社工系列之钓鱼攻击技巧

  • A+
所属分类:硬件与社工

大多数的网络钓鱼方法使用某种形式的技术欺骗,旨在使用一个位于电子邮件中的链接(和其连到的欺骗性网站)似乎属于真正合法的组织。拼写错误的网址或 使用子网域又或直接使用伪造email这些都是网络钓鱼所使用的常用伎俩。

3.1真假URL

绝大多数网络钓鱼第一个遇到的问题就是URL的伪造,不管是菜鸟级别的“渔民”还是身经百战的“渔父”,都会在URL伪造方面各显神通,让人无法分辨URL的真实性。我在这边介绍几种常用的方法为大家抛砖引玉。

3.1.1域名使用技巧

钓鱼URL的伪造每个人都有自己的惯用方法,我对我了解到的方法做了一个总结,URL伪造分为3种:土豪伪造法;技术帝伪造法;空手套白狼法。

土豪伪造法:所谓土豪伪造法就是需要购买域名来达到伪造URL的办法。获得目标的URl后,根据URL特点来注册于之相似的域名做到以假乱真的效果。他们也不可能注册与目标完全相同的域名,那样要付出的代价就太大了,他们会注册与目标类似的域名,例如目标 ogre.so他们会注册 0grg.so。这种伪造域名有一定的技巧与规律:0换o,g换9,v换u,i l与1是基友。

空手套白狼法:结合了前两种方法的思路但是轻巧的多,利用2级域名或者3级域名进行混淆,同时使用迷惑类的主域名进行混淆,类似 sytes.com, server.com等等。这类域名很难注册到,但是有一些网站对外开放了这些域名的二级域名注册,例如noip网站。

社工系列之钓鱼攻击技巧社工系列之钓鱼攻击技巧

3.1.2Data协议伪造域名

一般浏览器引用资源时,都是用http和https协议,部分浏览器和所有的ftp软件都会使用ftp协议,此外还有mms、thunder等各种协议,但是还有一种不被常用的协议那就是data URI协议。几乎所有浏览器(ie≥8)都支持data协议,所以在使用过程中可以忽略浏览器的支持顾虑。Data协议的格式:资源类型;编码,内容。简单来说,要生成一个html资源,可以这样:data:text/html;ascii,<html><title>hello</title><body>world</body></html>。但是在不同的浏览器的解析的方法也有着一些细微的差别。

首先介绍Chrome:熟悉Chrome的用户应该知道,在Chrome中如果不定义资源类型或者资源类型不是Chrome能够处理的类型,那么Chrome会直接下载,而不会显示。所以在这里黑客构造的时候会这样写data:text/html;www.google.com; base64,aGVsbG8=这样便构造出来了类似谷歌的域名,为了做的跟隐蔽他们会这样:data:text/html;www.google.com;一大串空格base64,aGVsbG8=如下图:

社工系列之钓鱼攻击技巧

是不是更加逼真了呢。

然后介绍Data协议在Firefox的应用方法:在Firefox中使用data协议就比较方便,因为Firefox是默认使用text/plain 来处理没有定义的资源的,如果定义了资源但是资源类型不能被firefox处理的时候,该资源也会默认使用 text/html格式来处理资源,所以data协议在firefox中可以直接这样用:data:www.google.com;base64,aGVsbG8=是不是更有诱惑性呢?同样在base64前加上一大串的空格那么效果就是下面这样:

社工系列之钓鱼攻击技巧

最后说下ie浏览器:Ie浏览器的地址栏是不支持data协议的,只有img标签支持data协议,所以在这里暂时没有想到利用的方法。
此系列为本人2013年的手稿,转载请附带链接并注明来自404网络与安全(404.so)

发表评论

您必须登录才能发表评论!