作為市場營銷工具的垃圾郵件已經(jīng)成為散布惡意軟件（惡意程式和犯罪軟件）和實(shí)施欺詐行為的平臺，發(fā)送數(shù)量巨大的非應(yīng)邀電子郵件使犯罪分子接觸到數(shù)量龐大的互聯(lián)網(wǎng)用戶。垃圾郵件之前主要被認(rèn)為是一個(gè)麻煩事，但現(xiàn)在垃圾信息代表了真正的威脅。它不僅降低了用戶的工作效率，而且影響了用戶和組織機(jī)構(gòu)直接或間接的花費(fèi)。

更糟糕的是，通過超載的郵件服務(wù)器和完整的用戶郵箱，垃圾郵件像電子郵件般進(jìn)行爆炸性襲擊，這導(dǎo)致了很大的麻煩。

垃圾郵件會導(dǎo)致病毒、木馬、間諜軟件和網(wǎng)絡(luò)釣魚的傳播，以及計(jì)算機(jī)的感染。在某些情況下，這些系統(tǒng)會變成“僵尸計(jì)算機(jī)”（網(wǎng)絡(luò)機(jī)器人），其中的一部分會由第三方遠(yuǎn)程控制。它們可以被激活，并且能夠發(fā)送垃圾郵件浪潮，開始釣魚攻擊或網(wǎng)絡(luò)攻擊，例如DOS攻擊和感染其他系統(tǒng)。

網(wǎng)絡(luò)釣魚是指利用郵件程序來欺騙和誘導(dǎo)網(wǎng)絡(luò)用戶泄露敏感信息，然后可以利用這些信息進(jìn)行欺詐或貪污犯罪的攻擊（圖8.5）。一般來說，黑客通過使用偽造的電子郵件，讓用戶看起來仿佛他們來自一個(gè)真正的機(jī)構(gòu)（如郵局、銀行或在線服務(wù)站點(diǎn)），它和用戶之間可能會有往來或者有商業(yè)關(guān)系。攻擊者還可以使用電話、即時(shí)消息(IM)和手機(jī)短信，他們甚至可能直接接近受害者。最常見的誘騙是一封電子郵件，說出于安全原因要求用戶更新他的賬戶或更改其密碼。

示例——偽造電子郵件

某銀行的客戶收到一個(gè)欺騙性的偽造電子郵件解釋說，該行執(zhí)行升級，他們必須確認(rèn)自己的賬戶信息。讓客戶隨后按要求點(diǎn)擊，指示他們到一個(gè)偽造的網(wǎng)站鏈接。該方案幾種不同的存在，都是基于一個(gè)欺騙性的電子郵件誘使銀行客戶到冒牌網(wǎng)站執(zhí)行操作。

垃圾郵件是用來吸引潛在網(wǎng)絡(luò)釣魚受害者數(shù)量最大的主要工具。釣魚者可以使用包含大量電子郵件地址的垃圾郵件發(fā)送者的數(shù)據(jù)庫，給受害者發(fā)送大量看起來盡可能合法（用戶非常熟悉的電子郵件標(biāo)志和顏色）的請求。網(wǎng)絡(luò)釣魚者利用“僵尸網(wǎng)絡(luò)”，以便同時(shí)推出大量的網(wǎng)絡(luò)釣魚攻擊。

示例——網(wǎng)絡(luò)釣魚

黑客模仿某銀行的網(wǎng)站建立一個(gè)釣魚網(wǎng)站，并發(fā)送電子郵件給銀行客戶警告他們?nèi)绻�不更新個(gè)人信息，他們的銀行賬戶即將關(guān)閉，引誘受害者到假冒網(wǎng)站并輸入自己的賬號和密碼。黑客為了確保發(fā)送的詐騙郵件的地址看起來合法，所設(shè)計(jì)的網(wǎng)站鏈接會近似于真實(shí)的網(wǎng)站鏈接，以使它們看起來盡可能真實(shí)。

使用即時(shí)消息作為傳播載體的惡意軟件正在崛起。釣魚攻擊是非常陰險(xiǎn)的，因?yàn)椤罢T惑信息”的網(wǎng)絡(luò)釣魚者送到受害者時(shí)顯示的發(fā)送者是受害者的聯(lián)系人列表中的某人。比起來自某機(jī)構(gòu)的電子郵件，被害人不太可能懷疑來自一個(gè)朋友的即時(shí)消息。

以一個(gè)真實(shí)的案例為例

黑客針對納稅人進(jìn)行網(wǎng)絡(luò)釣魚攻擊。他向用戶發(fā)送一個(gè)虛假的電子郵件聲稱來自國家稅務(wù)機(jī)關(guān)。該詐騙郵件聲稱，收件人可能提交了一份不完整的納稅申報(bào)或者沒有完成申報(bào)書，要求其點(diǎn)擊提供的鏈接以糾正錯(cuò)誤。該假網(wǎng)站隱藏了惡意代碼，只要用戶一打開該網(wǎng)站，木馬便會植入該用戶的計(jì)算機(jī)上。

網(wǎng)絡(luò)犯罪分子知道，組織和互聯(lián)網(wǎng)服務(wù)提供商會使用反垃圾郵件檢測軟件，并采取預(yù)防性安全措施，如阻止某些IP地址。這些犯罪分子不斷調(diào)整并創(chuàng)造新的方法躲避檢測工具。由于網(wǎng)絡(luò)釣魚和電子郵件欺騙，私立企業(yè)和公共部門正在開展一系列宣傳活動，例如反網(wǎng)絡(luò)釣魚工作組(APWG)，這是一個(gè)專注于消除欺詐和身份盜竊而產(chǎn)生網(wǎng)絡(luò)釣魚攻擊的全球性行業(yè)執(zhí)法協(xié)會。

魚叉式網(wǎng)絡(luò)釣魚攻擊比引誘釣魚更具有針對性：攻擊者收集或竊取內(nèi)部信息，以增加合法性的感覺。這已經(jīng)引起了越來越多的被稱為語音網(wǎng)絡(luò)釣魚的新趨勢。語音網(wǎng)絡(luò)釣魚是一個(gè)包括IP語音(VoIP)的網(wǎng)絡(luò)釣魚攻擊。“語音網(wǎng)絡(luò)釣魚”犯罪分子一封包含通過VoIP技術(shù)獲得的電話號碼的電子郵件。該郵件聲稱來自合法的來源，并要求收件人撥打該號碼。總而言之，除了要求受害人通過VoIP號碼，而不是通過點(diǎn)擊一個(gè)鏈接來實(shí)現(xiàn)詐騙，它與任何其他的網(wǎng)絡(luò)釣魚攻擊一樣。受害人撥打號碼后，攻擊者便要求受害人直接通過電話提供個(gè)人信息。很多攻擊者喜歡將這種方法用于虛假網(wǎng)站或惡意軟件。

網(wǎng)絡(luò)釣魚攻擊可以分為以下幾類：

· 依賴于詐騙短信欺騙攻擊；

· 惡意軟件攻擊；

· 基于DNS的攻擊——依賴于主機(jī)名稱查找的改動，將用戶重定向到一個(gè)欺詐服務(wù)器；

· 內(nèi)容注入攻擊。

欺騙網(wǎng)絡(luò)釣魚是最常見的網(wǎng)絡(luò)釣魚攻擊。具有欺騙性的釣魚攻擊者通過欺騙使用SMTP(常見的郵件服務(wù)器協(xié)議)已知漏洞的源電子郵件來冒充發(fā)件人。欺騙性的電子郵件將始終要求用戶以解決某個(gè)問題為由而點(diǎn)擊一個(gè)鏈接，并且快速又安全。為了增加用戶認(rèn)為該消息的真實(shí)性，攻擊者可以使用以下各種技術(shù)：(l)使用IP地址（數(shù)字地址）而不是使用假冒網(wǎng)站的域名；(2)輕微的改變URL地址，并注冊類似于DNS域的域來使用；(3)使用基于HTML的電子郵件來掩蓋網(wǎng)站的URL地址。

使用惡意軟件的網(wǎng)絡(luò)釣魚變得越來越普遍，這些攻擊依賴于社會工程學(xué)：他們誘使用戶打開電子郵件附件或下載含有惡意軟件的有趣軟件。這些攻擊也依賴于技術(shù)漏洞，該漏洞使惡意軟件利用安全漏洞來進(jìn)行自身傳播。

基于DNS的網(wǎng)絡(luò)釣魚是另外一種越來越普遍的方法。這些攻擊吸引用戶到包含惡意軟件的網(wǎng)站。該惡意軟件主要包括：

· 特洛伊木馬和鍵盤記錄器（能夠通過擊鍵記錄收集權(quán)限憑證）；

· 屏幕記錄器（能夠檢測計(jì)算機(jī)上的屏幕截圖）。

· 重定向器。

一旦該軟件被安裝在計(jì)算機(jī)上，重定向器就會引誘受害者到另外一個(gè)位置。同時(shí)該惡意軟件會安裝一個(gè)惡意的瀏覽器輔助對象來控制Web瀏覽器和HTTP流量并重定向到非法網(wǎng)站。

惡意軟件也可用于操作：

· 用于維護(hù)DNS地址和IP地址之間的映射的主機(jī)文件；

· 目標(biāo)PC上其他特定的DNS信息。一旦惡意軟件插入一個(gè)偽造的DNS服務(wù)器，用戶便不會注意web瀏覽器已經(jīng)被連接到一個(gè)假冒不合法的網(wǎng)站。

更先進(jìn)的基于DNS的攻擊被稱為域欺騙。它借由查找過程中損害域名的完整性入侵DNS(Domain Name Server)的方式，將使用者導(dǎo)引到偽造的網(wǎng)站上，因此又稱為DNS下毒。它通過對關(guān)鍵域名插入一段偽造的IP地址實(shí)現(xiàn)這一點(diǎn)。域欺騙不會依賴于社會工程引誘受害者訪問假冒網(wǎng)站。對配置錯(cuò)誤的合法DNS服務(wù)器和私人維護(hù)的DNS服務(wù)器來說，DNS欺騙是一種真正的威脅。

內(nèi)容注入網(wǎng)絡(luò)釣魚是將代碼插入到一個(gè)合法的網(wǎng)站。一旦黑客插入了代碼，他既可以使用惡意軟件將受害者重定向到意想不到的網(wǎng)站，又可以在受害者的計(jì)算機(jī)上安裝惡意軟件。由于網(wǎng)站服務(wù)器存在漏洞，黑客往往可以通過跨站點(diǎn)腳本漏洞，注入惡意內(nèi)容到網(wǎng)站，這樣惡意內(nèi)容就變成存儲在合法的網(wǎng)站上的一部分?jǐn)?shù)據(jù)。

摘自：《網(wǎng)絡(luò)的力量:網(wǎng)絡(luò)空間中的犯罪、沖突與安全》P142-147頁，北大出版社2018年3月出版。內(nèi)容簡介：絕大多數(shù)關(guān)于網(wǎng)絡(luò)犯罪的書籍由國內(nèi)安全專家或政治學(xué)專家撰寫，并很少涉及針對網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)恐怖主義。網(wǎng)絡(luò)戰(zhàn)爭和網(wǎng)絡(luò)安全的完整和廣泛的解決方案。本書為一些非政治、無黨派和無政府的核心網(wǎng)絡(luò)安全問題提供了解決方案，對相關(guān)領(lǐng)域若干網(wǎng)絡(luò)危機(jī)案例，從平民和軍事角度進(jìn)行高度總結(jié)，并展示解決方案。從交叉學(xué)科的角度解釋基本原理，揭示了信息和通信技術(shù)在使用中，或者說濫用中，引起的社會、經(jīng)濟(jì)、政治、軍事和技術(shù)問題。本書的目的并不是為了煽動讀者進(jìn)行網(wǎng)絡(luò)犯罪。它的作用是為了提醒社會公民們應(yīng)該做好準(zhǔn)備防御網(wǎng)絡(luò)攻擊和加強(qiáng)對網(wǎng)絡(luò)攻擊威脅的認(rèn)識。

淘寶鏈接：https://item.taobao.com/item.htm?spm=a1z38n.10677092.0.0.11891debd5E2SD&id=572511391687
微店鏈接：https://weidian.com/item.html?itemID=2556712062