你或者身边的朋友是不是遇到过qq账号被盗?在如今网络高速发达,这种情况似乎很经常发生。今天我就跟大家分享一下钓鱼网站原理实现及防范!
本人一某大学车辆工程专业学生,兴趣爱好比较广泛,对一些领域也有过一些深入了解。好吧,让我们开始吧。
这里我要使用的系统是kali linux,这是一个强大的操作系统,至于有多强大,在这里我就不多做介绍了。
kali Linux 提供了一个功能十分强大的工具,名叫social Engineering Tools(社会工程学工具包)。用它再结合另一个metasploit,可以进行一系列针对性的社会工程学攻击。
Soc++ial Engineering Tools工具很多,例如Spear-Phishing(邮件钓鱼攻击),Website Attack(网站钓鱼攻击),Mass Mailer(群发邮件攻击),smS Spoofing(伪造短信攻击)等等。
钓鱼网站的实现原理:黑客利用社会工程学针对性的攻击,从而获得对方的用户名和密码。在这中间,关键的一步就是网站钓鱼。那么钓鱼网站是怎么制作的,其实方法有很多种,我就不一一说明,这里就用Social Engineering Toolkit制作一个钓鱼页面。这个页面动手能力强的可以自己设计仿造,也可以克隆官方网站来实现,这里我就用自己博客网站来演示如何克隆一个钓鱼页面。
选择想要克隆的页面:运行Social Engineering Toolkit(社会工程学工具)首先开启http服务
/etc/init.d/apache2 start开始使用社会工程学工具
然后显示下面的终端界面:
选择 1)Socail-Engineering Attacks,进入第二个命令选择页面:选择2)Website Attack Vectors(钓鱼网站攻击向量)进入如下选择界面:这个界面提供很多功能,支持Java applet伪造攻击,Metasploit浏览器攻击,登陆密码截取攻击,标签页劫持攻击(Tabnabbing),中间人攻击,网页劫持(Web Jacking),综合多重攻击等等。在这里,我们选择3)Credential Harvester Attack Method(登陆密码截取攻击),克隆网站的登陆界面,之后还会出现如下选择界面:
这里提供了三种搭建钓鱼网站的方法:
使用网站模版克隆网站定制导入我们这里选择2)Site Cloner。
输入你要克隆的网页地址url确认网站服务器ip地址(我的虚拟机当前的IP为10.211.55.4),再按提示输入url,显示如下:
输入y回车继续:
这时候已经开始监听了,钓鱼网站已经做好了
访问钓鱼网站:直接在浏览器输入IP地址10.211.55.4,就出现如下界面:
除了url不同之外,页面内容看起来和原来的网站一模一样,攻击者还会用到内网映射,和链接的转变等技术,这里就不展开了,现在输入账号密码:
获取到的用户名和密码:
看吧,短短的几个操作,你的账号密码就被别人知道了。
如何防范钓鱼网站:留意域名:分辨钓鱼网站的最直接的方法就是对比它的域名跟官方网站的域名是否一致,有的时候网址地址中的某个字母会被替换掉,你可能稍微不注意就上当了。
观察网站内容:克隆网站上没有其他链接,你们可以点击其他区域看一下能不能打开相应的内容,若发现网站出现错误或者风格突变,就要提高警惕。
查看网站的安全证书:一般稍微正规的网站都是https协议的,就是开头https,目前大型的电子商务网站或网上银行都是如此的。
尝试乱输:如果别人突然发来一个网站链接,如果需要输入用户凭证,在不知道网站是否安全的情况下,不要急得输入正确的用户名和密码,先随便输入,如果网站提示登入成功或进入一个不正常的页面,则可以断定其为钓鱼网站。
最后,虽然保持一定的好奇心是一件好事,但是我们做事一定要处处小心,谨慎为好。谢谢大家,码字不易,请多多支持!
