网络钓鱼常见的攻击手段_钓鱼网站的攻击与防御系统

钓鱼的实用的防范策略

个人用户要避免成为Phishing的受害者，一定要加强安全防范意识，提高安全防范技术水平，针对性的措施可以归纳如下几点：

(1)防范垃圾邮件：这是防范网络钓鱼最为重要和关键的一步。当今绝大部分的垃圾邮件都携带有网络钓鱼的链接，用户们经常受到莫名其妙的邮件，因为好奇而点击其中的链接，随着而来的便是或被其中的“廉价”或者“伪冒”信息所蛊惑，或者是被安装上了木马。因此，利用垃圾邮件防护工具或者主动地对不明邮件提高警惕是防范网络钓鱼的第一要义。

(2)安装防病毒系统和网络防火墙系统：这是一个非常必须的步骤，多数反病毒软件都具有对包括间谍软件、木马程序的查杀功能;防火墙系统监视着系统的网络连接，能够杜绝部分攻击意图并及时报警提醒用户注意。由于病毒和黑客攻击手段翻新不断，防病毒和防火墙系统应及时升级，定期杀毒。

(3)及时给操作系统和应用系统打补丁，堵住软件漏洞：象Windows操作系统和IE浏览器软件都存在很多已知未知的漏洞，一般厂家在发现漏洞之后会迅速推出相应的补丁程序，用户应当经跟踪操作系统和应用程序的官方网站，充分利用厂商的资源，在发现各种漏洞时第一时间为自己的系统打上安全补丁，避免黑客利用漏洞人侵电脑，减少潜在威胁。

(4)从主观意识上提高警惕性，提高自身的安全技术：首先要注意核对网址的真实性，在访问重要的网站时最好能记住其网络域名或者IP地址，确保登陆到正确的网站，避免点击搜索引擎搜索出的链接等简便方法。第二要养成良好的使用习惯，不要轻易登录访问陌生网站、黄色网站和有黑客嫌疑的网站，拒绝下载安装不明来历的软件，拒绝可疑的邮件，及时退出交易程序，做好交易记录及时核对等等。

(5)妥善保管个人信息资料：很多银行为了保障用户的安全，设定了登录密码(查询密码)和支付密码(取款密码)两套密码，用户若保证登录密码与支付密码不相同，这样即使登录密码被窃取，网络钓鱼者依然无法操作用户的资金。尽量选择安全的密码，建议选用字母、数字混合的方式，以提高密码猜测和破解难度。密码等个人资料应妥善保管并定期更新，避免将密码泄露给他人。

(6)采用新的安全技术：数字证书是一种很安全的方式，通过数字证书可以进行安全通信和电子数字签名，电子签名具有法律效力。网上交易在数字证书签名和加密的保护下进行网上数据的传送，杜绝了网络钓鱼者使用跨站cookie攻击以及嗅探侦测的可能。数字证书具有可复制性，如同家门钥匙一样，用户应妥善保管。对于一些被假冒的机构和政府相关管理部门而言，也应采取相应的措施与Phishing这种犯罪活动做斗争。例如银行也可积极采取技术措施和宣传活动让用户能够识别真假避免上当。相关政府职能部门也应沟通合作，及时定位、关闭这些仿冒网站并从其所有者手中追回被盗的用户信息，减少直接和潜在损失 。

企业网站如何应对不法分子的钓鱼攻击？

不法分子主要是通过申请一个和真实网站近似的域名，然后为该假冒钓鱼网站申请一个域名型DV SSL证书，用户在访问该钓鱼网站时自然就不会收到来自浏览器的“不安全”警告。

企业可以通过申请个人无法申请的企业型OV SSL证书或增强型EV SSL证书来应对日益增长的HTTPS钓鱼网站，这两种SSL证书仅向企业开放申请，即使不法分子想要蒙混过关进行申请，也会因无法通过CA机构严格的身份审查而被拒绝，可以有效应对部署了SSL证书的钓鱼网站的威胁。这里推荐一家靠谱的ca认证机构——天威诚信，它能提供EV SSL证书、OV SSL证书、 DV SSL证书、通配符证书、代码签名证书等产品的一站式服务。

除此之外，企业型OV SSL证书或增强型EV SSL证书均包含了企业的相关信息，用户通过查看SSL证书的详细内容都可以看到网站所属企业的名称，从而确定自己访问的网站是否为真实的官方网站，加强用户信任感。

win10上的windows Defender可以预防钓鱼网站吗？

Win10自带的Windows Defender是一款系统级主动防御软件，相较于国内的360安全卫士等安全杀毒软件，本身所集成的功能很少，集中在主动防御和病毒查杀。无法实现辨识钓鱼网站的功能。养成良好的上网习惯和使用自带识别钓鱼网站的浏览器可以解决你的问题。

什么是“钓鱼网站”有啥危害

钓鱼网站通常是指伪装成银行及电子商务等网站，主要危害是窃取用户提交的银行帐号、密码等私密信息。

网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。这篇“了解你的敌人”文章旨在基于 德国蜜网项目组 和 英国蜜网项目组 所搜集到的攻击数据给出网络钓鱼攻击的一些实际案例分析。这篇文章关注于由蜜网项目组在实际环境中发现的真实存在的网络钓鱼攻击案例，但不会覆盖所有可能存在的网络钓鱼攻击方法和技术。攻击者也在不断地进行技术创新和发展，目前也应该有（本文未提及的）新的网络钓鱼技术已经在开发中，甚至使用中。

在给出一个简要的引言和背景介绍后，我们将回顾钓鱼者实际使用的技术和工具，给出使用蜜网技术捕获真实世界中的网络钓鱼攻击的三个实验型研究的案例。这些攻击案例将详细地进行描述，包括系统入侵、钓鱼网站架设、消息传播和数据收集等阶段。随后，将对其中普遍应用的技术及网络钓鱼、垃圾邮件和僵尸网络等技术进行融合的趋势给出分析。钓鱼者使用恶意软件进行自动化地 Email 地址收集和垃圾邮件发送的案例也将被回顾，同时我们也将展示我们在网络扫描技术及被攻陷主机如何被用于传播钓鱼邮件和其他垃圾邮件上的发现。最后，我们对本文给出结论，包括我们在最近 6 个月内获得的经验，以及我们建议的进一步研究的客体。

这篇文章包括了丰富的支持性信息，提供了包含特定的网络钓鱼攻击案例更详细数据的链接。最后声明一下，在研究过程中，我们没有收集任何机密性的个人数据。在一些案例中，我们与被涉及网络钓鱼攻击的组织进行了直接联系，或者将这些攻击相关的数据转交给当地的应急响应组织。

引言

欺骗别人给出口令或其他敏感信息的方法在黑客界已经有一个悠久的历史。传统上，这种行为一般以社交工程的方式进行。在二十世纪九十年代，随着互联网所连接的主机系统和用户量的飞速增长，攻击者开始将这个过程自动化，从而攻击数量巨大的互联网用户群体。最早系统性地对这种攻击行为进行的研究工作在 1998 年由 Gordon 和 Chess 发表。（ Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet , presented at the Virus Bulletin Conference in Munich, Germany, October 1998 ） Gordon 和 Chess 研究针对 AOL （美国在线）的恶意软件，但实际上他们面对的是网络钓鱼的企图而不是他们所期望的特洛伊木马攻击。网络钓鱼 (Phishing) 这个词 (password harvesting fishing) 描述了通过欺骗手段获取敏感个人信息如口令、信用卡详细信息等的攻击方式，而欺骗手段一般是假冒成确实需要这些信息的可信方。

参考资料：

所谓的钓鱼网站有什么特征 怎么防范

社会工程学角度看，所谓“网络钓鱼”就是指运用欺诈心理结合电脑科技的新犯罪手法。“网络钓鱼”也称为网络仿冒，主要是通过仿冒真实网站的网页地址以及页面内容，骗取个人财务数据，如信用卡号、财务账号和密码等私人资料。由于钓鱼网站在外观上极像正规网站，很难分辨，因而极具欺诈性，是网购安全威胁的主要因素。钓鱼网站近来在全球频繁出现，严重影响了在线金融服务、电子商务的发展，危害公众利益。民众可通过点击网站页面底部的“可信网站”标识确认网站的真实性。