你知道你的号是怎么被盗的吗？钓鱼网站原理实现与防范

本人一某大学车辆工程专业学生，兴趣爱好比较广泛，对一些领域也有过一些深入了解。好吧，让我们开始吧。

这里我要使用的系统是kali linux，这是一个强大的操作系统，至于有多强大，在这里我就不多做介绍了。

kali Linux 提供了一个功能十分强大的工具，名叫Social Engineering Tools（社会工程学工具包）。用它再结合另一个metasploit，可以进行一系列针对性的社会工程学攻击。

Social Engineering Tools工具很多，例如Spear-Phishing（邮件钓鱼攻击），Website Attack（网站钓鱼攻击），Mass Mailer（群发邮件攻击），SMS Spoofing（伪造短信攻击）等等。

钓鱼网站的实现原理：

黑客利用社会工程学针对性的攻击，从而获得对方的用户名和密码。在这中间，关键的一步就是网站钓鱼。那么钓鱼网站是怎么制作的，其实方法有很多种，我就不一一说明，这里就用Social Engineering Toolkit制作一个钓鱼页面。这个页面动手能力强的可以自己设计仿造，也可以克隆官方网站来实现，这里我就用自己博客网站来演示如何克隆一个钓鱼页面。

选择想要克隆的页面：运行Social Engineering Toolkit（社会工程学工具）

首先开启http服务

/etc/init.d/apache2 start

开始使用社会工程学工具

然后显示下面的终端界面：

选择 1）Socail-Engineering Attacks，进入第二个命令选择页面：选择2）Website Attack Vectors（钓鱼网站攻击向量）进入如下选择界面：

这个界面提供很多功能，支持Java Applet伪造攻击，Metasploit浏览器攻击，登陆密码截取攻击，标签页劫持攻击（Tabnabbing），中间人攻击，网页劫持（Web Jacking），综合多重攻击等等。在这里，我们选择3）Credential Harvester Attack Method（登陆密码截取攻击），克隆网站的登陆界面，之后还会出现如下选择界面：

这里提供了三种搭建钓鱼网站的方法：

使用网站模版克隆网站定制导入

我们这里选择2）Site Cloner。

输入你要克隆的网页地址url

确认网站服务器ip地址（我的虚拟机当前的IP为10.211.55.4），再按提示输入url，显示如下：

输入y回车继续：

这时候已经开始监听了，钓鱼网站已经做好了

访问钓鱼网站：

直接在浏览器输入IP地址10.211.55.4，就出现如下界面：

除了url不同之外，页面内容看起来和原来的网站一模一样，攻击者还会用到内网映射，和链接的转变等技术，这里就不展开了，现在输入账号密码：

获取到的用户名和密码：

看吧，短短的几个操作，你的账号密码就被别人知道了。

如何防范钓鱼网站：留意域名：观察网站内容：

克隆网站上没有其他链接，你们可以点击其他区域看一下能不能打开相应的内容，若发现网站出现错误或者风格突变，就要提高警惕。

查看网站的安全证书：

一般稍微正规的网站都是https协议的，就是开头https，目前大型的电子商务网站或网上银行都是如此的。

尝试乱输：

如果别人突然发来一个网站链接，如果需要输入用户凭证，在不知道网站是否安全的情况下，不要急得输入正确的用户名和密码，先随便输入，如果网站提示登入成功或进入一个不正常的页面，则可以断定其为钓鱼网站。

最后，虽然保持一定的好奇心是一件好事，但是我们做事一定要处处小心，谨慎为好。谢谢大家，码字不易，请多多支持！

　　非常感谢您读完蓝港网络的这篇文章："你知道你的号是怎么被盗的吗？钓鱼网站原理实现与防范"，仅为提供更多信息供用户参考使用或为学习交流的方便。我们公司提供：网站建设、网站制作、官网建设、SEO优化、小程序制作等服务，欢迎联系我们提供您的需求。