了解你的敌人 网络钓鱼攻击的实现过程

核心提示： protocol, it is mandatory for us to re-verify you. Please click 'Respond' andre-state your password. Failure to comply will result in imm

protocol, it is mandatory for us to re-verify you. Please click 'Respond' and

re-state your password. Failure to comply will result in immediate account

deletion.

早期的网络钓鱼攻击主要目的是获得受害者的 AOL 账号的访问权，偶尔也期望获取信用卡数据以用于欺诈目的 ( 如非法买卖这些信息 ) 。这些钓鱼的信件通常包含一个简单的诡计从而哄骗一些“菜鸟”用户，这些欺骗手段很大程度依赖于受害者对“自动化的”系统功能或权威机构的（表面）轮廓的先天性信任，前面的例子中给出一个硬件设备故障或数据库毁坏的情节，大部分的普通用户将会重视任何看起来正式的、或看起来向是为他们提供帮助的紧急的技术上的要求，用户通常会被催促尽快输入其敏感信息从而避免严重后果，如“ … 重新输入你的口令，如未及时输入则将导致直接删除账号”。为了避免可能潜在的严重的后果，受害者通常立即照做，从而不知不觉地将这些使用此社交工程手段的黑客所需要的敏感数据提供给了他们。事后的证据表明这些黑客都是单独行动，或是以一个小而简单的组织形式活动。一些文献也描述了早期的网络钓鱼者大多是一些期望获得更多账号数据去恶作剧及打长途电话的青少年，通常没有很强的组织性和蓄意性。

现在，钓鱼者所首选的策略是通过大量散发诱骗邮件，冒充成一个可信的组织机构（通常是那些钓鱼者所期望的已经被受害者所信任的机构），去引诱尽可能多的终端用户。钓鱼者会发出一个让用户采取紧急动作的请求，而具有讽刺意义的是通常其理由是保护用户的机密性数据免受恶意活动的侵害，这封欺骗性的电子邮件将会包含一个容易混淆的链接，指向一个假冒目标机构公开网站的远程网页。钓鱼者希望受害者能够被欺骗，从而向这个假的、但看起来是目标机构的“官方”网站的网页接口输入他们的机密信息。被钓鱼者所青睐的目标机构包括很多著名的银行，信用卡公司和涉及日常性支付行为的知名互联网商务网站（如 eBay 和 Paypal 等 ）。大量针对互联网用户的钓鱼邮件的实例可以在反网络钓鱼工作组 （ Anti-Phishing Working Group ）的网站上 的 钓鱼邮件归档 中 可以获得，其中许多邮件都显示了钓鱼者可以欺骗无知的用户相信他们正在访问一个合法的网页接口的极高精确性。