文/缐崴

钓鱼网站是目前最常见的网络危害方式之一，严重损害了互联网用户的利益。本文将从技术原理和防护等方面对钓鱼网站做深入的探讨。

钓鱼网站技术原理

钓鱼网站通过一定方式发布在互联网上，吸引用户访问、输入，窃取用户的个人隐私信息，并进行网络敲诈活动，给互联网用户利益造成严重的损害。这种诱捕式的攻击方式类似于日常的钓鱼活动，因此通常被称为“钓鱼网站”（Phishing Website）。

从技术角度上讲，钓鱼网站并不复杂，技术门槛也不高，只要对电脑和网络知识有所了解，经过适当的研究学习或培训便可掌握相关技术。

1. 页面制作

钓鱼网站首先要模拟出足以诱使用户登录的看似正常的网页内容。常见的网页一般都含有看似复杂的文字、图片、链接以及Flash动画等内容，其实这些内容可以简单的通过浏览器的“文件另存为”功能来获取。即使有些内容无法获取到也无关紧要，因为没有人会清楚地记得特定网页上都会显示哪些内容。黑客往往将制作好的网页放到一个可以公开访问的服务器上，这样任何人都可以通过互联网访问到这个页面。

2. 后台技术

钓鱼网站的目的是要获取到用户的个人隐私信息，因此如何捕获用户在网页上的输入是关键一步。通常，黑客在获取到网页内容后，会对网页代码根据自己的需要进行修改。正常的网页会将用户的输入传送到后台数据库，并进行校验或回传等动作，而黑客则不需要校验这些过程，只需要将用户输入传送到特定的后台即可。这里的“后台”可以是具体的文本文件或数据库，也可以利用特定程序将用户输入的内容通过电子邮件发送到黑客的电子信箱中。微软的Microsoft Access或Sun公司免费的MySQL数据库编程实现简单易维护，是黑客们常用的后台方式。也有黑客利用操作系统的漏洞，事先植入木马程序到目标机中，在用户浏览钓鱼网站时，记录用户在输入时的键盘记录，并直接发送给黑客。

图1简单展示了钓鱼网站的结构流程。

http://www.h3c.com.cn/res/201104/14/20110414_1175243_image001_711487_30008_0.png

图1 钓鱼网站流程

钓鱼网站的危害

1. 传播途径广

黑客通常抓住一些人的好奇心或贪欲，利用社会工程学的方法诱使上网用户访问钓鱼网站。常见的方法有：通过电子邮件、即时通讯工具（QQ或MSN等）、论坛、博客、微博、社交网站等方式发送含有诱惑性内容的信息，如打折、促销、优惠、抢购、贷款、信用卡消费、密码重置、投资管理、彩票、抽奖或社交网站上的好友交往等；入侵网站，并非法修改相关内容，将正常的内容链接到钓鱼网站；在用户浏览的网页中利用弹出窗或悬浮窗的方式发布通知；通过在中小网站甚至搜索引擎中投放广告等手段吸引用户点击进入钓鱼网站。

2. 内容伪装难辨识

黑客总会通过一些办法来伪装发送的内容，来迷惑用户的判断。例如，黑客发送电子邮件时会对邮件地址做一定程度的伪装。特别是如果一些用户的电子邮箱或即时通讯工具被入侵，黑客会直接给地址薄或好友列表中的用户发送信息，这样接收者就更不会怀疑发送来源和发送内容的有害性。

而最常见的方式就是对URL进行伪装，这些伪装具有足够的迷惑性，用户上网时很难分辨出区别。例如，中国工商银行的网址是www.icbc.com.cn，而黑客可以将其钓鱼网站的网址设置为www.1cbc.com.cn；淘宝网的网址是www.taobao.com，可以设置钓鱼网站的网址为www.taoba0.com；腾讯网的网址是www.qq.com，可以伪装为www.qq.c0m。

3. 防范难度大

一些警惕性不高的用户都是在无意之间访问到钓鱼网站的，因此当发现自己的利益受损后，往往无法回忆起这些关键信息是如何泄露出去的，这对相关事件的处理带来了很大困难。

钓鱼网站技术获取简单，易学易用，使得该类网站的数量庞大。它们所在的服务器可以经常变化，URL地址也会不断更新。有统计显示，一个钓鱼网站的生存周期一般只有两三天，长的也不过十天，之后便修改地址继续行骗。这其实属于一种“游击战”，经常会死灰复燃，给网站的查封带来难度。

此外，钓鱼网站从代码级别上看也是正常网页，因此电脑上安装的安全软件也不一定会对这类网站做到百分百的防范。有警惕性的用户在上网时会对网址（URL链接）作一个初步的判断以确定网址的有效性，

钓鱼网站的防范

通过钓鱼网站收集到的用户信息对于攻击者来说具有极大的吸引力，他们可以利用所获取的信息，进行非法的银行转账、个人信息买卖、盗刷信用卡、游戏帐户充值甚至直接敲诈用户等活动。

从前述内容可以看出，钓鱼网站的技术并不高深，而且互联网上可以下载到很多钓鱼网站的源代码。即使对网络或数据库编程不甚了解的人也可以很快的搭建起一个钓鱼网站。除了技术门槛低之外，传播途径广泛，利用具有迷惑性的各种伪装，防范及追查难度大，使得钓鱼网站的危害不容小觑，对钓鱼网站的防范也势在必行。

1. 终端防护

1) URL数据库

目前主流的PC安全软件都含有防钓鱼网站的功能。从前述的技术细节可以看出，钓鱼网站都有其特定的URL地址，因此最常见的防护技术是建立钓鱼网站URL数据库，将用户访问的网站地址在数据库中进行查找比对并判断是否可以继续访问。这实际上是一种穷举的办法，需要采集足够多的样本并不断更新数据库。

数据库的建立和更新方式有很多。安全软件一般都含有钓鱼网站举报功能。如果用户认为自己访问了此类网站，便可使用举报方式告知安全厂商，经过分析并确认后的钓鱼网站地址便会进入数据库。还有的安全厂商建立有自己的搜索引擎，通过搜索引擎不间断地抓取网页内容，智能化的分析判断是否为钓鱼网站，并据此建立扩充自己的钓鱼网址库。

这种数据库查找的方式识别较为准确，但钓鱼网站的生存周期很短，每天都会出现很多新的网站，因此这种方式无法防护最新的钓鱼网站。

2) Web实时防护

目前出现的新的Web实时防护技术，可以动态智能地分析用户所访问的网页内容。无论呈现给用户的网页有多么复杂，对于浏览器而言都只是可识别的网页代码（HTML、JavaScript、CSS等）。有的安全软件通过专业安全人员的分析可以获得钓鱼网站在网页代码层面的一些特征，通过特征的分析比对可以给访问的网页一个评价值，或对其进行分类，根据分析结果来判断该网页是否为钓鱼网页。这种方式不需要庞大的URL数据库，节省资源，但可能会影响上网速度，并存在误报的可能。

3) IP信誉度

用户访问钓鱼网站时是需要和特定的服务器IP地址建立数据通道的。当数据传输发生时，安全软件将会接收到这个IP地址的信誉排名，该排名根据IP地址是否包含恶意代码，是否指向可疑网站，该IP地址之前的访问量等信息而生成。基于信誉排名，所访问的IP地址将会被指定为受信任的、可疑的或是被禁止的。据此来告知用户该网站是否存在可能的钓鱼危害。

4) 与云计算的结合

近些年发展起来的云技术给网络安全防护带来了新的思路，即所谓的“云安全”。主流的安全软件都有着庞大的，甚至数以亿计的用户。用户遇到的钓鱼网站可以迅速的整合到云数据库中，并分享给其他用户。数据库中可以包含前述的各种技术数据，也可以是它们的组合，构成多维的防护屏障。

2. 中间防护

终端防护的优点在于可以将多种防护集于一身，数据更新快。但这种方式也带来了额外的资源开销：会增加网络数据交互，消耗用户端的电脑资源，影响上网体验。对于企业用户而言，额外使用的资源就意味着成本的增加。这种情况下中间防护设备就起到了关键作用。

一般的，IPS设备都会集成钓鱼网站的防护功能。在防护时可以采用前述的URL数据库查找比对方式进行拦截，也可以将漏洞检测技术应用到钓鱼网站的识别上。例如，针对常见的钓鱼网站URL开发专门的IPS检测规则并集成到规则库中，这些规则可以将URL地址作为检测对象。虽然IPS的规则本身是固定的，但其技术特点决定了这种规则有着较广的覆盖面，可以预见式地涵盖可能出现的URL变化。例如，www.1cbc.com.cn、www.lcbc.com.cn、www.icbc.c0m.cn等，这几种钓鱼网站的URL就可以通过一个IPS规则来过滤。这种方式效率高，维护简单。

同时，IPS规则也可以对网页内容本身做检测，分析网页代码，查找特征，并对网页做出相应的动作，如允许访问、阻断或告警。这种方式类似于前面提到的Web实时防护。IPS设备也可以对漏洞攻击，木马传播起到阻断拦截的作用，这也能对一些采用相关技术的钓鱼网站起到防护作用。

IPS设备是专业的检测识别设备，有专门的处理软件和硬件，因此这种整体性的防护并不会影响一般的网络行为，不消耗额外的系统资源，比较适合企业或局域网用户。

综合起来，钓鱼网站防护的总体思路如图2所示：

http://www.h3c.com.cn/res/201104/14/20110414_1175244_image002_711487_30008_0.png

图2 钓鱼网站防护思路

结束语

钓鱼网站技术门槛低，制作泛滥，呈现出多发的态势。目前的安全软件或IPS设备厂商已经有足够多的技术手段对其进行防护。鉴于钓鱼网站的危害性，国家相关部门也采取了一定措施，设置了专门的网络安全监管机构，随时发布最新的钓鱼网站信息，提醒上网用户。然而，钓鱼网站之所以能够大行其道，最根本的原因还是利用了人们普遍的好奇心或贪欲等，对网络知识的不了解也是重要原因。只要用户树立了正确的观念，养成良好的上网习惯，钓鱼网站便难以有生存的土壤。