常见的钓鱼攻击方式：内容仿冒与域名仿冒

网络“钓鱼”常用攻击手段归纳起来可以分为两类，第一类攻击完全利用社会工程学的方式对受害者进行诱骗，如发送大量诱骗邮件、诱骗短信、各种仿冒网站等；第二类攻击则主要通过漏洞触发，包括操作系统漏洞、应用程序及浏览器漏洞、目标网站服务器漏洞等，用这些漏洞结合社会工程学对受害者进行诱骗。

（1）完全利用社会工程学形式的“钓鱼”攻击

●虚假诱骗型。如利用虚假电子邮件、虚假短信、虚假即时通信消息、虚假搜索引擎消息、虚假聊天室、留言板、论坛等方式进行大量虚假信息的传播，以骗取浏览者去访问相应的“钓鱼”站点，以此来骗取用户的个人资料，包括账户号码、密码等信息。

●内容仿冒型。内容仿冒是目前“钓鱼”攻击中最常见的一种方式。攻击者仿冒一些银行机构的网银页面，或者是仿冒电子商务网站。当用户在该平台选择商品消费时，网站所提供的支付平台完全是攻击者自行设计、假冒的支付页面，以此来获得消费者的网上相关个人信息，包括银行账号、密码信息、信用卡信息等。

●“内容仿冒”和“虚假诱骗”一般都是配合进行，通过诱骗让访问者访问仿冒的网银或者电子商务网站，并进行登录、支付等操作，从而攻击者直接截取到相关的个人信息。在多家商业银行的网银被“钓鱼”的案例中，几乎都是采取这两种攻击手法，攻击者直接获取到用户账户及密码信息。

●域名仿冒型。域名仿冒的“钓鱼”攻击是较常见的“钓鱼”攻击行为，也是很早出现的“钓鱼”攻击形式之一。这种攻击的特点是在网站的域名上做文章，利用用户对域名的“不了解”或“想当然”的心态来骗取用户的信任，从而使“钓鱼”攻击成功。这样，用户很容易因为域名的相似而轻易相信此网站为合法的官方网站而被“钓鱼”攻击。(www.xing528.com)

（2）由站点漏洞触发进行的“钓鱼”攻击

●利用网站自身漏洞进行“钓鱼”攻击。攻击者可利用跨网站脚本（XSS）漏洞以及各种劫持攻击相结合进行“钓鱼”攻击，攻击者可以窃取域名cookie、篡改页面内容、突破浏览器的安全级别限制、网页挂马等。攻击者还可以利用特定漏洞进行页面重定向，当普通用户单击攻击者精心构造的看似合法的链接时，浏览器立即自动跳转到“钓鱼”网站。

●利用站点应用的第三方网站内容的漏洞进行“钓鱼”攻击。这里所说的利用“第三方网站内容的漏洞”进行的“钓鱼”攻击是指可信任网站引用其他第三方网站的页面等作为自身业务的一部分的情况，而导致发生“钓鱼”行为的网络攻击。例如，很多综合性网站使用视频网站的在线视频，公司的企业网站使用第三方的客服系统等。如果这些被引用的服务存在“钓鱼”攻击的可能，那么，引用这些服务的网站同样会遭受到“钓鱼”攻击。

●利用数据传输过程的漏洞进行“钓鱼”攻击。这种“钓鱼”攻击手法是采用浏览者在访问正常站点进行数据传输的过程中进行数据劫持而指向“钓鱼”站点，该种方式隐蔽性强，浏览者难以发现。这类“钓鱼”攻击最具代表性的就是利用DNS缓存中毒的漏洞，攻击者攻击存在该漏洞的DNS服务器，更改服务器中IP地址和URL的对应关系，将目标网站的URL定位到“钓鱼”网站上。这样，通过该DNS进行解析的用户在通过URL访问目标网站时实际上被解析到了“钓鱼”网站上，“钓鱼”攻击就这样“不知不觉”地发生了。

●利用访问者客户端的漏洞进行“钓鱼”攻击。这种“钓鱼”攻击是攻击者直接利用客户端的漏洞，直接欺骗客户访问“钓鱼”网站进行的攻击，如利用浏览器漏洞、第三方应用漏洞及操作系统漏洞等。