“精品”钓鱼工具流程初体验以及背后技术大揭秘！

时间：2023-07-22 02:18:01 | 来源：网站运营

时间：2023-07-22 02:18:01 来源：网站运营

“精品”钓鱼工具流程初体验以及背后技术大揭秘！：天际友盟安全团队经过长时间对钓鱼工具的积累、建模、技术分析，发现钓鱼工具有越来越专业化、越来越难发现的趋势。本文分为套路篇和技术篇，选取了一个使用多种反侦察手段的钓鱼网站工具作为案例进行分析，带你切身体验如何一步步“上套”，探究钓鱼网站背后的技术手段。

套路篇

Step1.用户使用PC版User-Agent信息访问钓鱼网站，提示需要手机端访问，效果如下图：

由于手机端或者聊天工具相对PC端来说，更容易让人忽视网址的异常，所以之前许多钓鱼站都会在页面中嵌入JS代码或者引入JS文件来判断用户是否是手机端访问，如果是手机端的话则会展示钓鱼页面，如果不是手机端则会跳转到官网或者搜索引擎页面等合法页面，躲避侦察。

Step 2.在手机聊天软件中打开钓鱼网址，效果如下：

从视觉上来说，该站点非常像正规网站，页面的各种细节都没有明显的问题，比如页面组件的对齐、没有突兀的字体，让普通人很难分辨。聊天软件中或者手机浏览器访问十分不容易发现网址本身的异常，迷惑性很高。

Step 3.一般警惕性高的人会使用假名字、假身份证号来测试系统，看是不是钓鱼网站，但是这个钓鱼工具使用假名字和假身份证号测试效果如下，明显是有对身份证号合法性的校验：

Step 4.名字就使用“真实姓名”， 我们通过分析代码生成了能通过验证的假身份证号。执行完这步后犯罪分子已经收集到用户的身份信息，跳转至如下页面。该站点谎称用户认证失败，需要进一步使用银联信息认证，这是在为收集受害人的银行卡信息做准备：

Step 5.点击“立即认证按钮”，展示如下页面：

这里多说一句，这个“卡余额”有点多余了，不过这个信息对犯罪分子是有意义的。他们一方面可以自己去盗取被害人资金，另一方面也可以将钓鱼到的用户信息进行打包出售，信息售价会根据标称的“卡余额”而有所不同。

Step 6.一般警惕性高的人还是会随便编一个银行卡号测试网站的真实性，而这一套钓鱼网站代码中有对银行卡有效性的校验，更具迷惑性。用户输入普通银行卡号后不会提示输入有效期和CVN，只有输入信用卡号才会，因为犯罪分子使用信用卡套现的时候需要用到这两个信息：

Step 7.不像一般的钓鱼网站直接会在上一个页面就要求输入银行卡密码，这一套钓鱼网站都是等点击提交之后，模仿银行APP的密码输入页面提示要输入密码验证，而且这个密码输入页面的样式与之前的样式明显不同，会让人误以为是真的调出了手机上的支付软件而放松警惕：

上面这个页面为示意图，真实的密码输入页面与之类似，也是灰色背景，不过是暗红色数字按钮。不知道是犯罪分子发现了我们在测试还是真有积压，现在访问返回的是如下提示：

Step 8.到此犯罪分子已经收集到了受害人的银行信息，但是他们依旧会弹出一个加载中的页面，难道真的是有人在后台蹲守？页面如下：

Step 9.我们常见的钓鱼手法分为两种，一种是利用恶意SEO手段，或者在论坛、各种社交媒体散布虚假信息，增加钓鱼网站的曝光度，引导受害人上钩；另一种是不去散播钓鱼网站，而是通过短信、邮件、群聊天等形式定向的投送钓鱼网站链接给受害人，更有甚者会假扮客服将受害人拉入一个视频会议，视频会议中有诈骗团伙专门精通诈骗话术的人快速的用各种违法收集到的信息冲击受害人，降低受害人的辨别能力，再辅助明显出自违法团队开发的钓鱼工具而生成钓鱼网站，一般人很难防范。

天际友盟DRP数字风险防护服务致力于反钓鱼欺诈等数字风险防护场景，经过长时间的积累，对大量的钓鱼工具进行了建模。本次分析的钓鱼工具生成的页面已经建模过，与之前的针对“XX银行”、“ETCXXX” 、“XXX保障部”的钓鱼站是一套钓鱼工具所为。

DRP有专业的威胁分析团队，除了持续监控每日新增域名之外，我们一直在对钓鱼网站进行特征建模、关联分析发现。您可以把针对您定向投送的钓鱼网站（指通过短信、邮件、群聊天等形式投送的钓鱼网站）提交给我们，我们可以帮助您及时快速地发现更多应用该模型的钓鱼网站。例如上述案例中的钓鱼站域名注册的时间为7月5日，基于我们模型的关联分析能力，该站于5号当日即被我们侦测到。

技术篇

1.使用PC浏览器访问钓鱼网站被拦截，网络请求响应如下：

之前大部分钓鱼网站是会加载一个JS文件，或者直接在页面HTML代码中嵌入JS代码，JS代码中有对User-Agent判断，如果判定是PC端访问则会使用"window.location.href=''www.正版网站.com" JS代码跳转到正版的官网或者某些常用的正规页面，如果判定是手机端访问才会展示钓鱼页面。

参照上图，并没有请求JS文件，HTML代码中也没有引用其它多余的资源，而是服务器端直接判断，返回了提示语，也就是说页面特征很少，目的是防止钓鱼网站被很容易建模、被发现。

常见的终端类型判断JS代码示例：

2.JS代码段或者文件犯罪分子使用了这几种方式加密，主要有以下几个目的：

1）避免常规的建模、侦测手段，因为索引到的内容都是乱码，不容易提取特征；

2）现阶段钓鱼网站越来越向产业链方向发展。真正搭建钓鱼网站的人只是从钓鱼工具制作者手中买来的工具，然后自己购买域名和服务器部署钓鱼网站。制作团伙为了阻止自己的工具被贩卖或者修改，使用了加密技术，让一般没有编码基础的人很难自己修改；

3）许多钓鱼工具中是内嵌后门的，代码加密之后，后门代码更不容易被发现，真正用钓鱼工具实施钓鱼的人反倒成了钓鱼工具制作团伙的“肉鸡”。

这套钓鱼工具JS没有使用常见的JS加密方案，而是自己开发的算法，而且犯罪分子将解密函数写入了常用的JS通用组件中，一般人不注意非常容易漏掉。

3.各种数据有效性验证函数，能迷惑许多有一定警惕性的人：

4.钓鱼工具模板定制化。国内外的钓鱼工具都支持让使用者自由选择预置的钓鱼模板，这个钓鱼工具支持以下模板：

5.钓鱼工具市场一瞥：

6.钓鱼工具持续进化，加入了各种反侦察手段。例如以下几种：

总结

1.钓鱼工具从早期单人作战逐步发展为了成熟的产业链。从早期需要犯罪分子自己复制官方源代码，修改Form表单的提交地址为自己写的PHP页面，PHP页面中直接把受害人填写的账户信息以邮件方式发送，自己购买服务器自己部署运维的方式，变为了只需要购买犯罪团伙制作好的预置多个钓鱼模板的钓鱼工具，使用自动化运维工具，自动部署到远程服务器。新模式大大降低了钓鱼的技术门槛。

2.钓鱼与反钓鱼是持续对抗的过程。早期钓鱼网页使用PHP编写页面，而现在逐步转为用VueJS、ReactJS等前端框架编写，并且使用JS加密技术对页面源码进行加密，避免被各种侦测引擎监控到。

3.天际友盟DRP数字风险防护服务依托专业的威胁分析团队，除了持续监控每日新增域名之外，一直持续对钓鱼网站进行特征建模、关联分析发现。同时，我们有专业的法律及处置团队，跟全世界的主要运营商保持着良好的合作关系，能够及时对钓鱼网站、侵权网站进行关停。您也可以把针对您的通过短信、邮件、群聊天等形式定向投送的钓鱼网站提交给我们，我们能帮助您及时快速地发现更多应用该模型的钓鱼网站。

4.天际友盟DRP服务不仅包括钓鱼网站场景的监控和处置服务，同时也覆盖钓鱼APP、品牌侵权、数据泄漏、版权盗版、代码泄漏、威胁误报、暗网监控等数字风险场景，为您提供全方位的数字风险防护服务。

关于DRP数字风险防护

随着企业的数字化进程，对DRP(Digital Risk Protection)数字风险防护管理的需求，正与日俱增。企业的数字足迹、数字资产、甚至高管的个人形象，都可能成为不法分子的攻击目标。保护关键数字资产与数据免受外部威胁，提升在线业务的运营稳健性，其价值毋庸置疑。DRP数字风险防护，是与企业数字化转型配套的业务安全解决方案。

天际友盟致力于为企业提供涵盖识别、监测、响应、恢复全生命周期的数字风险管理。通过多种威胁情报来源汇聚、多维度内容识别与分析引擎、专业威胁与风险分析能力、覆盖全球平台的关停处置网络、专业的法律服务支持团队、SaaS化的服务支撑平台，天际友盟将多种专业能力有机结合，构建了完备的DRP数字风险防护支撑能力，可以协助客户建立现代企业成熟的数字风险防范体系，清理数字风险隐患、对抗行业风险潮汐、培养内部风险意识、完善应急响应机制，为数字时代的业务安全保驾护航。




网站钓鱼欺诈：攻击者仿冒企业真实网站的URL 地址以及页面内容，试图骗取各类受害用户的银行卡账户、身份账号、各种密码等私密信息。

APP钓鱼欺诈：攻击者开发仿冒的企业APP，试图骗取各类受害用户的银行卡账户、身份账号、各种密码等私密信息。

社交媒体钓鱼欺诈：社交媒体钓鱼这种手法又被称为灯笼式钓鱼，攻击者通过在社交媒体平台上仿冒企业账号，或假冒企业高管个人，试图骗取各类受害用户的银行卡账户、身份账号、各种密码等私密信息，并进行欺诈。

电子邮件欺诈：商业邮件欺诈，始终是全球恶意欺诈手法中的一大主流。欺诈者通过注册与客户主体接近的域名，并发送相关邮件，利用社会工程学技巧，进行仿冒和欺诈活动。与纯粹的电子邮件欺骗(Email Spoofing，伪造电子邮件头，散播钓鱼网址链接或恶意附件)不同，这类邮件欺诈往往更加隐蔽，目标对方一般是公司管理层或财务等核心部门人员，其欺诈目标和意图也更高，给企业带来的危害更大。

品牌侵权：与直接的钓鱼欺诈不同，攻击者通过未授权的网站、APP、社交媒体平台，滥用品牌Logo、商标，误导性地暗示与品牌之间的关联；或利用品牌知名度，注册与品牌相似的域名进行不正当竞争，以达到其恶意的目的。

数据泄露：企业用户信息泄露、市场战略、技术发明等核心内部资料遭到非法窃取，并公开在网站、文库、网盘、社交媒体等平台传播，不仅直接导致企业利益受损，也会给供应链环节的第三方企业造成不良影响，甚至导致供应链合作关系的破裂。

代码泄露：企业的系统源码里，往往会包含企业系统的配置文件甚至密码等敏感信息，如果泄露到第三方开放平台，攻击者可以进一步深入分析的代码逻辑漏洞，公司网站被攻击和入侵的风险大大增加。

威胁误报：杀毒软件等厂商为了确保“绝对”安全，有时会拦截所有敏感操作，加之机器学习等技术手段不够成熟，如果提取到"混淆"特征，对客户网站、软件、手机APP文件存在一定程度的误判，会引发病毒误报等错误告警，令客户应用无法上线，损害品牌形象和商业收益。

更多详情