网络钓鱼的名称来自使用精心布置的诱饵(如看起来很像来自一个真实公司或机构的E-mail)，这些诱饵是一些别有用心的人所设置，用于“钓取”用户的财政状况、信用卡详细情况和密码。钓鱼攻击使用的E-mail消息和网站看起来很像是来自一家合法的知名组织，其目的是骗取用户透露其个人、财政或计算机帐户信息。攻击者然后利用这些信息进行犯罪活动，如身分窃取、盗窃或欺诈。

通过点击恶意电子邮件中假银行网站链接或是在浏览器的地址栏输错网站的某一个字符，都有可能误入网络骗子们精心设计的钓鱼网站，导致个人资料甚至是财物的丢失。面对层出不穷钓鱼网站，即使是高级的网络防火墙和强大的反病毒软件也无能为力。

诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，因此来说，网络钓鱼的受害者往往也都是那些和电子商务有关的服务商和使用者。

常见钓鱼攻击技术

钓鱼攻击使用多种技术，下面列出了一些常见攻击方式

1           DNS 攻击

DNS欺骗攻击

定义： DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。

比拟： 你找了张假地图，地图把你导向了错误的路线。

冒充域名服务器，然后把域名查询的IP地址设为攻击者的IP地址。用户上网只能看到攻击者的主页，而不是用户想要取得的网站的主页。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

HOSTS文件攻击

Hosts文件是一个用于存储计算机网络中节点信息的文件，它可以将主机名映射到相应的IP地址，实现DNS的功能，它可以由计算机的用户进行控制。

例如 c:/windows/system32/drivers/etc

127.0.0.1     localhost

192.168.20.202    www.baidu.com

DNS攻击、Hosts文件攻击方式，使得被攻击站点无法正常访问，或被被攻击网站域名导向到与真实网站无关的站点，

研究人员发现网络上1700万开放递归的DNS服务器，其中4%的服务器上存在通过恶意操作把DNS解析申请引向恶意网站。

2           复制图片和网页设计、相似的域名

用户鉴别网站的一种方法是检查地址栏中显示的URL。为了达到欺骗目的，攻击者会注册一个域名，它看起来同要假冒的网站域名相似，有时攻击者还会改变大小写或使用特殊字符。由于大多数浏览器是以无衬线字体显示URL的，因此，“paypaI.com”可用来假冒“paypal.com”，“barcIays.com”可用来假冒“barclays.com”。更常见的是，假域名只简单地将真域名的一部分插入其中，例如，用“ebay-members-security.com”假冒“ebay.com”，用“users-paypal.com”假冒“users.paypal.com”。而大多数用户缺少判断一个假域名是否真正为被仿冒公司所拥有的工具和知识。

3           URL隐藏

假冒URL的另一种方法利用了URL语法中一种较少用到的特性。用户名和密码可包含在域名前，语法为:http://username:password@domain/。攻击者将一个看起来合理的域名放在用户名位置，并将真实的域名隐藏起来或放在地址栏的最后。网页浏览器的最近更新已关闭了这个漏洞，其方法是在地址栏显示前将URL中的用户名和密码去掉，或者只是简单的完全禁用含用户名/密码的URL语法，Internet Explorer就使用了后一种办法。

4           IP地址

隐藏一台服务器身份的最简单办法就是使它以IP地址的形式显示，如http://202.*.*.250。这种技术的有效性令人难以置信，由于许多合法URL也包含一些不透明且不易理解的数字，因此，只有懂得解析URL且足够警觉的用户才有可能产生怀疑。

5           欺骗性的超链接

一个超链接的标题完全独立于它实际指向的URL。攻击者利用这种显示和运行间的内在差异，在链接标题中显示一个URL，而在背后使用了一个完全不同的URL。即便是一个有着丰富知识的用户，他在看到消息中显而易见的URL后也可能不会想到去检查其真实的URL。检查超链接目的地址的标准方法是将鼠标放在超链接上，其URL就会在状态栏中显示出来，但这也可能被攻击者利用JavaScript或URL隐藏技术所更改。

6           弹出窗口

最近对Citibank客户的一次攻击使网页复制技术前进了一步，它在浏览器中显示的是真实的Citibank网页，但在页面上弹出了一个简单的窗口，要求用户输入个人信息。

社会工程

钓鱼攻击还使用非技术手段使用户坠入陷阱，其中的一个策略就是急迫性，从而使用户急于采取行动，而较少花时间去核实消息的真实性。另一个策略是威胁用户，如果不按照所要求的去做就会造成可怕的后果，如终止服务或关闭帐户，少数攻击还许诺将获得巨额回报(如“你中了一个大奖!”)，但威胁攻击更为常见，用户往往会对不劳而获产生怀疑，这可能是人类的本能。

最主要的手段——垃圾邮件

由于互联网邮件规则鼓励企业自建邮件系统，公网邮件系统对邮件来源不做严格审查和限制，导致邮件来源验证审查不严格，发件人邮件地址可以被轻松仿冒。

最现行的表现——“李鬼”

利用酷似真实知名网站的域名称与内容，让不慎进入的使用者信以为真，从而在进行电子交易中让使用者受骗上当。

最可怕的伎俩——木马

最流行的钓法——即时通信软件

针对即时聊天服务的攻击增长迅猛，IM服务运营商想要保持其用户个人信息的安全性也越来越难。

最卑劣的行为——救助捐款

假冒慈善机构名义募款不属于什么新生的欺骗手段，正所谓“人恶人怕天不怕，人善人欺天不欺。

高级别的钓鱼攻击方式

1            中间人攻击

使用SSLStrip中间人攻击方式，攻击者使用攻击主机在客户端到服务器之间设置一道代理服务器，窃听客户端与服务端所有传输数据（甚至加密数据）。

高级别的SSLStrip攻击还能够使用低端SSL证书，激活浏览器锁型标示 ，使得该攻击方式更加难以防范。

2            浏览器劫持

浏览器劫持是通过恶意程序、浏览器插件、BHO（浏览器辅助对象）、WinsockLSP等形式对用户的浏览器进行篡改，使用户的浏览器配置失常。

通过攻击浏览器将客户端导向错误站点、篡改浏览器软件运行表象。

3            变造IE可信根

通过恶意程序、浏览器插件、欺骗诱导客户端手动安装等方式，变造IE可信根CA。使非信任的服务器证书在该攻击手段下成为可信任证书。即所谓的造假证！

另外，由于实施DNS攻击也需要一定技术实现，通常也把它归类于高级攻击方式。

针对于高级别的钓鱼攻击，通常很难凭借普通的防钓鱼手段加以识别。采用EVSSL的绿色地址栏，能够起到很好的识别钓鱼网站的功能。

绿色地址栏如何防范网络钓鱼：

https://www.phish-no-phish.com/cn/Default.aspx

钓鱼攻击还有一些值得关注的特点:

1、持续时间短

大多数钓鱼网站只存在很短的一段时间，其单位以天甚至小时计算。

2、憋脚的语言

许多钓鱼攻击所用的消息存在大量的拼写错误、语法错误或使人困惑的措词。

3、网上交易站点居多

大部分钓鱼网站带有网上交易的特性，所以对于网上银行、网络商城之类的站点中间人攻击