科技在发展,时代在进步,钓鱼也在随着科技的发展延伸出多种形式,河钓,海钓,网钓,本篇文章会以树莓派为例,介绍较为常见的钓鱼方式是如何实施的,以及现有的防范手段。
钓鱼
一般的不法分子会制作一个虚假网页站点,所谓虚假不是说这个站点不存在,而是说这个站点的布局是仿照其他正规的网站制作,而不知情用户在该网站输入的内容会被不法分子获得并且利用,通常情况下钓鱼网站会伪装成网购页面,中奖页面以期获得用户的信用卡等支付信息,也有用作政治目的的(普通老百姓接触不到)。
建立一个钓鱼网站需要什么呢?
其成本是非常之低的,一个服务器以及IP就可以了,网上一大把卖域名出租服务器的,一年的费用也不过百来块。当然国内在这方面做的比较好,所有网站的建立都需要政府审核,极大程度上的杜绝了不法分子的投机,但是国外很少有类似的审核,掏钱就给你办。而虚假网页的制作成本也几乎为0,只需要访问一个网站,右键 inspect,你就能获得其所有的前端信息,直接CV大法,就能获得一个页面,再做少量改动,就能将信息导向本地。
钓鱼是如何实现流量的导入呢?
流量导入的方式也是五花八门,充分展现了人类的智慧以及想象力。
对不同手段实现钓鱼,使用的方法自然也会不同。
- 邮件,短信链接
通过邮件或者短信发送钓鱼网站的网址,配以香艳的图片文本内容诱惑受害人,谁点谁知道。 - 搜索引擎
其本质和上述的差不多,但是是在你进行搜索的时候展现出来,这个会困难点,一来不法分子要保证自己的网站被这些机构的爬虫爬取到,二来很多搜索引擎会对爬取的内容做一个筛选,有些看着危险的直接就舍弃了,三来国内还有竞价排名,成本会相对高一点。 - DNS poisoning 域名解析污染
这个相较于前两个,属于主动出击,但是实现也更困难,不法分子需要掌握一个中间媒介,将域名(domain)与 IP地址的映射(mapping)关系进行修改,来实现受害者访问某一页面将其导向钓鱼站点。(后续会详细介绍该种方法的实现方式) - 免费WIFI
提供一个免费的无线站点,在用户连接后要求以某种方式登录后提供网络连接,这种登录联网的方式叫做强制门户认证(Captive Portal),大家连接的时候可要擦亮眼睛了。
SSL认证,网址左侧的小锁能否防止钓鱼?
不能哦,有个网址叫 Let’s Encrypted,做的就是卖证书的生意,而它们只审核申请人是否对申请的域名拥有控制权。(该网址很贴心的提供简体中文哦,你可以可你的个人博客申请一个,不贵,十几块好像?)另外还有OpenSSL也能创建私人的证书,不过这种证书浏览器不认,会提示危险还不如不用,一些有色网站会用这种证书。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
