最近发现身边有很多朋友都中过钓鱼木马，从而QQ被盗（其实不是被盗，而是被暂时获取某种权限，可以控制QQ修改网名、发送更多钓鱼链接等行为，QQ被盗指的是骇客通过社会工程学搜集资料，进行QQ账号申诉，申诉成功能修改密保手机，从而完全控制QQ）为了增强网民的网络安全意识，也让更多的小白不再被感到担心，就本次技术话题展开一个专题，本次公开课是一个大的整体了解框架，之后还会有更详细的内容。

网络钓鱼是一种攻击手段，在我们安全攻击当中，除了蠕虫攻击、木马病毒、DDOS与CC攻击等，网络钓鱼就是其中一种攻击、表达方式，网络钓鱼的主体就是钓鱼网站。

钓鱼网站是指不法分子利用各种手段，仿冒真实的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某个网页中插入危险的html代码，骗取用户的银行卡信息、密码等。

我们每天都需要用手机登陆QQ、QQ空间、各种论坛账户，钓鱼网站会伪造QQ空间登陆页面、仿造英雄联盟游戏低价领取皮肤页面等，让你输入自己的QQ账号密码，这时候就叫模仿登陆。

比如说每天会收到某些节目的中奖信息，如：中国新歌声、奔跑吧兄弟等等，这时候你打开短信里面的网址，会对你说恭喜你中奖了，叫你输入自己的个人信息兑奖，我们称为虚假中奖。

最常用在于淘宝、58同城、二手交易网等，下诱饵的方式主要是这件物品低价、抢购的方式叫你登陆购买，模仿这些购物网站，所以我们称为虚假购物

这种危害性比较大，会通过一些方式在你的手机上植入木马，通过木马给你发送一个网址，打开网址看是一个工商银行、建设银行的网址，用户在毫不知情的情况下输入银行账号密码和U盾的验证码。

不管是举报钓鱼网站的数量还是人均损失金额，都在逐年呈现上升趋势，已经成为黑色产业链最重要的一块。

1、通过钓鱼网站设下陷阱，大量收集用户的个人隐私信息，通过贩卖个人信息或敲诈用户

2、通过钓鱼网站收集、记录用户网上银行账号、密码，盗取用户的网银资金。

3、假冒网上购物、在线支付网站，欺骗用户直接将钱打入黑客账户

4、通过假冒产品和广告宣传获取用户信任，骗取用户金钱

5、恶意团购网站或购物网站，直接获取用户输入的个人资料和网银账号密码信息，进而获利

通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接：比如我们很容易就看到的利用QQ发布短网址链接，这个在我身边很多人就被这样盗过号，安全意识实在太差。你点开后可能会发现需要你登陆QQ空间查看，这时候，你需要检查网址是否是腾讯官方网址：比如QQ空间的官网就是/，看到其他网址不是，钓鱼网站的网址是：taopao.com或者其他，把b改成了p，所以用户一不小心就会中招。

6、利用"伪基站"假冒银行、购物网站或第三方支付平台等正规机构名义发送短信传播钓鱼网站链接：相信大家对伪基站发送短信并不陌生，跟中奖短信差不多，给你的链接不要点就行了。点了怎么办？点击链接绝对没事的，之前有媒体报道，什么点击链接之后会把你银行卡的钱给套走，现在还没有那个技术会直接盗取金额的。真相就是点击链接之后会让你下载一个软件，这个软件才是有病毒的，你根据软件提示把你银行卡账号密码输入进去，那么才有可能被盗走金额。把那个软件进行反编译分析，发现软件的运行情况，获取你手机的信息什么的，但是这个软件没有经过加壳防御，很容易就被获取到软件开发者的手机号，那么网警也可以通过技术追查到开发者。

7、 利用虚假WiFi盗取用户手机系统、品牌型号、自拍照片、邮箱帐号密码等各类隐私数据：骇客会利用一些技术，伪造钓鱼WIFI的SSID，然后经过洪水攻击等攻击手段，取消目标用户对真实WIFI的连接，从而诱导连接钓鱼WIFI，最好的防御方法就是不要连接公共的WIFI，现在三大运营商不是推出无限流量了吗，那就用无限流量就可以。

1、网民的安全意识不强：对钓鱼网站的变化形式不在意，只是通过新闻、微博等了解，XXX被钓鱼网站诈骗上万，只是看戏并不在乎，可能不知已经深受其害。

2、手段复杂，花样繁多：在我们安全术语中叫挂马，有可能利用漏洞把木马镶嵌在官方的某个网页上，还可以通过社会工程学形式等各种手段。

3、损失不大，嫌麻烦：被骗了50、100并不在乎，金额不大。害怕浪费时间，无所谓态度。

4、取证困难，难以追查：网民报案，网警难以立案求证，因为大部分的钓鱼网站存活期限不会太高，一般开个7、8天，骗几个人就给关了。

5、金额难立案：在我国法律中限制了被骗金额，被骗一两百网警是不会立案受理的，即使达到一定金额立案后，网警很难去追查，因为钓鱼网站的服务器是海外服务器，不能直接动手，说不定会引起国际纠纷。而且一个人被骗金额不大，但上千人被骗，钓鱼网站涉案金额就很大，个人报案就很难把证据穿在一块，不能达到立案条件。

最近几年木马病毒少，挂马几乎绝迹，但网络钓鱼极速上升，因为中国网民不断增加网上操作增加，钓鱼网站也在增加，已成为黑产主要一块，每年几千亿的黑色产业链也会有。

有严密的组织团队，如有人写钓鱼源码，有人推广，有人洗钱，进行运作，整体团队化。

各大厂商、网民从各个角度不断更新、增加。

如社会工程学，伪基站钓鱼。

整个网络安全害点目前最大的、以后也是最大的以伪基站的形式给你发信息让你点开链接从而受骗。

1. 社工防御（信息泄露）

1) 主动泄露：朋友圈；QQ空间，贴吧，交易，个人资料

2) 被动：快递，外卖，火车票，飞机票

4) 账号密码无分类，所有账户用一个密码

5) 重要网站不使用一键登录

6) 不点击扫描陌生网址、二维码

8) 不点击短信、电子邮件中的链接

9) 总是使用官方网站

12) 注意一般大型网站都是http://开头，经过SSL证书加密处理，现在很多中小型网站也使用了HTTPS加密技术，浏览器一般会提示是否安全。

13) 安装杀毒软件，对于小白来说这个还是有必要的，不过一定要好好看看杀毒软件的设置选项，进行相关设置，不然这玩意比病毒还流氓

15) 钓鱼网站没有身份验证功能，随便输入什么账户和密码都会提示登录成功，这个也是判断是否是钓鱼网站的重要方法，但是需要注意木马编写者还很机智的做了一些判断，第一次输入信息，不管是什么信息，它都会提醒输入账号或密码有无，请重新输入，当我们再次输入信息的时候，自动跳转到了真正的QQ空间页面。让我们真的以为是自己输入了错的信息。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，谢谢。