第五步：输入url
确认网站服务器的ip地址（虚拟机当前ip为192.168.1.136），再按提示输入url，回车后显示以下：

按下y键回车继续：

这时钓鱼网站就已经开启了。
第六步：访问攻击机的80端口
咱们用浏览器访问虚拟机的ip：192.168.1.136，显示如图，除了url以外，页面内容看起来和原来的网站如出一辙。

若是在这个仿冒的钓鱼页面中输入用户名和密码，并进行提交，SET工具就会记录下全部的输入，而后重定向到合法的URL上。
第七步：测试
输入用户名密码：

获取到用户名密码：

更精心的假装

若是假装的更像点，就要伪造一个类似的url。关于域名的伪造，下面这张图就能说明其原理：

是否恍然大悟？再来看一个“完美假装”的域名：

这或许是用肉眼最难分辨的钓鱼网站，没有之一，网站的URL地址显示的是苹果官网，网址旁边是安全字样和绿色小锁，表示网站信息基于https加密传输，彻底没什么问题，然而它就是一个钓鱼网站（演示网站）。

虽然HTTPS的使用有助于保障互联网用户在浏览器和网站之间的数据安全，但愈来愈多的网络钓鱼方案正在利用人们对绿色小挂锁的无知。随着免费SSL证书和浏览器指示标志的最新变化，网络钓鱼网站假装成合法化变得愈来愈容易。网络钓鱼防范公司PhishLabs发布的报告显示，在HTTPS页面上托管钓鱼网站的速度明显快于整个HTTPS的采用速度。

再来看这个域名到底哪里有问题。这种伪造方式称为“同形异义词”攻击。其实并非新方法，最先能追溯到2001年。不过因为一些现实状况，该问题目前依然存在于很多浏览器。它使用的a实际上是西里尔文的a，虽然看起来都是A，但计算机显然是把它们当成不一样的字符来对待。

据了解，这是一位名叫徐正东的中国研究人员报告的一种钓鱼方法。基于这种方法，也能用俄文拼出一个www. tаоbао.com (www.taobao.com),

其中t和b是英文，a和o是俄文，若是用上面这个网站的话，搜到的结果以下：

表面上看起来极其类似，但在计算机中所识别的含义确是大不相同。

常被仿冒的网站

12321网络不良与垃圾信息举报受理中心(www.12321.cn)公布了2018年7月被举报钓鱼网站TOP10。根据接到网民举报的短信、邮件、网站等信息，2018年7月，被举报的钓鱼网站前十名以下：

如何防范防范“钓鱼网站”

若是要辨别本身遇到的是否为钓鱼网站，能够经过如下一些方法。
1、留意域名
辨别钓鱼网站的最直接的方法就是对比它的域名是否是官方域名，请必定要仔细查看所打开页面后的具体网址，而不是只看打开网页前的网址。若是不是官方域名，哪怕页面再类似，那么咱们均可以判定其为钓鱼网站。如：假冒网站一般将英文字母I被替换为数字1，CCTV被换成CCYV或者CCTV－VIP这样的仿造域名，包括上面更加真假难辨的“同形异义词”。
2、查看连接
首先，网购要选择信任的网站，千万不要贪图便宜轻信“低价”网站。其次，支付前必定要确认购物网站网址是否正确，切勿单击来自陌生人的电子邮件和即时消息中的连接或全部看上去可疑的连接。由于即使是来自朋友和家人的消息也多是伪造的。
3、观察网站内容
仿冒网站上没有连接，用户可点击栏目或图片中的各个连接看是否能打开。而且假冒网站上的字体样式是不一致的，而且模糊不清。若是发现访问的网站忽然“改版”了，和以前的页面布局大不相同，就要提升警戒。
4、查看安全证书
针对大型电子商务网站或网银站点须要查看其安全证书。目前大型的电子商务网站或网络银行站点都应用了可信证书类产品，这类的网站网址都是“https”开头的，若是发现网址信息不是“https”开头，须要对该网站谨慎对待。
5、尝试输入法
当咱们在收到他人发送来的一个网址时，咱们能够打开这个网站，一旦提示您须要登陆或者输入其余信息，就能够采用“尝试输入法”，也就是随意输入一个用户名及密码，若是这个网站提示您登陆成功或者进入一个不正常的页面，那么咱们能够判定其为钓鱼网站。
最后，要安装防火墙、杀毒软件并按期更新。养成以上良好好习惯，识别跟防范钓鱼网站诈骗。

参考文章：http://www.sohu.com/a/1205677...

http://news.zol.com.cn/636/6360545.html
      《metasploit渗透测试魔鬼训练营》