揭开网络钓鱼(Phishing)秘密

看到这里，有些读者可能会说，这不是社会工程学吗？两者都是骗人的手段啊。不错，网络钓鱼里面的确有社会工程学的影子，但是与后者相比，网络钓鱼更趋向于技术方面，因为它不仅仅是欺骗，里面还必须掺入技术成分，否则如果连“垂钓者”自己都无法控制“钓竿”的话，又怎么可能钓到鱼呢？

视觉陷阱：网页背后的钓竿

警察正在分析张经理那台笔记本电脑硬盘里的数据，张经理本人在报案时因心脏病发作而住进了医院。由于无法得知张经理最后一次登录网络银行的时间，而且系统里也没有感染任何偷盗账号的后门程序，案件变得有点扑朔迷离起来。一个分析员无意中打开了Foxmail，发现最后一封信件是银行发送的，主题为“XX网络银行关于加强账户安全的通告”，分析员预测案件与这封信件有重大关系，马上打开阅读。这是一封HTML网页模板的信件，内容大意为银行为了加强账户安全而升级了系统，请各位客户尽快重新设置账户密码，末尾还给出了设置密码的URL链接。

幕后黑手果然在这里！分析员马上查看信件源代码，很快就找出了其中的猫腻：正如常说的 “说的一套，做的一套”，这个邮件的作者采用了“看的一套，进的一套”这种简单的欺骗手法，入侵者利用HTML语言里URL标记的特性，把它写成了这样：“〈A HREF="http://www.xxxbank.com.cn/account/index.asp"〉http://www.xxbank.com.cn/account/index.asp〈/A〉”，由于心理作用，受害者潜意识里都会直接点击那个写着“http://www.xxbank.com.cn/account/index.asp”的URL链接，然而他们并不知道，这个点击实际上是把他们引向“http://www.xxxbank.com.cn/account/index.asp”这条钓竿！而这个所谓的更改密码页面，当然伪造得与真正的银行页面完全一致，但是它的“更改密码”功能却是把账号和密码发送到了幕后的“垂钓者”手上，然后“垂钓者”登录上真正的网络银行改了受害者设置的密码，并顺手牵羊把银行账户里的存款转移掉。这样钓来的鱼，即使是小鱼也会让“垂钓者”在梦里发出笑声来了，即使一条太小，积累起来的数目也会变得相当可观了。在金钱的诱惑下，“垂钓者”一次又一次提竿，殊不知，他自己也是被金钱钓竿钓上的一条鱼。