钓鱼攻击是获得用户敏感信息的一种方法。钓鱼攻击的目标通常是在线银行用户、PayPal、eBay等。
主要形式:
1.电子邮件钓鱼
群发邮件,欺骗用户点击恶意的链接或附件,获取有价值的信息。
2.网站钓鱼
在网站上伪造一个网站,通常是模仿合法的某个网站。为了欺骗用户点击这个网站还会采取些辅助技术,比如钓鱼邮件,短信,电话啊。
3.鱼叉式钓鱼
经常也需要使用一个欺骗性的网站,但诱饵针对一小群目标受众。
4.鲸钓
目标为高端人群或高级管理人员的鱼叉式钓鱼。
在浏览器中通常有两个阶段:
(1)伪造网站
(2)发送钓鱼邮件
1.伪造网站
想好要伪造什么网站后,可以有如下选择:
1.从头构建网站,就是比较花时间
2.复制网页,修改已有的网页,通过浏览器的查看源代码,可以加快制作进程。
3.用脚本克隆已有的站点。 (比如Social-Engineer Toolkit)
同时还需要一个可以显示错误的页面,来执行你的代码。
当然若网站本身存在xss漏洞的话,可以把网站本身作为钓鱼网站。
2.钓鱼邮件
有了网站,就要想着通过什么方式让用户上钩,通常是发送钓鱼邮件。
需要以下的步骤:
1.生成电子邮件地址列表。
工具有:Maltego,theHavester,Recon-ng等
2.邮件群发器
了解了下一些反钓鱼机制
1.SPF记录
SPF是为了防范垃圾邮件而提出来的一种DNS记录类型,它是一种TXT类型的记录,它用于登记某个域名拥有的用来外发邮件的所有IP地址。
2.SafeBrowsing API
谷歌的一个随时可以通过互联网访问的API,允许允许浏览器在渲染之前检测URL的正确性。
网友评论