2022年实验三网站钓鱼攻击实验报告.doc

南京工程学院
实 验 报 告


题 目 网站钓鱼攻击


课 程 名 称 网络与信息安全技术
院（系、 部、 中心） 计算机工程学院
专 业 网络工程
班 级
学 生 姓 名
学 号
设 计 地 点 信息楼A216
指 导 教 师 毛云贵
实 验 时 间 3月20日
实 验 成 绩
一试验目



二试验环境
Windows, 交换网络结构, UltraEdit
三试验原理
．什么是钓鱼网站
    网络钓鱼是经过大量发送声称来自于银行或其她著名机构欺骗性垃圾邮件, 意图引诱收信人给出敏感信息（如用户名、 口令、 帐号ID、 ATM PIN码或信用卡具体信息）一个攻击方法。最经典网络钓鱼攻击将收信人引诱到一个经过精心设计与目标组织网站非常相同钓鱼网站上, 并获取收信人在此网站上输入个人敏感信息, 通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们含有非常大吸引力, 因为这些信息使得她们能够假冒受害者进行欺诈性金融交易, 从而取得经济利益。受害者常常遭受严重经济损失或个人信息被窃取。
    钓鱼网站通常伪装成为银行网站, 窃取访问者提交账号和密码信息。它通常经过电子邮件传输, 这类邮件中包含一个经过伪装链接, 该链接将收件人链接到钓鱼网站。钓鱼网站页面与真实网站界面完全一致, 要求访问者提交账号和密码。通常来说钓鱼网站结构很简单, 只是一个或多个页面, URL和真实网站有细微差异, , 。
．钓鱼网站防范方法

    现在网址有好多个, .com是一个商业性网站, , .org则是非政府组织网站。域名不一样, 代表意思也不一样。所以能够借鉴政府网站有专用域名做法, 为网上银行设置专用域名。这种作法即使从根本上无法杜绝钓鱼网站存在, 但确实在很大程度上打击了假冒网银网站。

    在网银安全问题上, 银行惟一能采取措施就是投入大量人力物力, 不间断地在网上经过人工或是自动搜索同自己域名类似假冒网站、 网络实名, 甚至必需介入电子邮件搜索是否有些人假借银行名义行欺骗之实, 即使是多个银行联合起来打假, 平摊只是成本, 技术一直是个难题。所以能够规范搜索引擎, 从搜索引擎层面上来干预与网上银行域名类似网站。

    银行能够经过使用银行证书方法来验明网上银行正身, 只有拥有正确证书才能证实该网站是正确网上银行而不是钓鱼网站。

    （1）避免使用搜索引擎
    从正规银行网点取得网络银行网址并切记, 登录网银时尽可能避免使用搜索引擎或网络实名, 以免混淆视听。
    （2）设置混合密码、 双密码
    密码设置应避免与个人资料相关, 提议选择数字、 字母混合密码, 提升密码破解难度并妥善保管, 交易密码尽可能与信用卡密码不一样。
    （3）定时查看交易统计
定时查看网银办理转帐和支付等业务统计, 或经过短信定制账户变动通知, 随时掌握账户变动情况。
    （4）妥善保管数字证书
    避免在公用计算机上使用网银, 以防数字证书等机密资料落入她人之手。
    （5）警惕电子邮件链接
    网上银行通常不会经过电子邮件发出“系统维护、 升级”提醒, 若遇重大事件, 系统必需暂停服务, 银行会提前公告用户。一旦发觉资料被盗, 应立刻修改相关交易密码或进行银行卡挂失。
三．钓鱼网站关键源码分析
    钓鱼网站位置:“C:\ExpNIS\SocEng-Lab\Fishing\钓鱼网站\qqqet”, 用UltraEdit-32可查看或编辑源码。
    钓鱼网站结构比较简单, , 。in