按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
//。hockbase。
代码中的网址“//。hackbase。/”是将要打开的网站,链接中的网址用“//。hockbase。”来代替了。
当打开这个静态网页,并将鼠标移动到网页中的链接上时,状态栏上显示的链接与网页内容中的链接是相同的,看不出来有任何问题。但当用户单击该链接打开网站时,会发现打开的网站是“//。hackbase。/”,而不是“//。hockbase。”。
7。2。3IP转换与URL编码
IP地址转换就是数值之间的进制转换。IP地址最常写成加点的十进制形式,此种IP通常有4组数字段,并以“。”分隔开,每段数字都在0到255之间。众所周知,IP地址与域名是对应的,使用域名能够访问网站,同样,使用IP地址也能访问网站。
如果把十进制的IP地址转换成八进制与十六进制,再使用IP地址访问网站,用户将看到一段无意义的数字,一般不会怀疑。
要将网站域名对应的IP地址转换为八进制或十六进制,可使用一个简单的小工具——终极URL。下面将以。sina。网站为例,介绍IP地址转换的方法。
步骤01单击【开始】→【运行】,在弹出的【运行】对话框中输入“CMD”,即可打开“命令提示符”窗口。在命令提示符下输入“Ping。sina。”命令,获得网站。sina。对应的IP地址为59。175。132。61。
步骤02从网上下载“终极URL工具”压缩包并解压打开工具,在“IP转换”栏中输入网站。sina。对应的IP地址,并选中“点分八进制”单选项,单击“加密”按钮,在“加密后IP”栏中即可显示转换后的八进制的IP地址。
步骤03复制转换后的IP地址,并使用IE浏览器打开该地址,即可看到打开的网站仍然是新浪站点。还可以在“IP转换”栏中选择“点分十六进制”单选项,将IP地址转换为十六进制。
另外,使用“终极URL工具”还可以将域名转换为URL编码。URL编码是字符的ASCII码的十六进制状态,并在字符前加上“%”符号。例如,3的16进制ASCII码是33,URL编码后的结果是%33。
若要将某一网站的域名转换为URL编码,可在“终极URL工具”中的“URL加密”栏中的“待加密URL”文本框中输入网站的域名。
如黑基网“。hackbase。”,单击“加密”按钮,即可在“加密后URL”文本框中显示相应的URL编码://%77%77%77%2E%68%61%63%6B%62%61%73%65%2E%63%6F%6D/。再复制该URL编码并使用IE浏览器打开加密后的URL,即可看到能正常打开“黑基网”站点。
第三章 E…Mail邮件钓鱼技术
早期的E…mail邮件钓鱼技术非常简单,就是利用欺骗性的E…mail和伪造的Web站点来进行诈骗活动,使受骗者泄露自己的重要数据,如信用卡号、用户名和口令等。但随着钓鱼事件的增多,越来越多的网民增强了防范心理,也采取了一些防范措施,使邮件钓鱼攻击越来越困难。在这种压力下,攻击者提出了更高级的邮件钓鱼技术,将“欺骗”发挥到极致。
7。3。1花样百出的钓鱼邮件制造
网络钓鱼作为一种诈骗手段,其中并没有太多的技术含量,攻击者只是利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动,受骗者往往会毫不设防地泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。而且网络钓鱼的存活期平均是15天,在这么短的时间内让攻击达到百万次,关键是施放的鱼饵。影响存活其的因素在于技术上实现的隐蔽性、针对性、操作性,影响因素越小,存活性就会越长。
一般来说,成功的钓鱼者不会盲、任意地寻找攻击目标,而是有计划有步骤地对不同的用户群进行分类。他们常将用户群分为两种类型进行攻击,一种是针对型,一种是广谱型。针对型的钓鱼攻击比较常见,主要是为了获取有用数据而专门攻击小范围的具备某特点的团体。例如,盯上了苹果的新品iPhone的钓鱼邮件,往往会将目标锁定到对iPhone感兴趣的时尚一族,银行/金融机构的客户等。
广谱型的钓鱼攻击即没有特定的目标,对于普通的用户群会进行大面积撒网。它与传统的直接盲目发送邮件非常相似,但实质性的内容却不同。
针对型钓鱼者为了使发送的钓鱼邮件实现较高的点击率,往往会采取如下方法使邮件更加真实。
●针对型的钓鱼邮件在邮件格式上会套用被欺骗企业常用的邮件格式,作为标准邮件格式。
●邮件的正文表达的意思非常明确,如要求用户注册验证、账户更新或系统升级等,不会使用一些含糊不清的内容,使用户产生怀疑。
●使用Photoshop、Dreamweaver等专业工具对邮件中使用的图片进行处理,并生成HTML代码插入邮件内容进行发送。
●伪造被欺骗企业信息和认证标志,使钓鱼邮件更逼真。
而广谱型钓鱼邮件没有必要像针对型钓鱼邮件那样制作一个标准的钓鱼邮件,因为这类邮件可以批量发送给网络中的所有用户,只要邮件内容能够引起用户的好奇心或注意力,让他们点击邮件链接即可。因此,这类钓鱼邮件需要钓鱼者在邮件的标题及内容上多花些功夫。
7。3。2伪造发件人地址
邮件诈骗则是网络诈骗最常用的手段。黑客通过伪造地址和发信人的邮件,发送虚假的获奖信息或者活动信息,骗取收件人的信任并诈骗收件人的财务。
比如,如果收到一收朋友发来的邮件,发现邮件地址确实是朋友的,邮件内容中说她有急用想借一些钱,且给了在线银行的网址。很多人看到这些可能就会因为友情去帮助她,但是可能这时候用户已经中了别有用心的人的当了。那么,这些人是如何伪造发件人地址的呢?
伪造邮件的实质是建立SMTP服务器,使用代理并伪造邮件头发送欺骗性邮件。这就是我们所说的社会工程学。
SMTP邮件的传输共分为三个阶段:建立连接、数据传输、连接关闭,其中最重要的就是数据传输。邮件在传输时是通过五条命令来实现:
●Helo:表示与服务器内处理邮件的进程开始“通话”。
●mailfrom:表明信息的来源地址,也就是要伪造的地址。
●rcptto:邮件接收者的地址。
●data:邮件的具体内容。
●quit:退出邮件。
这五条命令是内嵌在程序中自动完成,对用户来说是透明的,如OUTLOOK、foxmail等程序。下面介绍一个小工具“FastMail邮件特快专递”,它内建了SMTP服务器,允许用户伪造邮件地址发送欺骗性邮件。
这里伪造邮件地址“admin@abc”给lbwkzceo@163。发一个邮件,主题是“中秋快乐”,发件人姓名是“linlin”,邮件的内容是“祝老友中秋节快乐!”。打开“FastMail邮件特快专递”工具并在其中进行设置。
单击【发送】按钮,在发送成功后,即可打开163邮件,在收件箱中可看到伪造的邮件地址admin@abc发送来的邮件,打开邮件后,即可看到伪造邮件的效果。
发件人地址是随便取的,而收信人地址则是真实的。正常情况下,是无法完成这个发信操作的,因为没有这个发信人地址的存在。但通过这类特殊的邮件收发软件就可以完成邮件的发送,而收件人则立即会收到伪名发送的邮件。这种方法是目前最常见的垃圾邮件发送方法,也是比较恶劣的一种伪造邮箱账户行为。
7。3。3瞬间收集百万E…mail地址
网络钓鱼的邮件地址的收集分为两种:针对型收集与广谱型收集。针对型收集是指针对讨论某一话题的论坛与社区类站点进行E…mail地址收集;广谱型收集是指任意、随机地进行大范围的邮件地址收集。
1.针对型收集
对于针对型收集,可使用“SupermailExtractor”工具进行全自动化收集,无需人为操作,即可快速对某一站点进行整站E…mail地址收集。下面以站点//。sina。/为例讲述对新浪站点进行整站E…mail地址收集的方法。
步骤01从网上下载“SupermailExtractor”工具压缩包并解压,进入该工具的主窗口中。
步骤02在主窗口中的“SearchenginedirectoriesURL”文本框中输入新浪网址//。sina。/,单击工具栏上的【Start】按钮进行搜索,稍等片刻后,可在下面的列表框中看到搜索的结果。
步骤03在搜索完毕后,单击工具栏上的【ExportSearchResults】按钮,在弹出的【ExportSearchResult】对话框中单击文本框右侧的【打开】按钮。
步骤04此时,即可弹出【另存为】对话框。在“文件名”文本框中输入文件名“Email地址收集”,单击【保存】按钮,即可对搜索结果进行保存。
利用搜索到的网站的Email地址,即可进行网络钓鱼攻击。如果是论坛的话,可以直接入侵论坛,获取MySQL数据库账户以及下载Access数据库,从用户注册信息中整理出Email列表即可。
2.广谱型收集
对于广谱型收集,可使用“Google电邮搜索”工具进行大范围的邮件地址收集。Google电邮搜索工具中收录了全世界的中英文网页,输入与邮件地址相关的字符即可检索到大量的邮件地址。软件通过一次性导入上千个检索关键词列表,可以自动搜索和提取邮件地址。
下面介绍使用“Google电邮搜索”工具进行邮件地址收集的方法。
步骤01打开“Google电邮搜索”工具,即可进入其主窗口中。
步骤02单击工具栏上的【导入】按钮,在弹出的【导入关键字列表文件】对话框中选择要导入的文件,这里以“Google电邮搜索”工具中的“搜索关键字范例。”文件为例。
步骤03单击【打开】按钮,返回“Google电邮搜索”工具的主窗口中,单击工具栏上的【搜索】按钮,即可弹出【搜索参数设置】对话框。
步骤04单击【确定】按钮,即可开始根据关键定进行搜索,在主窗口右侧将出现链接。单击其中的“点击查看在google。。hk的搜索结果”链接,稍等一会儿后,即可在主窗口的左侧列表框中根据“搜索关键字范例。”中的关键字显示出搜索结果。
7。3。4钓鱼邮件群发
通过7。3。3节中的方法收集了大量邮箱地址后,钓鱼攻击者接下来就要将钓鱼邮件发送到这些邮箱中。那么多的邮件不可能一个个手工发送,因此可使用一种群邮件发送工具。
网络上的群邮件发送工具非常多,这里以“天天邮件群发工具2011试用版本”为例,介绍群发邮件的方法。天天邮件群发工具是目前国内最为先进的WEB邮件群发引擎,能准确投递到163、126、sina、sohu、21cn、QQ等国内著名大型邮箱,邮件投递到达率为99%以上,发送的邮件不会进入垃圾箱中。而且该工具采用最新的WEB发送技术,不采用已经失效的SMTP群发技术,因为目前国内各大邮局新注册的邮箱已经不再支持SMTP发送,所以SMTP发送已经失效已久。
下面介绍使用“天天邮件群发工具2011试用版本”群发邮件的方法。
步骤01下载并运行“天天邮件群发工具2011试用版本”,进入其主窗口中。主窗口中默认显示的是“发信邮箱设置”选项卡中的信息,在主窗口右侧的“账号”和“密码”文本框中输入发信邮箱的账号和密码。单击【添加】按钮,即可将其添加到左侧的列表框中。
步骤02在主窗口中上方选择“收信邮箱设置”选项卡,在中间区域的“账号”文本框中输入收件人邮箱地址,单击【添加】按钮,即可将其添加到左侧列表框中。
步骤03如果收件人邮箱数量非常多,还可单击中间区域中的【导入账号】按钮,在弹出的【打开】对话框中选择用记事本保存邮箱账号的文件。单击【打开】按钮,即可弹出【温馨提示】对话框,提示账号导入完毕。此时,单击【确定】按钮,即可将记事本中的账号导入到主窗口左侧的列表框中。
步骤04在主窗口中上方选择“发信内容设置”选项卡,在其中的“标题”文本框中输入邮件的标题,并在下面的文本编辑框中输入邮件的正文。
步骤05“天天邮件群发工具2011试用版本”还支持HTML格式发信,在文本编辑框的下方单击【HTML】按钮,即可切换至HTML格式编辑状态。
步骤06在主窗口上方选择“开始群发”选项卡,单击其中的【开始发送】按钮,即可开始群发邮件。待所有邮件发送成功后,在下面的列表框中将显示发送成功的信息。
步骤07与此同时,邮箱79902662@qq。提示收到一封标题为“测试”,发件人为lbwkzceo@163。的邮件。单击提示邮件中的链接,即可打开邮箱79902662@qq。,在其中可查看收到的邮件,正是由于网上有很多像“天天邮件群发工具”这样的工具,可以很方便地发送钓鱼邮件,才导致垃圾邮件越来越猖狂。
7。3。5邮件前置与诱惑性标题
钓鱼者为了增加邮件查看率,使出了浑身解数,比如通过一些技巧使钓鱼邮件处于用户收件箱的最顶端,或使用具有诱惑性的标题,使用户上当等。
1。使钓鱼邮件位于收件箱的最顶端
用户在接收邮件时,邮箱会根据接收的时间对收到的邮件进行排列,不同的邮箱排列的规则不一样。那么,如何让钓鱼邮件处于用户收件箱的最顶端呢?
为了形象地说明,这里列举一个例子,介绍如何使钓鱼邮件处于用户收件箱的最顶端。假设某一用户向邮箱lbwkzceo@163。发送三封邮件,第一次发送邮件时,将系统时间更改为2002年10月1日;第二次发送邮件时,将系统时间更改为2008年1月1日;第三次发送邮件时,将系统时间更改为2005年3月7日。按照邮件正常接收方式,其邮件排序应依次为2002年、2008年、2005年,但163邮箱的邮件排序是按照时间的大小排序的。
因此,收到邮件的顺序为2002年、2005年、2008年。这样,2008年的邮件则排在收件箱的第一位。但这种方法不可以适用于所有邮箱,有兴趣的用户可自己测试一下其他邮箱。
2。使用诱惑性标题
恶意攻击者通过发送大量垃圾邮件,在垃圾邮件的标题中会写有带有诱惑性的词语或欺骗性的说明,在邮件的正文中往往会有大量诱惑性的图片并且加入恶意地址的连接。
当用户浏览垃圾邮件且轻信其中的内容,对恶意图片或超级链接进行点击后,就会跳转到恶意攻击者事先部署好的网站或网页,而这些网站或网页往往是和网上交易、网上购物等网上消费的网站相似。这样,在用户没有很好网上安全防范意识的情况下,就会按照这些虚假的网站或网页进行操作,从而造成个人经济财产的损失。
为了使邮件更具有吸引力,可以在日常生活中多注意一些新闻稿,那些记者为了使自己的新闻稿吸引人们的眼球,常常会在新闻稿上添加一些具有诱惑性的标题。这些诱惑性的标题实正文中的内容也许不相符,但却可以增加点击率。
第四章 网站劫持钓鱼艺术
网站劫持钓鱼技术是钓鱼攻击中高级技术的应用,如DNS劫持,一旦取得目标域名的解析记录控制权,就可以修改此域名的解析结果,将域名原来的IP地址转到攻击者指定的IP地址上。这样,不管是否输入了正确的域名,都会掉进钓鱼者设置的陷阱中。要保护自己免遭劫持,需要先了解劫持钓鱼攻击的过程。
7。4。1Hosts文件的映射劫持
现在很多网站不经过用户同意就将各种各样的插件安装到用户的计算机,这些插件可能有一些是木马或病毒。这些木马或病毒安装到计算机中后,为了对抗安全防护软件,都使用Hosts文件来劫持用户,禁止访问安全站点。
比如,一旦劫持了某个杀毒网站,用户访问的将是陌生站点与病毒站点等。对于这些网站,可以利用Host把该网站的域名映射到错误的IP或本地计算机的IP,这样就不用访问了。在Windows系统中,127。0。0。1为本地计算机的IP地址。
下面先来了解一下Hosts文件的详细内容。
Hosts文件是一个用于存储计算机网络中节点信息的文件,它可以将主机名映射到相应的IP地址,实现DNS的功能,它可以由计算机的用户进行控制。
Hosts文件存储位置在不同的操作系统中并不相同,甚至不同Windows版本的位置也不大一样。一般来说,WindowsXP/2003/Vista/win7系统中Hosts文件的默认位置为C:Windowssystem32driversetc文件夹下,但也可以改变。若钓鱼者想劫持的话,需要先用记事本修改这个文件的内容。Hostname(主机名)的映射关系,是一个映射IP地址和Hostname(主机名)的规定。