工具和策略

网络钓鱼攻击一般仅利用一些简单的工具和技术来欺骗无戒备心的用户。支撑一次网络钓鱼攻击的底层基础设施可以是最基本的简单地拷贝一个 HTML 页面，上传到一个刚刚攻陷的网站服务器，以及一个服务器端的用来处理用户输入数据的脚本，也可能涉及更为复杂的网站及内容重定向，但他们的底层目标是一致的——架设一个假冒可信机构的网站，并部署一些必需的后台脚本处理用户的输入数据并让攻击者获取。使用最新的 HTML 编辑工具可以非常容易地构建出模仿目标组织机构的网站，同时如果攻击者不介意扫描互联网 IP 地址空间以寻找潜在的有漏洞的主机，缺乏有效的安全防护的网站服务器也能够非常容易地找到并被攻陷。一旦被攻陷，即使是家庭用的 PC 主机都可以作为钓鱼网站的宿主主机，所以钓鱼者的攻击目标不仅仅是知名的企业和学院里的系统。攻击者经常不分青红皂白地去选择他们的目标主机，而仅仅是在一个大的 IP 地址空间中随机地扫描，寻找可被利用的特定的安全漏洞。

一旦钓鱼者建立起一个模仿可信机构的真实且能够让人信以为真的假冒网站后，对他们的重要挑战是如何将用户从一个合法的网站转移到访问他们所架设的假冒网站。除非钓鱼者有能力去改变目标网站的 DNS 解析（称为 DNS 中毒攻击 ）或采取其他方式对网络流量进行重定向（称为 pharming 的一种技术），他们必须依赖某种形式的内容上的欺骗技巧，去引诱不幸的用户去访问假冒的网站。欺骗技巧的质量越高，他们所撒的渔网就越宽，一个无知的用户错误地访问这个假冒网站（并提供给钓鱼者他的机密信息和私人数据）的机会就越大。

对攻击者不幸的是，当他们假冒一个组织结构（如一个银行或可信的商务网站），钓鱼者通常没有任何互联网上哪些用户属于他们的客户此类信息，也就不知道哪些用户最容易上钩。即使钓鱼者可以将指向假冒网站的链接发布到与目标机构相关的一些聊天室或论坛上（如一个技术支持网站或网络社区谈论组），目标机构很可能比较迅速地被通知并做出反应，这个链接也会在很多受害者访问它所指向的内容并提交他们的个人信息前被清除。同时对钓鱼者也存在一个显著的风险，目标机构或法律执行部门可能会追踪并关闭这些假冒的网站。因此，钓鱼者需要一个方法，能够在尽量减少他们所承担的风险的同时，在短时间内欺骗尽可能多的潜在受害群体，他们找到了理想的犯罪搭档——垃圾邮件。

垃圾邮件发送者拥有包括几百万使用中电子邮件地址的数据库，因此最新的垃圾邮件群发技术可以用来帮助一个钓鱼者低风险广泛地发布他们的诱骗邮件。垃圾邮件通常通过一些被攻陷的架设在境外主机上的邮件服务器，或是通过一个全球的傀儡主机网络 ( botnets ) 进行发送，因此邮件发送者被追踪的可能性将会很小。如果一个无戒备心的用户收到一封看起来像是由他们的银行所发来的，带有银行正式标志的电子邮件，要求他们访问一个看起来与银行官方网站一摸一样的网站并由于安全理由更改他们在线的银行口令，这比起那些介绍新奇产品并链接到未知网站的普通垃圾邮件来更可能使得用户上当。为了增加用户相信这个邮件是真实的可能性，钓鱼者会应用一些另外的技术来进一步提高他们所进行的诱捕手段的质量：

在指向假冒网站的链接中使用 IP 地址代替域名。一些无戒备心的用户将不会检查（或不知道如何检查）这个 IP 地址是否来自假冒网站页面上所声称的目标机构。

注册发音相近或形似的 DNS 域名（如 b1gbank.com 或 bigbnk.com 假冒 bigbank.com ），并在上面架设假冒网站，期望用户不会发现他们之间的差异。

在一个假冒钓鱼网站的电子邮件 HTML 内容中嵌入一些指向真实的目标网站的链接，从而使得用户的网站浏览器的大多数 HTTP 连接是指向真实的目标网站，而仅有少数的关键连接（如提交敏感信息的页面）指向假冒的网站。如果用户的电子邮件客户端软件支持 HTML 内容的自动获取，那会在电子邮件被读取的时候自动地连接假冒网站，手动地浏览也不会在大量与真实网站的正常网络活动中注意到少量与恶意服务器的连接。

对假冒网站的 URL 进行编码和混淆，很多用户不会注意到或者理解 URL 链接被做过什么处理，并会假设它是良性的。 IDN 欺骗技术（ IDN spoofing ）就是这样的一种技术，它使用 Unicode 编码的 URL 在浏览器的地址栏里呈现的看起来像是真实的网站地址，但实际上却指向一个完全不同的地址。

企图攻击用户网页浏览器存在的漏洞，使之隐藏消息内容的实质。微软的 IE 和 Outlook 都被发现过存在可以被这种技术攻击的漏洞（如 地址栏假冒 和 IFrame element 漏洞 ）。

将假冒的钓鱼网站配置成记录用户提交的所有数据并进行不可察觉的日志，然后将用户重定向到真实的网站。这将导致一个“口令错误，请重试”错误，或甚至完全透明，但在每种情况下，大部分用户都不会发觉，更相信是自己的错误输入，而不会想到是由于恶意第三方的干涉。

架设一个假冒网站，作为目标机构真实网站的代理，并偷摸地记录未使用 SSL 加密保护的口令信息（或甚至为假冒的域名注册一个有效的 SSL 证书从而对 SSL 加密保护的口令信息进行记录）。

首先通过恶意软件在受害者的 PC 上首先安装一个恶意的浏览器助手工具（ Browser Helper Object ），然后由其将受害者重定向到假冒的钓鱼网站。 BHO 是一些设计用于定制和控制 IE 浏览器的 DLL ，如果成功，受害者将会被欺骗，相信他们正在访问合法的网站内容，然而实际上却在访问一个假冒的钓鱼网站。

使用恶意软件去修改受害者 PC 上的用来维护本地 DNS 域名和 IP 地址映射的 hosts 文件，这将使得他们的网页浏览器在连接架设假冒钓鱼网站的服务器时，却让用户看起来像是访问目标机构的合法网站。

由于很多电子商务或在线银行应用的复杂性，他们的网站经常使用 HTML 框架结构或其他复杂的页面结构架设，这也可能使得一个终端用户很难判断一个特定的网页是否合法。上述列举的这些技术的组合使用可以隐藏一个精心设计的网页的真实来源，也使得一个无戒备心的用户很可能被引诱去访问钓鱼者的假冒网站，不知不觉地泄漏他们的认证口令信息和所需要的数字身份信息，从而成为一次成功的网络钓鱼攻击的又一个受害者。