工具和策略
   
    网络钓鱼攻击一般仅利用一些简单的工具和技术来欺骗无戒备心的用户。支撑一次网络钓鱼攻击的底层基础设施可以是最基本的简单地拷贝一个 HTML 页面，上传到一个刚刚攻陷的网站服务器，以及一个服务器端的用来处理用户输入数据的脚本，也可能涉及更为复杂的网站及内容重定向，但他们的底层目标是一致的——架设一个假冒可信机构的网站，并部署一些必需的后台脚本处理用户的输入数据并让攻击者获取。使用最新的 HTML 编辑工具可以非常容易地构建出模仿目标组织机构的网站，同时如果攻击者不介意扫描互联网 IP 地址空间以寻找潜在的有漏洞的主机，缺乏有效的安全防护的网站服务器也能够非常容易地找到并被攻陷。一旦被攻陷，即使是家庭用的 PC 主机都可以作为钓鱼网站的宿主主机，所以钓鱼者的攻击目标不仅仅是知名的企业和学院里的系统。攻击者经常不分青红皂白地去选择他们的目标主机，而仅仅是在一个大的 IP 地址空间中随机地扫描，寻找可被利用的特定的安全漏洞。
   
    一旦钓鱼者建立起一个模仿可信机构的真实且能够让人信以为真的假冒网站后，对他们的重要挑战是如何将用户从一个合法的网站转移到访问他们所架设的假冒网站。除非钓鱼者有能力去改变目标网站的 DNS 解析（称为 DNS 中毒攻击 ）或采取其他方式对网络流量进行重定向（称为 pharming 的一种技术 ），他们必须依赖某种形式的内容上的欺骗技巧，去引诱不幸的用户去访问假冒的网站。欺骗技巧的质量越高，他们所撒的渔网就越宽，一个无知的用户错误地访问这个假冒网站（并提供给钓鱼者他的机密信息和私人数据）的机会就越大。
   
    对攻击者不幸的是，当他们假冒一个组织结构（如一个银行或可信的商务网站），钓鱼者通常没有任何互联网上哪些用户属于他们的客户此类信息，也就不知道哪些用户最容易上钩。即使钓鱼者可以将指向假冒网站的链接发布到与目标机构相关的一些聊天室或论坛上（如一个技术支持网站或网络社区谈论组），目标机构很可能比较迅速地被通知并做出反应，这个链接也会在很多受害者访问它所指向的内容并提交他们的个人信息前被清除。同时对钓鱼者也存在一个显著的风险，目标机构或法律执行部门可能会追踪并关闭这些假冒的网站。因此，钓鱼者需要一个方法，能够在尽量减少他们所承担的风险的同时，在短时间内欺骗尽可能多的潜在受害群体，他们找到了理想的犯罪搭档——垃圾邮件。
   
    垃圾邮件发送者拥有包括几百万使用中电子邮件地址的数据库，因此最新的垃圾邮件群发技术可以用来帮助一个钓鱼者低风险广泛地发布他们的诱骗邮件。垃圾邮件通常通过一些被攻陷的架设在境外主机上的邮件服务器，或是通过一个全球的傀儡主机网络 ( botnets ) 进行发送，因此邮件发送者被追踪的可能性将会很小。如果一个无戒备心的用户收到一封看起来像是由他们的银行所发来的，带有银行正式标志的电子邮件，要求他们访问一个看起来与银行官方网站一摸一样的网站并由于安全理由更改他们在线的银行口令，这比起那些介绍新奇产品并链接到未知网站的普通垃圾邮件来更可能使得用户上当。为了增加用户相信这个邮件是真实的可能性，钓鱼者会应用一些另外的技术来进一步提高他们所进行的诱捕手段的质量：
   
    在指向假冒网站的链接中使用 IP 地址代替域名。一些无戒备心的用户将不会检查（或不知道如何检查）这个 IP 地址是否来自假冒网站页面上所声称的目标机构。
    注册发音相近或形似的 DNS 域名（如 b1gbank.com 或 bigbnk.com 假冒 bigbank.com ），并在上面架设假冒网站，期望用户不会发现他们之间的差异。
    在一个假冒钓鱼网站的电子邮件 HTML 内容中嵌入一些指向真实的目标网站的链接，从而使得用户的网站浏览器的大多数 HTTP 连接是指向真实的目标网站，而仅有少数的关键连接（如提交敏感信息的页面）指向假冒的网站。如果用户的电子邮件客户端软件支持 HTML 内容的自动获取，那会在电子邮件被读取的时候自动地连接假冒网站，手动地浏览也不会在大量与真实网站的正常网络活动中注意到少量与恶意服务器的连接。
    对假冒网站的 URL 进行编码和混淆，很多用户不会注意到或者理解 URL 链接被做过什么处理，并会假设它是良性的。 IDN 欺骗技术（ IDN spoofing ）就是这样的一种技术，它使用 Unicode 编码的 URL 在浏览器的地址栏里呈现的看起来像是真实的网站地址，但实际上却指向一个完全不同的地址。
    企图攻击用户网页浏览器存在的漏洞，使之隐藏消息内容的实质。微软的 IE 和 Outlook 都被发现过存在可以被这种技术攻击的漏洞（如 地址栏假冒 和 IFrame element 漏洞 ）。
    将假冒的钓鱼网站配置成记录用户提交的所有数据并进行不可察觉的日志，然后将用户重定向到真实的网站。这将导致一个“口令错误，请重试”错误，或甚至完全透明，但在每种情况下，大部分用户都不会发觉，更相信是自己的错误输入，而不会想到是由于恶意第三方的干涉。
    架设一个假冒网站，作为目标机构真实网站的代理，并偷摸地记录未使用 SSL 加密保护的口令信息（或甚至为假冒的域名注册一个有效的 SSL 证书从而对 SSL 加密保护的口令信息进行记录）。
    首先通过恶意软件在受害者的 PC 上首先安装一个恶意的浏览器助手工具（ Browser Helper Object ），然后由其将受害者重定向到假冒的钓鱼网站。 BHO 是一些设计用于定制和控制 IE 浏览器的 DLL ，如果成功，受害者将会被欺骗，相信他们正在访问合法的网站内容，然而实际上却在访问一个假冒的钓鱼网站。
    使用恶意软件去修改受害者 PC 上的用来维护本地 DNS 域名和 IP 地址映射的 hosts 文件，这将使得他们的网页浏览器在连接架设假冒钓鱼网站的服务器时，却让用户看起来像是访问目标机构的合法网站。
   
    由于很多电子商务或在线银行应用的复杂性，他们的网站经常使用 HTML 框架结构或其他复杂的页面结构架设，这也可能使得一个终端用户很难判断一个特定的网页是否合法。上述列举的这些技术的组合使用可以隐藏一个精心设计的网页的真实来源，也使得一个无戒备心的用户很可能被引诱去访问钓鱼者的假冒网站，不知不觉地泄漏他们的认证口令信息和所需要的数字身份信息，从而成为一次成功的网络钓鱼攻击的又一个受害者。
   
    真实世界的网络钓鱼技术
    互联网用户也经常在他们自己收到欺骗性邮件发觉网络钓鱼攻击，也常常在钓鱼网站所临时架设的主机被 关闭很长时间后在 技术新闻站点上看到这些恶意网站的记录副本，但这些事件只能被孤立从受害者的角度去观察。蜜网技术能够提供的一个最大的优势在于其能够从攻击者角度捕获全部行为的能力，使得安全分析员能够对网络钓鱼攻击的整个生命周期建立起一个完整的理解，来自蜜网研究联盟的成员们非常幸运地捕获了丰富的网络钓鱼攻击数据集，能够帮助他们了解真实的一次网络钓鱼攻击的全过程，从最初主机被攻陷、钓鱼网站的架设、群发垃圾邮件、到最后的受害者数据捕获。三个反映典型的真实世界网络钓鱼攻击技术的实际案例将在下面被展示和分析。
   
    第一种网络钓鱼技术－通过攻陷的网站服务器钓鱼
    大部分我们观察到真实世界中的网络钓鱼攻击涉及到攻击者攻入有漏洞的服务器，并安装恶意的网页内容。蜜网技术使得我们可以捕获一次网络钓鱼攻击的生命周期中的详细数据，在我们观察到的这些攻击事件中，普遍地存在如下一些事件：
   
    攻击者扫描网段，寻找有漏洞的服务器
    服务器被攻陷，并安装一个 rootkit 或口令保护的后门工具
    钓鱼者从加密的后门工具获得对服务器的访问权
    如果这个被攻陷的服务器是一个网站服务器，则下载已构建完毕的钓鱼网站内容
    进行有限的一些内容配置和网站测试工作（这也潜在地预示着第一次访问钓鱼网站的 IP 地址可能是钓鱼者的真实 IP 地址）
    群发电子邮件工具被下载，并用以大规模散发包含假冒钓鱼网站信息的欺骗性垃圾邮件
    网页浏览的流量开始到达钓鱼网站，潜在的受害者开始访问恶意的网页内容
   
    通常情况下，网站钓鱼攻击的生命周期从钓鱼网站发布到互联网上后只有几个小时或几天的时间，我们的研究也发现网络钓鱼攻击在多台服务器上针对多个组织机构在同时并行进行。我们将使用两个典型的网络钓鱼攻击的实际案例所捕获的数据来进行阐述这些原理，其中一个案例是由德国蜜网项目组观察到，另一个由英国蜜网项目组观察到。在每个案例中，蜜网研究联盟的成员们都部署了有漏洞的 Linux 蜜罐，对这两个蜜罐的攻陷过程显示了相同的攻击模式：蜜罐的被扫描和被攻陷具有非常强的连续性，并包括预先创建的钓鱼网站和群发垃圾邮件工具的上传和使用。与我们观察到的几次其他的案例中类似， Rootkit 和 IRC 服务器也同时在攻击过程中被安装，被攻陷的蜜罐同时被用以除网络钓鱼外的其他目的：如作为一个由罗马尼亚攻击者控制的 IRC 傀儡主机，同时也作为一个网络扫描器用以发现和攻击更多潜在的计算机（尽管蜜网体系框架阻止攻击者从被攻陷的蜜罐成功的攻击其他的服务器）。一些令人关注的差异也是非常显然的，不仅仅是在英国蜜网项目组观察到的案例中，也就是多个不同的组织几乎同时访问了被攻陷的主机，使得取证分析更加复杂。由于篇幅的限制，我们没有在本文中给出这些攻击的具体细节，而仅仅给出了我们所得到的经验以及钓鱼者如何进行网络钓鱼攻击。如果你对这些特定的攻击过程的更多具体细节感兴趣，你可以访问以下页面中的信息。
   
    蜜网配置概要介绍
    德国蜜罐攻陷案例的具体细节
    英国蜜罐攻陷案例的具体细节（时间表）
    英国蜜罐攻陷案例的具体细节（内容分析）
    下面的表格展示了在这两个案例中关键的因素及其差异的概要 分析 :
   
    数据
    德国案例
    英国案例
   
    被攻陷的蜜罐
    Redhat Linux 7.1 x86.
    Redhat Linux 7.3 x86.
   
    部署位置
    德国企业网络
    英国 ISP 数据中心
   
    攻击方法
    “Superwu“ autorooter.
    “Mole“ mass scanner.
   
    被利用的漏洞
    Wu-Ftpd File globbing heap corruption vulnerability ( CVE-2001-0550 ).
    NETBIOS SMB trans2open buffer overflow ( CAN-2003-0201 ).
   
    获得的访问权限
    Root.
    Root.
   
    安装的 Rootkit
    Simple rootkit that backdoors several binaries.
    SHV4 rootkit.
   
    可能的攻击者
    未知
    来自罗马尼亚康斯坦萨的拨号 IP 网络的多个组织
   
    网站行为
    下载多个构建好的以 eBay 和多家美国银行为目标的钓鱼网站
    下载一个预先构建的以一家美国主要银行为目标的钓鱼网站
   
    服务器端后台处理
    用于验证用户输入的 PHP script
    拥有更高级用户输入验证和数据分类的 PHP script
   
    电子邮件活动
    企图发送垃圾邮件 ( example 1 , example 2 ), 但被 Honeywall 所拦截 .
    仅测试了邮件发送，可能是给钓鱼者同伙， Improved syntax and presentation.
   
    群发电子邮件方法
    从一个中量级 Email 地址输入列表进行垃圾邮件群发的 Basic PHP script
    从一个小量级的 Email 地址输入列表进行垃圾邮件群发的 Basic PHP script – 可能仅仅是一次测试 .
   
    受害者是否到达钓鱼网站
    没有，垃圾邮件的发送和对钓鱼网站的访问被阻断
    有，在 4 天内有 265 个 HTTP 请求到达，但不是因为从服务器发出的垃圾邮件所吸引的 ( 没有客户的个人信息被收集 ).
   
    从对两个案例中钓鱼者的键击记录（使用 Sebek 捕获）的观察发现，攻击者在连接到已存在的后满后，立即开始工作，部署他们的钓鱼网站。这些攻击者的动作显示他们对服务器的环境非常熟悉，这也说明他们是前期攻陷这些蜜罐的组织中的成员，而且钓鱼攻击的整个企图也是非常明显且具有组织性的。从上传的网站内容经常指向其他的网站服务器和 IP 地址看来，很可能这些活动同时在多台服务器上同时在进行中。
   
    从对在这些案例中由攻击者下载的钓鱼网站内容的分析中可以明显的看出，钓鱼者在同时以多个知名的在线组织结构为假冒目标。预先精心构造、有官方标志的假冒钓鱼网站被例行性地部署到被攻陷的主机上－经常通过以不同的网页服务器根目录进行分离的“子站点”来同时架设多个组织结构的钓鱼网站，同时安装将垃圾邮件传播给潜在的受害者的必需工具。在英国蜜网项目组观察到的案例中，从 FTP 会话所列出的目录列表中可以确认这些攻击者已经很深的卷入垃圾邮件和网络钓鱼攻击中，预先构建的网站内容和邮件传播攻击被集中存放在一个集中的服务器上，并且看起来攻击的目标至少针对 eBay 、 AOL 和其他几个知名的美国银行。这些个别的网络钓鱼攻击看起来并不是隔离的单独的攻击事件，因为在这些案例中发布的垃圾邮件通常将受害者指向到几个同时存在的假冒网站服务器，同时这些垃圾邮件也同时是从多个系统中发出。从英国案例中蜜罐被攻击后第一个连入对钓鱼网站内容的 HTTP 请求也预示着并行的网络钓鱼攻击操作在进行。
   
    这个连入蜜罐的 HTTP 连接在攻击者在这台蜜罐主机上架设假冒的在线银行网站之前就已经发生，这确认了攻击者已经预先知道这台服务器可以被用来作为一个钓鱼网站的假设。在攻击者在架设这个钓鱼网站的同时，引诱受害者访问这个新钓鱼网站的垃圾邮件已经从另外一台主机上发出。
   
    我们对连入被攻陷的蜜罐请求假冒在线银行内容的 HTTP 请求连接的源 IP 地址数量和范围感到震惊。下面的图给出了在蜜罐从网络中断开前从各个 IP 地址访问钓鱼网站的 HTTP 请求的数目（包括每个 IP 单独计算和全部的 HTTP 请求）。
   
   
    访问英国蜜网项目组部署蜜罐上的钓鱼网站内容的源 IP 地址的顶层 DNS 域名、国家和主机操作系统的列表见 此页面 。要注意的是，在蜜罐被离线进行取证分析之前，尽管访问钓鱼网站的网页流量到达英国蜜网项目组部署的蜜罐，但并没有针对处理用户数据处理的 PHP 脚本的 HTTP POST 请求，因此在此次网络钓鱼攻击中，没有任何用户的信息被钓鱼者和我们获得。在本文提及的所有案例中，我们或是直接通报了目标机构关于攻击案例和任何相关的他们所需的相关数据，或是向当地的计算机应急响应组通报了所有相关的恶意行为。在所有案例中，没有任何受害者的私人信息被蜜网项目组和蜜网研究联盟的成员所捕获。
   
    从这两个案例中的数据表明钓鱼者是非常活跃并且具有组织性的，在多个被攻陷的主机中快速地移动，并且同时以多个著名的组织结构为目标。同时数据也显示许多电子邮件用户被引诱访问假冒组织机构（如在线银行和商务网站）的钓鱼网站，网络钓鱼攻击已经给广大的互联网用户带来了安全风险。
   
    第二种网络钓鱼技术－通过端口重定向钓鱼
    在 2004 年 11 越，德国蜜网项目组部署了包含一个 Redhat Linux 7.3 蜜罐的经典 第二代蜜网 。虽然安装的是相当旧的操作系统版本，攻击者也能够非常容易就能攻破，但它令人惊讶地经过了两个半月后才被首次成功攻陷－这和以上提及案例中讨论的蜜罐快速被攻陷的情况形成显著的反差。更多关于此趋势的信息可以在“了解你的敌人”系列文章中的“ 了解你的敌人：趋势分析 ”中可以找到。
   
    在 2005 年 1 月 11 日 ，一个攻击者成功地攻陷了这台蜜罐，使用了针对 Redhat Linux 7.3 缺省安装存在的 OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow Vulnerability 的攻击脚本。此案例不寻常的是当攻击者获得被攻陷主机的访问权后，他并没有直接上传钓鱼网站内容。取而代之的是，攻击者在蜜罐上安装并配置了一个端口重定向服务。
   
    这个端口重定向服务被设计成将发往该蜜罐网站服务器的 HTTP 请求以透明的方式重新路由到另外一个远程的网站服务器，这种方式潜在地使得对钓鱼网站内容更难追踪。攻击者下载并在蜜罐上安装了一个称为 redir 的工具，此工具是一个能够透明地将连入的 TCP 连接转发到一个远程的目标主机的端口 重定向器。在此次案例中，攻击者配置该工具将所有到蜜罐 TCP 80 端口（ HTTP ）的流量重定向到一个位于 中国 的远程网站服务器的 TCP 80 端口。有意思的是，攻击者并没有在蜜罐上安装 Rootkit 以隐藏他的存在，这也说明攻击者并没有把被攻陷的主机的价值看的很重，同时并不担心被检测到。