解密现代网络钓鱼是如何工作的？

在互联网时代，我们大多数人都被网络钓鱼攻击过，并且，网络钓鱼技术已经越来越复杂了。通常，攻击者会精心构造一个网站登录页面，让用户以为这个页面就是真的页面。然后用户输了自己的登录信息，这些信息就发送给攻击者。像这样盗取身份认证和个人信息的行为实际上就是一种盗窃和欺诈行为。

大多数情况下，钓鱼页面只是简单的把一些网站的登录页面复制下来，像Facebook，Google，银行，或者保险公司等。攻击者把这些网页上的images,CSS和JavaScript全部复制下来，然后生成一个登录页面。这与真实页面最大的区别是假的页面是一个恶意PHP脚本，可以把你的用户名密码发送给攻击者。这个是最简单的应用场景，接下来来看看一些比较复杂的。

钓鱼攻击的基础

最基本的钓鱼攻击流程是：从用户打开恶意页面，恶意程序就开始进行敏感信息收集，然后将结果提交给攻击者。最常见的如下，用户打开恶意页面，恶意页面伪装成一个正在加载的图标：

如果你在这个页面上等待了很长时间，可以检查下你的地址栏。如果你已经在一个错误的站点，刷新和关闭浏览器都没用了。当你看到这个图标的时候，基本上你的敏感信息已经发送给攻击者了。

 

如果你不小心中了这种攻击，最好快速做以下事情：

• 修改你的密码
• 检查下你的银行账户的交易记录
• 注意你的信用卡
• 查下这个站点的来源

复杂的钓鱼攻击

更高级点的钓鱼攻击就是在这个基础上加几行代码。页面也是正在加载的图标，但是几秒后，会重定向回真确的站点（甚至直接定向到原来的登录页面）。

这个时候，实际上你还没有登录，但是你的登录信息以及发送给了攻击者。这个时候，你无法通过地址栏知道自己是否中招，因为地址栏里是正确的地址。大多数受害者会以为自己刚刚输入错了账号名或者密码，所以他们会重新输入一遍，成功登陆了。

受害者就会好像什么也没发生过一样继续操作。几个小时，或者几天，甚至是几个月后，正真的问题就发生了。攻击者开始用他们窃取来的认证信息或者个人信息，开始登陆你的账号，或者出售你的个人信息。

检查你的地址栏

如何避免出现了以上演示的情况？一般在你进行重要操作的时候，养成习惯，简单的查看下你的地址栏可以帮助你快速知道自己是否打开了一个恶意页面。

例如，以下是几点你需要检查的东西：

1. 你是否在docs.trustauth.cn输入了你的GoogleDrive登录信息

2. 这个是否是HTTPS站点

3. SSL证书的锁图标是否有问题

 

高级钓鱼攻击技术细节

那么，那些高级的钓鱼攻击究竟是怎么样的呢？如果大家感兴趣的话，接下来来看下这类技术的细节。

 

先从一个简单的index.php页面开始。

index.php

modules.php

这是一个较复杂的网络钓鱼的后端，可以让攻击者窃取到信息，而且是通过一种比较聪明的方式获取到更多信息。

首先，程序先运行chmod.php模块，检查和创建各种日志文件，以下是其中创建日志部分的代码：

chmod.php中的一部分

创建好后，接下来是访问者日志记录——visitor_log.php页面会记录访问者的信息，甚至会把时间也格式化记录下来。为什么要记录时间呢？钓鱼服务器可能是一个全球的分布式环境，攻击者想要知道具体是哪台机器在哪个时区的什么时间记录了这些信息，好计算接下来的信息利用。

visitor_log.php中的日志记录代码

好，接下来正式开始最有趣的部分。这些攻击者会先检查访问者是来自哪个站点的（通过请求包中的HTTP_REFERER字段）。

如果访问者是来自一些在线安全检测网站（例如：trustauth.cn 这样用来检测目标是否是钓鱼页面），那么他们将返回一个404页面来欺骗安全人员，让这些安全检测软件以为这个页面不存在。这样可以起到保护钓鱼网站的作用。

phishtank_check.php的一部分代码

还不止这些，这些攻击者不仅仅只是检查这些钓鱼检测服务，也做了一个黑名单，记录了一些可能威胁到他们的安全服务。如下图所示，总共有122个公司列表，包括了他们的IP范围。

所有的日志记录和检查完后，就进入到钓鱼攻击本身了。

攻击者记录下每一次攻击以及受害者所有可以获取到的信息，例如浏览器信息和user-agent：