网络安全宣传周|钓鱼网站的技术原理及防护，零基础入门到精通，收藏这一篇就够了-CSDN博客

本文链接：https://blog.csdn.net/Python_paipai/article/details/142612001

网络安全宣传周

钓鱼网站的

技术原理及防护

作为21世纪的年轻人，大家都应该或多或少地和钓鱼网站“打过照面”了，不知道大家是“擦肩而过”呢，还是和它“深入交流”了一下？钓鱼网站作为互联网中最常碰到的一种诈骗方式，以获取用户的个人隐私信息为目的，利用与真实网站非常相似的虚假网站对用户进行欺骗，多以银行、综艺栏目、手机营业厅、法院等官方机构、电商平台等作为模仿目标，以短信、邮件、弹窗等形式发送一个网址给用户，窃取用户提交的银行账号、密码等私密信息。

2021年上半年，360 secure brain在PC和移动终端上拦截了约581.3亿起针对全国用户的钓鱼网站攻击，比2020年上半年（435.8亿次）增长33.4%。可以看出，即使在网民们对钓鱼网站已经保持者高度警惕的情况下，仍有大量的不法分子继续尝试利用钓鱼网站实施诈骗，以假乱真，不断“优化”诈骗技术，因此，在技术屏障之外，我们也需要擦亮自己的双眼，提高自己的网络安全意识，不要成为那条被钓的“鱼”。

钓鱼网站具有广泛的传播途径，攻击者通常抓住人们的好奇心或贪欲，诱使用户访问钓鱼网站，通常会通过电子邮件、QQ、微博、社交网站等途径发送含有诱惑性内容的信息，如打折、促销、优惠、抢购、贷款、信用卡消费、密码重置、抽奖或社交网站上的好友交往等。通常还会进行各种难以辨识的伪装，例如，利用已被入侵的电子邮箱的好友列表进行钓鱼链接的发布，降低接收者对发送来源和发送内容的怀疑性、对URL进行伪装，将钓鱼网址设置成与真实网址非常类似的链接。另外，由于钓鱼网站的技术门槛较低，该类网站数量庞大，因此，防范难度较大，攻击者可以通过“游击战”的方式，以较短的周期更新服务器或者网站地址继续行骗，给网站的查封带来难度。

所谓“知己知彼”，想要做到不被轻易迷惑，就需要对其技术原理有个大致了解。从上图可以看出，攻击者首先需要制造一个与正常网站足够相似的网站，以诱使用户进行登录。虚假网站中一些看似复杂的文字、图片和动画可以简单地通过浏览器的“文件另存为”功能来获取。在制作好钓鱼网站之后，攻击者通常会将其发布在一个可以公开访问的服务器上，以便用户通过互联网访问该页面。通过各种途径和形式发布网站地址收集到网页内容后，攻击者会对网页代码根据自己的需要进行修改，与正常网页将用户输入传送到后台数据库，并进行校验或回传等动作不同，攻击者不需要进行校验，只要将用户输入传送到特定的后台即可。这里的“后台”可以是具体的文本文件或数据库，也可以利用特定程序将用户输入的内容通过电子邮件发送到攻击者的电子信箱中。通过以上操作，攻击者就可以顺利获取其需要的各种用户隐私信息，利用这些信息进行下一步的诈骗活动，比如进行非法的银行转账、个人信息买卖、盗刷信用卡、游戏帐户充值甚至直接敲诈用户等。

在了解了钓鱼网站的特点以及基本的原理之后，对于我们普通网民来说，要如何分辨一个网站是否是钓鱼网站呢？

首先要学会查验“可信网站”，最简单的方法就是借助第三方平台，目前主流的PC安全软件都含有防钓鱼网站的功能，比如360、腾讯等杀毒软件，要及时安装防火墙和杀毒软件，开启防钓鱼功能并定期进行更新。另外，QQ聊天工具中也加入了反钓鱼网站的功能，会在每个链接的前面显示一个信任图标，绿色打勾的图标是受信任网站，有问号的图标则说明该网站可能存在问题。从技术角度来说，该防护技术利用钓鱼网站一般具有特定URL地址的特点，通过建立钓鱼网站URL数据库，将用户访问的网址与存储的钓鱼网站数据库和特征进行匹配，从而判断用户访问的网址是否为钓鱼网站。这实际上是一种穷举的办法，需要采集足够多的样本并不断更新数据库，所以，作为普通网民的我们，在发现没有被检测出来的可疑网站时，要及时举报，为完善数据库贡献一份力。随着技术的发展，目前出现的新的Web实时防护技术，可以动态智能地分析用户所访问的网页内容，这种方式不需要庞大的URL数据库，节省资源，但可能会影响上网速度，并存在误报的可能。

其次，要注意核对网站域名，仔细查看所打开页面后的具体网址，而不是只看打开网页前的网址。一个网址由网址头部、域名、域名后缀和路径组成，一般结构为：<协议>://<服务器名称>.<域名>.<域名后缀>/<路径>，其中域名后缀一般常用的就是com（代表工商企业）、net（代表网络服务机构）、org（代表非盈利组织），如果不是官方域名，哪怕页面再相似，都可以断定其为钓鱼网站。例如，攻击者可能会利用http://www.baidu-vip.com或http://www.baidu.com.osl.el作为钓鱼网站的地址，目的是让用户以为该网址是官方真实的http://www.baidu.com。

既然了解了其原理，我们也要学会充分利用其中的漏洞进行自检，比如钓鱼网站一般是没有身份验证功能的，也就是在登陆信息输入时，不论随便输入什么账户和密码，都是会提示成功登录，因此我们在首次登陆某网站时可以留一个心眼，先验证一下该网站是不是可以随意登录成功；还可以利用网站自动记录的功能，比如如果之前已经成功登录过淘宝网站并填写过收货地址，网站会自动记录地址方便你后续使用，而如果是钓鱼网站则不会有登录和地址记录；我们可以留心比较网站内容，钓鱼网站上的字体样式通常和官网是不一样的，甚至可能模糊不清，还可以记住常用网站的布局和内容，如果发现网站突然“改版”了，和之前的页面布局大不相同，就要提高警惕。同时，假冒网站通常不会有多层链接，可以尝试点击栏目或图片中的各个链接看是否能打开；另外，我们还可以通过查询网站备案、查看安全证书等相对专业的方式对网站进行验证，以保证安全的上网环境。