常见网络钓鱼类型

网络钓鱼是一种网络攻击，是指具有恶意动机的攻击者伪装欺骗人们并收集用户名或密码等敏感信息的一系列行为。由于网络钓鱼涉及心理操纵并依赖于人为失误(而不是硬件或软件漏洞)，因此被认定为是一种社会工程攻击。

1. 普通网络钓鱼（群攻）
   普通网络钓鱼是广撒网的方式，通过伪装成目标关注的各种信息，通过邮件、短信等方式向用户发送链接，欺骗用户输入敏感信息、下载病毒、木马等恶意软件，获取目标的相关信息实施攻击或欺诈。

2. 鱼叉式攻击（特攻）
   鱼叉式攻击是一种较为高级的网络钓鱼攻击手法，针对特定的目标或组织，借助构造特定主题和内容的邮件、短信等第三方媒介，吸引特定目标群体打开链接或下载附件等方式的钓鱼攻击行为。鱼叉攻击实施前，攻击者需要在前期对特定目标的工作情况、生活情况及其它活动规律等进行摸底侦察，再运用社会工程学方法构造定制化的钓鱼邮件、短信等。这些钓鱼邮件、短信的主题、内容及文档标题均能与目标当前所关心的热点事件、工作事项或个人事务等相匹配，以降低目标的防范心理，诱骗其下载附件中的带有病毒代码或者漏洞利用的伪装性攻击文档，实现精准、高效的载荷投递。

3. 鲸钓式攻击（斩首）
   攻击者不针对组织内的低级别人员，而是针对高层，如首席执行官，首席财务官和首席运营官。钓鲸的目标是经过精心挑选的，因为受害者价值很高，而被盗的信息将比普通员工提供的信息更有价值。钓鲸需要依赖于社交工程，攻击者需要更好地了解目标。通常攻击者会先从互联网和各种社交媒体平台获取目标的相关信息，然后再用此信息设计有针对性的钓鱼。

鲸钓攻击和鱼叉攻击的区别在于，鲸钓只针对组织内的高级别人员，而鱼叉攻击的目标是重要的组织，它会向该组织内的所有员工发钓鱼邮件，而不单单针对高层。

4. 水坑式攻击（埋雷）
   在受害者必经之路设置了一个“水坑(陷阱)”，攻击者分析攻击目标的上网活动规律，寻找攻击目标经常访问网站的脆弱性，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。水坑攻击手法针对的目标多为特定的团体（组织、行业、地区等），由于此种攻击借助了目标团体所信任的网站，攻击成功率很高，即便是那些对鱼叉攻击、鲸钓攻击或其他形式的钓鱼攻击具有防护能力的团体也会中招。

灯笼式钓鱼
灯笼式钓鱼是一种新型的、基于社交媒体的钓鱼欺诈方法，常见于Twitter, Facebook和Instagram等热门社交媒体平台。欺诈者通过创建仿冒的品牌账号/门户，先吸引用户关注（灯笼式吸引），骗取信任后，再将用户诱导至实际的钓鱼链接，完成欺诈，这种手法常见于银行、电商、零售等行业。需要说明的是，除了仿冒企业，仿冒企业的管理人员或社会名人、明星等，也同样非常有效。
6. WIFI网络钓鱼
攻击者伪装公众场所常用的WIFI热点，诱导受害者连接使用公共WIFI，接管受害者网络窃听网络流量数据，捕获受害者手机号、用户账号等相关信息后实施攻击或欺诈。

7. 2G/3G/4G/5G网络钓鱼
   攻击者利用伪基站接管受害者手机信号，截获受害者手机上网流量数据，获取受害者手机号、账号、密码等相关信息后实施攻击或欺诈。

8. 域名欺骗
   域名欺骗是一种最常见的网络钓鱼形式，攻击者使用与企业非常相近的域名来仿冒企业本身或企业员工进行欺诈。通常攻击者会注册一个与企业域名非常相似的域名，然后利用此域名发送电子邮件，或者搭建一个欺诈网站，欺诈网站会使用企业商标或视觉设计风格来进行仿冒，而邮件会尽可能采用企业业务相关的行业术语以增强其可信性。

9. 雪鞋攻击
   雪鞋攻击即“打了就跑”的垃圾邮件要求攻击者通过多个域和IP地址发送邮件。每个IP地址发送少量邮件，因此基于信誉或数量的垃圾邮件过滤技术无法立即识别和阻止恶意邮件。过滤系统还未来得及阻止，一些邮件就进入到了电子邮件收件箱。

10. DNS欺骗
    通过入侵DNS服务器的方式，将受害者导引到伪造的网站上，因此又被称为DNS服务器投毒（DNS Poisoning），不需要依赖于一个欺诈网站来引诱目标。攻击者通过攻击DNS服务器，将流量重定向到钓鱼网站。一旦受害者访问这个假冒网站，攻击者只需要坐下来等待，而毫无防备的用户照常登录，不知不觉就泄漏了个人敏感信息。

11. 中间人网络钓鱼
    中间人（man-in-the-middle，MITM）网络钓鱼攻击是指攻击者拦截并改变通信链路，攻击者控制网络流量，并代理发送和接收所有消息。当攻击者拦截数据时，监听或插入特定信息可以获得个人敏感信息。

其它攻击方式
根据所利用的载体不同，还有短信钓鱼、邮件钓鱼、语音钓鱼、网站钓鱼、图片钓鱼、文件钓鱼、搜索引擎钓鱼、二维码钓鱼、克隆钓鱼等各种钓鱼方式。
附：如何防范网络钓鱼，可以做到以下几点：

● 不点击来源不明的网站链接

● 不点击来源不明的文件（包括图片）

● 不浏览来历不明的网页

● 不信任来历不明的https证书

● 少看苍老师的电影

二.关于网络安全资源

网络安全是当今信息时代中非常重要的一环。无论是找工作还是感兴趣，都是未来职业选择中上上之选，为了保护自己的网络安全，学习网络安全知识是必不可少的。

如果你是准备学习网络安全或者正在学习，下面这些你应该能用得上：

①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

😝有需要的小伙伴，可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓

一、网络安全学习路线

网络安全（黑客）学习路线，形成网络安全领域所有的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

二、网络安全教程视频

我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。

三、网络安全CTF实战案例

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这里带来的是CTF&SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

四、网络安全面试题

最后，我们所有的作为都是为就业服务的，所以关键的临门一脚就是咱们的面试题内容，所以面试题板块是咱们不可或缺的部分，这里我给大家准备的就是我在面试期间准备的资料。

网安其实不难，难的是坚持和相信自己，我的经验是既然已经选定网安你就要相信它，相信它能成为你日后进阶的高效渠道，这样自己才会更有信念去学习，才能在碰到困难的时候坚持下去。

机会属于有准备的人，这是一个实力的时代。人和人之间的差距不在于智商，而在于如何利用业余时间，只要你想学习，什么时候开始都不晚，不要担心这担心那，你只需努力，剩下的交给时间！

全套网络安全学习资料已经上传CSDN，朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】