毕业论文 钓鱼网站的工作原理及其防范的方法

毕业论文

钓鱼网站的工作原理及其防范的方法

论文指导老师信息工程系

学生所在系部信息工程系专业名称网络技术

论文提交日期年月日论文答辩日期年月日

20 年月日

论文题目：钓鱼网站的工作原理及其防范的方法

专业：网络技术

学生：签名：

指导教师：签名：

摘要

信息技术是一把双刃剑，他在给人们带来文明，推进历史进步的同时，也给产生了许多负面的影响，出现了很多计算机犯罪的问题，特别是，近几年出现的“钓鱼网站”，更具有隐蔽性，危害性极大，严重影响了网络空间的社会安全，影响了信息社会的正常发展。

网络钓鱼因其严重危害网民利益和互联网信誉体制，越来越多地受到人们的关注，国际上已经成立反网络钓鱼工作小组(APWG，Anti-Phishing Working Group)，这是一个联合机构，拥有大约800名成员，他们来自约490家金融服务公司、技术公司、服务提供商、国家法律执行机构和立法机构，这些机构的职责是向产业股份持有人提供一个保密论坛以讨论网络钓鱼问题。反网络钓鱼工作小组通过召开会议以及成员之间的电子形式的讨论，努力从硬成本和软成本两个方面来定义网络钓鱼的范围，分享信息和最佳操作模式以消除存在的问题，希望在不久的将来，彻底消灭网络钓鱼陷阱，还给大家一个真诚、诚信的互联网。

【关键词】钓鱼网站网络安全伪装连接电子商务防范措施

【论文类型】应用基础

Title：、

Major：Network technology

Name：HuXiaoDong Signature：

Supervisor：LiCuiHong Signature：

Abstract

Information technology is a double-edged sword, he brings in a civilization to the people, to promote the progress of history at the same time, but also to produce many negative effects,there were a lot of the computer crime problem, especially, in recent years "fishing website," is more covert, great harm, serious impact on social the security of network space, influence the normal development of the information society.

Phishing because of its serious harm to the interests and Internet users reputation system,people pay more and more attention has been established, the international anti phishingworking

group (APWG, Anti-Phishing Working Group), which is a joint organization, has about 800 members, they come from about 490 Financial Services Company, technology companies and service providers, law enforcement agencies and legislative institutions, theseinstitutions duty is to provide a secure forum to industry stake holders to discuss the phishingproblem. The anti phishing working group through the electronic form of the meeting anddiscussion between members, efforts from the two aspects of hard and soft cost to define the range of phishing, the sharing of information and

the best operation mode to eliminateproblems, hope in the near future, thoroughly eliminate phishing scams, give you a sincereand the integrity of the internet.

[keyword]Fishing website，Network security，Camouflage connection, electronic commerce, preventive measures

[type of Thesis]Application ，Basics

目录

目录 (5)

第一章前言 (7)

1.1课题的背景研究，目的及意义 (7)

1.2主要研究内容 (7)

第二章钓鱼网站简介 (8)

2.1什么是钓鱼网站 (8)

2.2常见钓鱼网站的类型有那些 (8)

第三章钓鱼网站的现状分析 (9)

3.1 国内外钓鱼网站的现状 (9)

3.2 反钓鱼网站联盟的治理状况 (9)

第四章钓鱼网站“钓鱼实例 (13)

4.1.“90后”开钓鱼网站诈骗20余万 (13)

4.2 淘宝伪装 (14)

第五章钓鱼网站“钓鱼”原理以及危害 (16)

5.1钓鱼网站的原理 (16)

5.1.1 页面制作 (16)

5.1.2 后台技术 (16)

5.2钓鱼网站的危害 (17)

5.2.1. 传播途径广 (17)

5.2.2. 内容伪装难辨识 (17)

5.2.3. 防范难度大 (17)

第六章钓鱼网站的的识别和防范方法 (19)

6.1 常见钓鱼网站攻击方法 (19)

6.1.1 钓鱼者入侵初级服务器，窃取用户的名字和邮件地址 (19)

6.1.2 钓鱼者发送有针对性的邮件 (19)

6.1.3 2011年垃圾邮件及钓鱼攻击趋势预测 (20)

6.1.4 全球钓鱼钓鱼攻击方式分布 (21)

6.1.5 钓鱼网站攻击对象分布 (21)

6.2 “钓鱼网站”防范措施 (22)

6.2.1 钓鱼网站的防范（专业） (22)

6.2.2 钓鱼网站的防范（普通） (25)

总结语 (30)

参考文献 (31)

致谢 (32)

第一章前言

1.1课题研究的背景，目的及意义

欺骗别人给出口令或其他敏感信息的方法在黑客界已经有一个悠久的历史。传统上，这种行为一般以社交工程的方式进行。在二十世纪九十年代，随着互联网所连接的主机系统和用户量的飞速增长，攻击者开始将这个过程自动化，从而攻击数量巨大的互联网用户群体。最早系统性地对这种攻击行为进行的研究工作在 1998 年由 Gordon 和 Chess 发表。（ Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet , presented at the Virus Bulletin Conference in Munich, Germany, October 1998 ） Gordon 和Chess 研究针对 AOL （美国在线）的恶意软件，但实际上他们面对的是网络钓鱼的企图而不是他们所期望的特洛伊木马攻击。网络钓鱼 (Phishing) 这个词 (password harvesting fishing) 描述了通过欺骗手段获取敏感个人信息如口令、信用卡详细信息等的攻击方式，而欺骗手段一般是假冒成确实需要这些信息的可信方。从而达到盗取他人利益自己受益的目的。本文将给大家介绍钓鱼网站的基本工作原理，以及一些防范的措施。希望帮助大家免受钓鱼网站的欺骗。

1.2主要研究内容

本课题研究的主要内容是钓鱼网站如何欺骗大家。而我们又应该如何的去防范它。

第二章钓鱼网站简介

2.1、什么是钓鱼网站？

所谓“钓鱼网站”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。

“钓鱼网站”近来在全球频繁出现，严重地影响了在线金融服务、电子商务的发展，危害公众利益，影响公众应用互联网的信心。钓鱼网站通常伪装成为银行网站，窃取访问者提交的账号和密码信息。它一般通过电子邮件传播，此类邮件中一个经过伪装的链接将收件人联到钓鱼网站。钓鱼网站的页面与真实网站界面完全一致，要求访问者提交账号和密码。一般来说钓鱼网站结构很简单，只有一个或几个页面，URL和真实网站有细微差别。

钓鱼网站是最常见的欺诈网站，通常伪装成银行网站、中奖网站、购物网站等，骗取用户的银行账号、QQ账号、游戏账号，造成用户财产损失。

仿冒欺诈钓鱼类网站对网民危害极大，而创建这些欺诈钓鱼网站的成本却非常低廉。只需要换换IP，换换域名，内容可以直接从正常网站复制粘贴。

之所以称之为钓鱼，有“姜太公钓鱼，愿者上钩”的含义。与现实中的欺诈一样，网络骗子很多时候瞄准的就是人的贪念和占小便宜心理。

2.2、常见钓鱼网站类型有哪些？

以下六个领域最容易出现钓鱼网站：

·QQ周年庆典、QQ抽奖、腾讯活动

·证券、股票分析、黑庄、理财专家等财经领域

·非常6+1、星光大道、快乐大本营等电视娱乐节目

·福彩、彩票、彩票预测、投注、双色球、六合彩等相关领域

·网络游戏抽奖活动

·淘宝网相关活动、店铺

其中，针对证券、股票、理财等财经领域的钓鱼网站危害最为严重，这些网站以所谓高收益、黑马、潜力股推荐等手法，欺骗网民注册会员，轻则骗取会费，重则家财散尽，血本无归。

而其它几种类型的钓鱼网站，则会骗取网民的银行账号密码、游戏账号密码、个人身份信息等。

这些钓鱼网站的服务器大多托管在国外，网站的相关联系人一般位于北京和上海。

选择理财产品等信息时，最好访问正规的银行、证券公司的网站。

第三章钓鱼网站的现状分析

现在，钓鱼网站持有者通过大量散发诱骗邮件，冒充成一个可信的组织机构（通常是那些钓鱼者所期望的已经被受害者所信任的机构），去引诱尽可能的终端客户，这些欺骗性的邮件中包含一个容易混淆的链接，指向的正是钓鱼网站。许多用户中招，大量用户信息流入网络，部分的利益受到不同程度影响。

3.1 国内外钓鱼网站的现状

欺骗别人给出口令或其他敏感信息的方法在客户界已经有一个悠长的历史，传统上，这种行为一般以社会工程的方式进行。在二十世纪九十年代，随着互联网所链接的主机系统和用户量的飞速增长，攻击者开始将这过程自动化，从而攻击数量巨大的互联网用户群体，互联网无国界，“钓鱼网站”一直潜伏在我们身边。

国际上的“网络钓鱼”的分布情况，如图3-1上所示

图3-1 世界钓鱼网站制作分布图

3.2 反钓鱼网站联盟的治理状况

2008年7月至2009年10月22日，中国反钓鱼网站联盟共认定并处理了8342个进行网络钓鱼的网站。

图3-2 联盟反应的“钓鱼网站”比例

举报网站最多的联盟成员是腾讯，淘宝和工商银行。网民直接举报的钓鱼网站数量逐渐增加

图3-3 “钓鱼网站”处理情况

与中国证监会等行业主管机构协同工作，针对证劵行业，开展反钓鱼工作。

在12321网络不良和垃圾信息举报受理中心和瑞星的协作下，收集用户对钓鱼网站的举报。

从2009年6月开始，每月定期向社会发布钓鱼网站处理情况。

通过第三方网站认证

提高数据传输安全性，机密性和完整性。

为网站提供权威认证，提升网站服务水平

使网民能够辨别网站真伪，有效防范钓鱼网站。

提升互联网可信度，净化互联网环境。

图3-4 网络调查示意图

信息网络安全问题带来的损失中，网民最担心网上银行账号和个人资料，被盗的比例高达42.1%

图3-5 网络调查示意图

3.38亿网民中，有1.1亿网民半年内遭遇账户或密码被盗

图3-6 假冒网站链接

图3-7 假冒网络链接

用户选择网上支付时，链接到仿冒的银行网上支付页面以窃取用户银行卡信息。

此类钓鱼网站数量仅占联盟收到举报的10%，但是由于钓鱼手段隐蔽，在检测中难度很大，很难被发现。

第四章钓鱼网站“钓鱼实例”

4.1.“90后”开钓鱼网站诈骗20余万

“一元钱就能看数分钟激情视频”,当这样一句充满诱惑力的广告出现在自己的QQ里时,全国有200多人出于好奇,输入了自己的银行卡卡号、密码,支付了1元钱。他们哪里知道,此时犯罪分子利用后台操作程序获取了他们银行卡密码,共窃取现金20余万元。近日,海林市公安局对曹某等7人以涉嫌信用卡诈骗罪提请检察院批准逮捕。2010年6月期间,海林市公安局网监大队接到几名网友报案称,他们在上网时加了一个QQ号码,对方就将一条写有“激情视频裸聊,付费1元试看”的广告传给他们,出于好奇,网友打开了该网站,并在提示下输入了网银账号及密码,结果账户里的钱竟被全部套走了。接到报案后,民警对海林市网吧进行监控检查,很快,一个QQ号引起了警方的注意。经过网上聊天,对方自称是个“美女”,并很快给警方发来了“激情视频裸聊,付费1元试看”的广告。2010年8月3日,警方开始对犯罪嫌疑人展开抓捕,并于当天晚上,在海林市某网吧内将曹某等7个嫌疑人抓捕归案。

据曹某交代,他们7个人都是“90后”,相继辍学在家后,就一直商量着怎么才能赚大钱。2010年5月,曹某从朋友那里仅花300元钱购买了一个非法软件,就在互联网上设立了一个“一元钱看数分钟激情视频”的网站,并通过QQ群发布广告,招揽、欺骗被害人在该钓鱼网站上输入银行卡号、密码。犯罪嫌疑人在被害人输入相关信息时,利用后台操作程序窃取被害人银行卡的相关信息,并通过互联网进入被害人的网上银行,将被害人账户内的所有资金瞬间转入他们在银行所设立的账户内。

经警方对此案的调查,曹某等7人在一个月内,用此方法共窃取现金20余万元,200多个被害人遍布全国,其中一个被害人被骗取4万余元。

4.2 淘宝伪装

图4-1 淘宝伪装示意图

上图是诈骗者发来的一封电子邮件，发送者刻意伪造成支付宝。请大家留意“发件人”的地址：noreply@https://www.wendangku.net/doc/906304209.html,，这里提供邮件服务的是https://www.wendangku.net/doc/906304209.html,，而不是https://www.wendangku.net/doc/906304209.html,，显然是不法分子对自身进行的伪装。如果点击“点此登录”，则会跳转到如下页面：

图4-2 淘宝伪装示意图

此页面看上去与支付宝的登录页面一模一样，但是如果留意浏览器的地址栏，便会发现这里的域名其实是https://www.wendangku.net/doc/906304209.html,，而不是https://www.wendangku.net/doc/906304209.html,。如果我们在这里输入自己的用户名和密码，那么用户名和密码将会被不法分子盗取。紧接着，页面还会让我们修改支付密码，如果我们修改“成功”，支

付密码也将被盗取了。支付密码一旦被盗取，不法分子便能够顺利盗取该支付宝账户内的余款。

第五章钓鱼网站“钓鱼”原理以及危害

5.1钓鱼网站的原理

钓鱼网站通过一定方式发布在互联网上，吸引用户访问、输入，窃取用户的个人隐私信息，并进行网络敲诈活动，给互联网用户利益造成严重的损害。这种诱捕式的攻击方式类似于日常的钓鱼活动，因此通常被称为“钓鱼网站”（Phishing Website）。

从技术角度上讲，钓鱼网站并不复杂，技术门槛也不高，只要对电脑和网络知识有所了解，经过适当的研究学习或培训便可掌握相关技术。

5.1.1 页面制作

钓鱼网站首先要模拟出足以诱使用户登录的看似正常的网页内容。常见的网页一般都含有看似复杂的文字、图片、链接以及Flash动画等内容，其实这些内容可以简单的通过浏览器的“文件另存为”功能来获取。即使有些内容无法获取到也无关紧要，因为没有人会清楚地记得特定网页上都会显示哪些内容。黑客往往将制作好的网页放到一个可以公开访问的服务器上，这样任何人都可以通过互联网访问到这个页面。

5.1.2 后台技术

钓鱼网站的目的是要获取到用户的个人隐私信息，因此如何捕获用户在网页上的输入是关键一步。通常，黑客在获取到网页内容后，会对网页代码根据自己的需要进行修改。正常的网页会将用户的输入传送到后台数据库，并进行校验或回传等动作，而黑客则不需要校验这些过程，只需要将用户输入传送到特定的后台即可。这里的“后台”可以是具体的文本文件或数据库，也可以利用特定程序将用户输入的内容通过电子邮件发送到黑客的电子信箱中。微软的Microsoft Access或Sun 公司免费的MySQL数据库编程实现简单易维护，是黑客们常用的后台方式。也有黑客利用操作系统的漏洞，事先植入木马程序到目标机中，在用户浏览钓鱼网站时，记录用户在输入时的键盘记录，并直接发送给黑客。

图5-1简单展示了钓鱼网站的结构流程。

图5-1 钓鱼网站流程

5.2钓鱼网站的危害

5.2.1. 传播途径广

黑客通常抓住一些人的好奇心或贪欲，利用社会工程学的方法诱使上网用户访问钓鱼网站。常见的方法有：通过电子邮件、即时通讯工具（QQ或MSN等）、论坛、博客、微博、社交网站等方式发送含有诱惑性内容的信息，如打折、促销、优惠、抢购、贷款、信用卡消费、密码重置、投资管理、彩票、抽奖或社交网站上的好友交往等；入侵网站，并非法修改相关内容，将正常的内容链接到钓鱼网站；在用户浏览的网页中利用弹出窗或悬浮窗的方式发布通知；通过在中小网站甚至搜索引擎中投放广告等手段吸引用户点击进入钓鱼网站。

5.2.2. 内容伪装难辨识

黑客总会通过一些办法来伪装发送的内容，来迷惑用户的判断。例如，黑客发送电子邮件时会对邮件地址做一定程度的伪装。特别是如果一些用户的电子邮箱或即时通讯工具被入侵，黑客会直接给地址薄或好友列表中的用户发送信息，这样接收者就更不会怀疑发送来源和发送内容的有害性。

而最常见的方式就是对URL进行伪装，这些伪装具有足够的迷惑性，用户上网时很难分辨出区别。例如，中国工商银行的网址是https://www.wendangku.net/doc/906304209.html,，而黑客可以将其钓鱼网站的网址设置为https://www.wendangku.net/doc/906304209.html,；淘宝网的网址是https://www.wendangku.net/doc/906304209.html,，可以设置钓鱼网站的网址为https://www.wendangku.net/doc/906304209.html,；腾讯网的网址是https://www.wendangku.net/doc/906304209.html,，可以伪装为www.qq.c0m。

5.2.3. 防范难度大

一些警惕性不高的用户都是在无意之间访问到钓鱼网站的，因此当发现自己的利益受损后，往往无法回忆起这些关键信息是如何泄露出去的，这对相关事件的处理带来了很大困难。

钓鱼网站技术获取简单，易学易用，使得该类网站的数量庞大。它们所在的服务器可以经常变化，URL地址也会不断更新。有统计显示，一个钓鱼网站的生存周期一般只有两三天，长的也不过十天，之后便修改地址继续行骗。这其实属于一种“游击战”，经常会死灰复燃，给网站的查封带来难度。

此外，钓鱼网站从代码级别上看也是正常网页，因此电脑上安装的安全软件也不一定会对这类网站做到百分百的防范。有警惕性的用户在上网时会对网址（URL链接）作一个初步的判断以确定网址的有效性。

第六章钓鱼网站的的识别和防范方法

6.1 常见钓鱼网站攻击方法

发送电子邮件，以虚假信息引诱用户中圈套

建立假冒网上银行，骗取用户帐号密码实施盗窃

利用虚假的电子商务进行诈骗

利用木马和黑客技术等手段窃取用户信息

利用用户弱口令等漏洞破解、猜测用户帐号和密码。

利用手机短信进行诈骗。

6.1.1 钓鱼者入侵初级服务器，窃取用户的名字和邮件地址

早期的网络钓鱼者利用垃圾邮件将受害者引向伪造的互联网站点，这些站点由他们自己设计，看上去和合法的商业网站及其相似。很多人都曾收到过来自网络钓鱼者发送的所谓“紧急邮件”，他们自称是某个购物网站的客户代表，威胁说如果用户不登陆他们提供的某个伪造的网站并提供自己的个人信息，这位用户在购物网站的账号就有可能被封掉，当然很多用户都能识破这种骗局，现在网络钓鱼往往通过远程攻击一些防范薄弱的服务器，获取客户名称的数据库，然后通过钓鱼邮件投送给明确的目标。

6.1.2 钓鱼者发送有针对性的邮件

随着年底节日的日益临近，垃圾邮件发送者们大力推销圣诞新年礼品及其他产品，这使得产品类垃圾邮件的数量上升了30%。虽然我们预测到了这一增长，但令我们吃惊的是，11月份垃圾邮件整体发送数量却在急剧下降，这种情况在以往同期是很罕见的。垃圾邮件总数的下降也导致了垃圾邮件占邮件发送总量比例的下降。11月，垃圾邮件数量占邮件发送总量的84.31%，较之于10月份的86.61%有所下降。这是自2009年1月以来垃圾邮件比例最低的一个月，当时因为McColo关闭，垃圾邮件发送水平正在逐渐恢复。

虽然这个月的垃圾邮件数量减少，但是钓鱼攻击的总数却上升了37%。这种变化的主要原因是自动工具包生成的钓鱼攻击及特殊钓鱼网站数量的上升。使用自动工具包而创建的钓鱼网站猛增了90%，其原因是假冒美国一知名银行而发动的钓鱼攻击的出现。此外，特殊URL的攻击数量增长了18%，含有IP域名的钓鱼网站（如

http://255.255.255.255）的数量增长了约41%。11月份，Web托管服务占钓鱼攻击总数的12%，比上个月增长了15%。非英语类钓鱼网站的数量也增长了10%，其中，法语和葡萄牙语类所占的比例最高。与10月份相比，葡萄牙语类钓鱼网站的数量超过了意大利语，原因是针对巴西的葡萄牙语社交网站攻击数量的上升。

6.1.3 2011年垃圾邮件及钓鱼攻击趋势预测

2010年已接近尾声，该是我们做一些有关2011年垃圾邮件和钓鱼攻击方面预测的时候了。赛门铁克预计2010年的三个主要趋势将会持续到2011年。

◆以当前事件和新闻作为邮件主题

2010年，我们经历了灾难性地震、足球世界杯、汽车召回和墨西哥湾漏油事件。除了使用这些真实的新闻和事件以外，垃圾邮件发送者们将继续使用虚假新闻和事件来引起人们的关注。

◆利用社交网络

随着社交网络的不断发展，赛门铁克预测，垃圾邮件发送者和钓鱼者们将继续利用知名社交网络品牌来发动威胁窃取个人身份和信息的特殊攻击。

◆数量少但目标高度明确的攻击将继续增长

2010年，我们观察到，垃圾邮件发送和钓鱼攻击的手段越来越成熟，并更具欺骗性。2011年，这些目标高度明确的攻击将会继续增长。