反黑风暴-第15部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完，想下次继续接着阅读，可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能！


7。利用木马和黑客技术窃取用户信息后实施盗窃

木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金必然受到严重威胁。

第二章　真网址与假网址

钓鱼者经常会利用人们的心理弱点，将真实的网址进行少许的更改来伪造网址。当用户点击网址时，只会对网址中的几个关键字符与网站的主题特征进行大概的对比，感觉没什么异常就进入网站了。这样就正好中了攻击者设计好的圈套了。

7。2。1假域名注册欺骗

为了达到欺骗的目的，攻击者会注册一个域名。域名欺骗的好处就是增加欺骗度，特别是对金融网站进行钓鱼攻击时，伪造域名更是必不可少的。

注册假域名的方式有如下三种：

1．二级解析欺骗

二级解板欺骗主要针对拥有二级域名的网址欺骗。这里以“百度知道”站点为例，地址栏中的网址“//zhidao。baidu。”，其中“zhidao”为二级域名。用户在注册时，不可以直接注册“//zhidao。baidu。”，而是要先注册“//。baidu。”域名后，域名提供商才提供二级域名解析“zhidao。baidu。”。

但要注册baidu。类域名需要花费很多钱，钓鱼者肯定不会为了达到欺骗目的，花费大量资金注册这样一个域名。但他们会注册一个与其类似的域名，如“//。ba1du。”（用数字1替换掉了字母i），且让域名提供商提供二级blog解析“//zhidao。ba1du。”。这样当上网用户看到这个网址时，如果不仔细对比，就会把它当作是百度的站点“//zhidao。baidu。”，而直接点击。

2．一级域名欺骗

地址栏中的网址“//zhidao。baidu。”中的“baidu”为一级域名，要利用一级域名进行欺骗，可像上面一样，注册一个类似的域名“//。ba1du。”，从而欺骗用户。

3．域名后缀欺骗

域名后缀欺骗即利用网址最后的域名后缀进行欺骗。经常上网的用户都知道，域名后缀能很多，如、、cn等。攻击者可以注册一个后缀为co的域名“//。baidu。co”，这样，对于一些麻痹大意的用户来说，可以轻易地骗过他们的眼睛。

7。2。2状态栏中的网址欺骗

虽然利用假域名进行欺骗也是钓鱼攻击中的一种可行的方法，但如果遇到细心的用户，当打开网址时检查网页状态栏是否显示为真实的网址，如果发现异常，可能就不会继续点击该网址了。针对这种情况，钓鱼者同样有应付的方法，即利用代码使状态栏中的网址与网页内容的链接相同。

代码的内容如下：















//。hockbase。













代码中的网址“//。hackbase。/”是将要打开的网站，链接中的网址用“//。hockbase。”来代替了。

当打开这个静态网页，并将鼠标移动到网页中的链接上时，状态栏上显示的链接与网页内容中的链接是相同的，看不出来有任何问题。但当用户单击该链接打开网站时，会发现打开的网站是“//。hackbase。/”，而不是“//。hockbase。”。

7。2。3IP转换与URL编码

IP地址转换就是数值之间的进制转换。IP地址最常写成加点的十进制形式，此种IP通常有4组数字段，并以“。”分隔开，每段数字都在0到255之间。众所周知，IP地址与域名是对应的，使用域名能够访问网站，同样，使用IP地址也能访问网站。

如果把十进制的IP地址转换成八进制与十六进制，再使用IP地址访问网站，用户将看到一段无意义的数字，一般不会怀疑。

要将网站域名对应的IP地址转换为八进制或十六进制，可使用一个简单的小工具——终极URL。下面将以。sina。网站为例，介绍IP地址转换的方法。

步骤01单击【开始】→【运行】，在弹出的【运行】对话框中输入“CMD”，即可打开“命令提示符”窗口。在命令提示符下输入“Ping。sina。”命令，获得网站。sina。对应的IP地址为59。175。132。61。

步骤02从网上下载“终极URL工具”压缩包并解压打开工具，在“IP转换”栏中输入网站。sina。对应的IP地址，并选中“点分八进制”单选项，单击“加密”按钮，在“加密后IP”栏中即可显示转换后的八进制的IP地址。

步骤03复制转换后的IP地址，并使用IE浏览器打开该地址，即可看到打开的网站仍然是新浪站点。还可以在“IP转换”栏中选择“点分十六进制”单选项，将IP地址转换为十六进制。

另外，使用“终极URL工具”还可以将域名转换为URL编码。URL编码是字符的ASCII码的十六进制状态，并在字符前加上“％”符号。例如，3的16进制ASCII码是33，URL编码后的结果是％33。

若要将某一网站的域名转换为URL编码，可在“终极URL工具”中的“URL加密”栏中的“待加密URL”文本框中输入网站的域名。

如黑基网“。hackbase。”，单击“加密”按钮，即可在“加密后URL”文本框中显示相应的URL编码：//％77％77％77％2E％68％61％63％6B％62％61％73％65％2E％63％6F％6D/。再复制该URL编码并使用IE浏览器打开加密后的URL，即可看到能正常打开“黑基网”站点。

第三章　E…Mail邮件钓鱼技术

早期的E…mail邮件钓鱼技术非常简单，就是利用欺骗性的E…mail和伪造的Web站点来进行诈骗活动，使受骗者泄露自己的重要数据，如信用卡号、用户名和口令等。但随着钓鱼事件的增多，越来越多的网民增强了防范心理，也采取了一些防范措施，使邮件钓鱼攻击越来越困难。在这种压力下，攻击者提出了更高级的邮件钓鱼技术，将“欺骗”发挥到极致。

7。3。1花样百出的钓鱼邮件制造

网络钓鱼作为一种诈骗手段，其中并没有太多的技术含量，攻击者只是利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动，受骗者往往会毫不设防地泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。而且网络钓鱼的存活期平均是15天，在这么短的时间内让攻击达到百万次，关键是施放的鱼饵。影响存活其的因素在于技术上实现的隐蔽性、针对性、操作性，影响因素越小，存活性就会越长。

一般来说，成功的钓鱼者不会盲、任意地寻找攻击目标，而是有计划有步骤地对不同的用户群进行分类。他们常将用户群分为两种类型进行攻击，一种是针对型，一种是广谱型。针对型的钓鱼攻击比较常见，主要是为了获取有用数据而专门攻击小范围的具备某特点的团体。例如，盯上了苹果的新品iPhone的钓鱼邮件，往往会将目标锁定到对iPhone感兴趣的时尚一族，银行/金融机构的客户等。

广谱型的钓鱼攻击即没有特定的目标，对于普通的用户群会进行大面积撒网。它与传统的直接盲目发送邮件非常相似，但实质性的内容却不同。

针对型钓鱼者为了使发送的钓鱼邮件实现较高的点击率，往往会采取如下方法使邮件更加真实。

●针对型的钓鱼邮件在邮件格式上会套用被欺骗企业常用的邮件格式，作为标准邮件格式。

●邮件的正文表达的意思非常明确，如要求用户注册验证、账户更新或系统升级等，不会使用一些含糊不清的内容，使用户产生怀疑。

●使用Photoshop、Dreamweaver等专业工具对邮件中使用的图片进行处理，并生成HTML代码插入邮件内容进行发送。

●伪造被欺骗企业信息和认证标志，使钓鱼邮件更逼真。

而广谱型钓鱼邮件没有必要像针对型钓鱼邮件那样制作一个标准的钓鱼邮件，因为这类邮件可以批量发送给网络中的所有用户，只要邮件内容能够引起用户的好奇心或注意力，让他们点击邮件链接即可。因此，这类钓鱼邮件需要钓鱼者在邮件的标题及内容上多花些功夫。

7。3。2伪造发件人地址

邮件诈骗则是网络诈骗最常用的手段。黑客通过伪造地址和发信人的邮件，发送虚假的获奖信息或者活动信息，骗取收件人的信任并诈骗收件人的财务。

比如，如果收到一收朋友发来的邮件，发现邮件地址确实是朋友的，邮件内容中说她有急用想借一些钱，且给了在线银行的网址。很多人看到这些可能就会因为友情去帮助她，但是可能这时候用户已经中了别有用心的人的当了。那么，这些人是如何伪造发件人地址的呢？

伪造邮件的实质是建立SMTP服务器，使用代理并伪造邮件头发送欺骗性邮件。这就是我们所说的社会工程学。

SMTP邮件的传输共分为三个阶段：建立连接、数据传输、连接关闭，其中最重要的就是数据传输。邮件在传输时是通过五条命令来实现：

●Helo：表示与服务器内处理邮件的进程开始“通话”。

●mailfrom：表明信息的来源地址，也就是要伪造的地址。

●rcptto：邮件接收者的地址。

●data：邮件的具体内容。

●quit：退出邮件。

这五条命令是内嵌在程序中自动完成，对用户来说是透明的，如OUTLOOK、foxmail等程序。下面介绍一个小工具“FastMail邮件特快专递”，它内建了SMTP服务器，允许用户伪造邮件地址发送欺骗性邮件。

这里伪造邮件地址“admin@abc”给lbwkzceo@163。发一个邮件，主题是“中秋快乐”，发件人姓名是“linlin”，邮件的内容是“祝老友中秋节快乐！”。打开“FastMail邮件特快专递”工具并在其中进行设置。

单击【发送】按钮，在发送成功后，即可打开163邮件，在收件箱中可看到伪造的邮件地址admin@abc发送来的邮件，打开邮件后，即可看到伪造邮件的效果。

发件人地址是随便取的，而收信人地址则是真实的。正常情况下，是无法完成这个发信操作的，因为没有这个发信人地址的存在。但通过这类特殊的邮件收发软件就可以完成邮件的发送，而收件人则立即会收到伪名发送的邮件。这种方法是目前最常见的垃圾邮件发送方法，也是比较恶劣的一种伪造邮箱账户行为。

7。3。3瞬间收集百万E…mail地址

网络钓鱼的邮件地址的收集分为两种：针对型收集与广谱型收集。针对型收集是指针对讨论某一话题的论坛与社区类站点进行E…mail地址收集；广谱型收集是指任意、随机地进行大范围的邮件地址收集。

1．针对型收集

对于针对型收集，可使用“SupermailExtractor”工具进行全自动化收集，无需人为操作，即可快速对某一站点进行整站E…mail地址收集。下面以站点//。sina。/为例讲述对新浪站点进行整站E…mail地址收集的方法。

步骤01从网上下载“SupermailExtractor”工具压缩包并解压，进入该工具的主窗口中。

步骤02在主窗口中的“SearchenginedirectoriesURL”文本框中输入新浪网址//。sina。/，单击工具栏上的【Start】按钮进行搜索，稍等片刻后，可在下面的列表框中看到搜索的结果。

步骤03在搜索完毕后，单击工具栏上的【ExportSearchResults】按钮，在弹出的【ExportSearchResult】对话框中单击文本框右侧的【打开】按钮。

步骤04此时，即可弹出【另存为】对话框。在“文件名”文本框中输入文件名“Email地址收集”，单击【保存】按钮，即可对搜索结果进行保存。

利用搜索到的网站的Email地址，即可进行网络钓鱼攻击。如果是论坛的话，可以直接入侵论坛，获取MySQL数据库账户以及下载Access数据库，从用户注册信息中整理出Email列表即可。

2．广谱型收集

对于广谱型收集，可使用“Google电邮搜索”工具进行大范围的邮件地址收集。Google电邮搜索工具中收录了全世界的中英文网页，输入与邮件地址相关的字符即可检索到大量的邮件地址。软件通过一次性导入上千个检索关键词列表，可以自动搜索和提取邮件地址。

下面介绍使用“Google电邮搜索”工具进行邮件地址收集的方法。

步骤01打开“Google电邮搜索”工具，即可进入其主窗口中。

步骤02单击工具栏上的【导入】按钮，在弹出的【导入关键字列表文件】对话框中选择要导入的文件，这里以“Google电邮搜索”工具中的“搜索关键字范例。”文件为例。

步骤03单击【打开】按钮，返回“Google电邮搜索”工具的主窗口中，单击工具栏上的【搜索】按钮，即可弹出【搜索参数设置】对话框。

步骤04单击【确定】按钮，即可开始根据关键定进行搜索，在主窗口右侧将出现链接。单击其中的“点击查看在google。。hk的搜索结果”链接，稍等一会儿后，即可在主窗口的左侧列表框中根据“搜索关键字范例。”中的关键字显示出搜索结果。

7。3。4钓鱼邮件群发

通过7。3。3节中的方法收集了大量邮箱地址后，钓鱼攻击者接下来就要将钓鱼邮件发送到这些邮箱中。那么多的邮件不可能一个个手工发送，因此可使用一种群邮件发送工具。

网络上的群邮件发送工具非常多，这里以“天天邮件群发工具2011试用版本”为例，介绍群发邮件的方法。天天邮件群发工具是目前国内最为先进的WEB邮件群发引擎，能准确投递到163、126、sina、sohu、21cn、QQ等国内著名大型邮箱，邮件投递到达率为99％以上，发送的邮件不会进入垃圾箱中。而且该工具采用最新的WEB发送技术，不采用已经失效的SMTP群发技术，因为目前国内各大邮局新注册的邮箱已经不再支持SMTP发送，所以SMTP发送已经失效已久。

下面介绍使用“天天邮件群发工具2011试用版本”群发邮件的方法。

步骤01下载并运行“天天邮件群发工具2011试用版本”，进入其主窗口中。主窗口中默认显示的是“发信邮箱设置”选项卡中的信息，在主窗口右侧的“账号”和“密码”文本框中输入发信邮箱的账号和密码。单击【添加】按钮，即可将其添加到左侧的列表框中。

步骤02在主窗口中上方选择“收信邮箱设置”选项卡，在中间区域的“账号”文本框中输入收件人邮箱地址，单击【添加】按钮，即可将其添加到左侧列表框中。

步骤03如果收件人邮箱数量非常多，还可单击中间区域中的【导入账号】按钮，在弹出的【打开】对话框中选择用记事本保存邮箱账号的文件。单击【打开】按钮，即可弹出【温馨提示】对话框，提示账号导入完毕。此时，单击【确定】按钮，即可将记事本中的账号导入到主窗口左侧的列表框中。

步骤04在主窗口中上方选择“发信内容设置”选项卡，在其中的“标题”文本框中输入邮件的标题，并在下面的文本编辑框中输入邮件的正文。

步骤05“天天邮件群发工具2011试用版本”还支持HTML格式发信，在文本编辑框的下方单击【HTML】按钮，即可切换至HTML格式编辑状态。

步骤06在主窗口上方选择“开始群发”选项卡，单击其中的【开始发送】按钮，即可开始群发邮件。待所有邮件发送成功后，在下面的列表框中将显示发送成功的信息。

步骤07与此同时，邮箱79902662@qq。提示收到一封标题为“测