小仙2012.10.12 回答

網路釣魚是透過大量傳送聲稱來自於銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感資訊（如使用者名稱、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細資訊）的一種攻擊方式。最典型的網路釣魚攻擊將收信人引誘到一個透過精心設計與目標組織的網站非常相似的釣魚網站上，並獲取收信人在此網站上輸入的個人敏感資訊，通常這個攻擊過程不會讓受害者警覺。這些個人資訊對駭客們具有非常大的吸引力，因為這些資訊使得他們可以假冒受害者進行欺詐性金融交易，從而獲得經濟利益。受害者經常遭受顯著的經濟損失或全部個人資訊被竊取並用於犯罪的目的。這篇“瞭解你的敵人”文章旨在基於 德國蜜網專案組 和 英國蜜網專案組 所蒐集到的攻擊資料給出網路釣魚攻擊的一些實際案例分析。這篇文章關注於由蜜網專案組在實際環境中發現的真實存在的網路釣魚攻擊案例，但不會覆蓋所有可能存在的網路釣魚攻擊方法和技術。攻擊者也在不斷地進行技術創新和發展，目前也應該有（本文未提及的）新的網路釣魚技術已經在開發中，甚至使用中。

在給出一個簡要的引言和背景介紹後，我們將回顧釣魚者實際使用的技術和工具，給出使用蜜網技術捕獲真實世界中的網路釣魚攻擊的三個實驗型研究的案例。這些攻擊案例將詳細地進行描述，包括系統入侵、釣魚網站架設、訊息傳播和資料收集等階段。隨後，將對其中普遍應用的技術及網路釣魚、垃圾郵件和殭屍網路等技術進行融合的趨勢給出分析。釣魚者使用惡意軟體進行自動化地 Email 地址收集和垃圾郵件傳送的案例也將被回顧，同時我們也將展示我們在網路掃描技術及被攻陷主機如何被用於傳播釣魚郵件和其他垃圾郵件上的發現。最後，我們對本文給出結論，包括我們在最近 6 個月內獲得的經驗，以及我們建議的進一步研究的客體。

這篇文章包括了豐富的支援性資訊，提供了包含特定的網路釣魚攻擊案例更詳細資料的連結。最後宣告一下，在研究過程中，我們沒有收集任何機密性的個人資料。在一些案例中，我們與被涉及網路釣魚攻擊的組織進行了直接聯絡，或者將這些攻擊相關的資料轉交給當地的應急響應組織。

引言

欺騙別人給出口令或其他敏感資訊的方法在駭客界已經有一個悠久的歷史。傳統上，這種行為一般以社交工程的方式進行。在二十世紀九十年代，隨著網際網路所連線的主機系統和使用者量的飛速增長，攻擊者開始將這個過程自動化，從而攻擊數量巨大的網際網路使用者群體。最早系統性地對這種攻擊行為進行的研究工作在 1998 年由 Gordon 和 Chess 發表。（ Sarah Gordon， David M。 Chess： Where There‘s Smoke， There’s Mirrors： The Truth about Trojan Horses on the Internet ， presented at the Virus Bulletin Conference in Munich， Germany， October 1998 ） Gordon 和 Chess 研究針對 AOL （美國線上）的惡意軟體，但實際上他們面對的是網路釣魚的企圖而不是他們所期望的特洛伊木馬攻擊。網路釣魚 （Phishing） 這個詞 （password harvesting fishing） 描述了透過欺騙手段獲取敏感個人資訊如口令、信用卡詳細資訊等的攻擊方式，而欺騙手段一般是假冒成確實需要這些資訊的可信方。