网页上的钓鱼攻击来获取密码_代码攻击钓鱼网站

网络钓鱼、钓鱼网站是什么意思啊？

一、网络钓鱼 （Phishing）是指网络不法分子，利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。

网络钓鱼其实就是网络上众多诱骗手法之中的一种，由于它的手段基本就是通过网络用一些诱饵（比如假冒的网站）等使用者上当，很像现实生活中的钓鱼过程，所以就被称之为“网络上的钓鱼”。它的最大危害就是会窃取用户银行卡的帐号、密码等重要信息，使用户受到经济上的损失。

诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。

二、钓鱼网站通常指网络不法分子，伪装成银行及电子商务，窃取用户提交的银行帐号、密码等私密信息的网站，可用电脑管家进行查杀。

“钓鱼”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。

扩展资料

防范办法：

第一、查验“可信网站”

通过第三方网站身份诚信认证辨别网站真实性。不少网站已在网站首页安装了第三方网站身份诚信认证——“可信网站”，可帮助网民判断网站的真实性。 网民在网络交易时应养成查看网站身份信息的使用习惯，企业也要安装第三方身份诚信标识，加强对消费者的保护。

第二、核对网站域名

假冒网站一般和真实网站有细微区别，有疑问时要仔细辨别其不同之处，比如在域名方面，假冒网站通常将英文字母I被替换为数字1，CCTV被换成CCYV或者CCTV－VIP这样的仿造域名。

第三、比较网站内容

假冒网站上的字体样式不一致，并且模糊不清。仿冒网站上没有链接，用户可点击栏目或图片中的各个链接看是否能打开。

第四、查询网站备案

通过ICP备案可以查询网站的基本情况、网站拥有者的情况，对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站，根据网站性质，将予以罚款，严重的关闭网站。

第五、查看安全证书

大型的电子商务网站都应用了可信证书类产品，这类的网站网址都是“https”打头的，如果发现不是“https”开头，应谨慎对待。

参考资料来源：百度百科-钓鱼网站

参考资料来源：百度百科-网路钓鱼

什么是钓鱼网站

钓鱼网站是指欺骗用户的虚假网站。

“钓鱼网站”的页面与真实网站界面基本一致，欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面，和真实网站差别细微  。钓鱼网站是互联网中最常碰到的一种诈骗方式，通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。

扩展资料

防范办法

（一）、查验“可信网站”

通过第三方网站身份诚信认证辨别网站真实性。不少网站已在网站首页安装了第三方网站身份诚信认证——“可信网站”，可帮助网民判断网站的真实性。

（二）、核对网站域名

假冒网站一般和真实网站有细微区别，有疑问时要仔细辨别其不同之处，比如在域名方面，假冒网站通常将英文字母I被替换为数字1，CCTV被换成CCYV或者CCTV－VIP这样的仿造域名 。

（三）、比较网站内容

假冒网站上的字体样式不一致，并且模糊不清。仿冒网站上没有链接，用户可点击栏目或图片中的各个链接看是否能打开  。

（四）、查看安全证书

大型的电子商务网站都应用了可信证书类产品，这类的网站网址都是“https”打头的，如果发现不是“https”开头，应谨慎对待 。

参考资料来源：百度百科-钓鱼网站

企业网站如何应对不法分子的钓鱼攻击？

不法分子主要是通过申请一个和真实网站近似的域名，然后为该假冒钓鱼网站申请一个域名型DV SSL证书，用户在访问该钓鱼网站时自然就不会收到来自浏览器的“不安全”警告。

企业可以通过申请个人无法申请的企业型OV SSL证书或增强型EV SSL证书来应对日益增长的HTTPS钓鱼网站，这两种SSL证书仅向企业开放申请，即使不法分子想要蒙混过关进行申请，也会因无法通过CA机构严格的身份审查而被拒绝，可以有效应对部署了SSL证书的钓鱼网站的威胁。这里推荐一家靠谱的ca认证机构——天威诚信，它能提供EV SSL证书、OV SSL证书、 DV SSL证书、通配符证书、代码签名证书等产品的一站式服务。

除此之外，企业型OV SSL证书或增强型EV SSL证书均包含了企业的相关信息，用户通过查看SSL证书的详细内容都可以看到网站所属企业的名称，从而确定自己访问的网站是否为真实的官方网站，加强用户信任感。

发现钓鱼网站要不要报警

发现钓鱼网站要报警。钓鱼网站通常指伪装成银行及电子商务，窃取用户提交的银行帐号、密码等私密信息的网站，可用电脑管家进行查杀，钓鱼是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。

钓鱼网站的主要行骗手段

钓鱼网站通过发送大量声称来自于银行或其他知名机构的欺诈性电子邮件和伪造的web网站点来进行诈骗活动，意图引诱访问者提供一些个人信息，如用户名、口令、信用卡密码等内容，从而获取重要信息的一种攻击方式。

怎么辨别一个网站是否是钓鱼网站呢？

一段时间来，假冒网站和木马病毒盗取持卡人银行卡的密码和资金事件频繁发生。相关人士称，识破这些假网站其实并不难。\x0d\x0a\x0d\x0a辽宁科技学院信息工程系刘慧宇老师介绍，犯罪分子的手段并不高明，他们往往是冒充知名公司，特别是银行寄来的电子邮件，诱骗不知情的使用者连上假造的网站，要他们输入使用者名称、密码，或是银行账号等机密信息。\x0d\x0a\x0d\x0a网络钓鱼伎俩不外乎下面几种：\x0d\x0a\x0d\x0aURL欺骗最普遍\x0d\x0a\x0d\x0a刘慧宇老师说，URL欺骗是网络钓鱼最普遍的一种形式，即通过一定的技术手段构建虚假的URL地址，给用户造成错觉以为是在正确的网站上。目前常见的构建虚假URL的方式有三种。\x0d\x0a\x0d\x0a1、显示文字和链接地址不同\x0d\x0a\x0d\x0a例子：百度\x0d\x0a\x0d\x0a以上代码的作用是使得用户在网页或邮件中看到显示的是“百度”，实际上是链接到Google的网站上。识别这类欺骗还是比较简单的，只要将鼠标移动到链接上，就可以在状态栏中看到实际的链接地址。\x0d\x0a\x0d\x0a2、把两个URL和一个表格插入到HTML的href标记中\x0d\x0a\x0d\x0a例子：Google\x0d\x0a\x0d\x0a这类欺骗很难识别，你在网页中看到的网址是Google，即使你把鼠标移动到链接上，在状态栏上看起来依然链接到www．google．com的网站上，可是一旦你单击该链接你才发现，你链接到的是百度的站点。\x0d\x0a\x0d\x0a用户在上网过程中要时常注意地址栏上的URL变化，一旦发现地址栏上的域名发生变化就要提高警惕，只有这样才能有效避免被钓。\x0d\x0a\x0d\x0a3、利用IE的语法错误\x0d\x0a\x0d\x0a例子：百度\x0d\x0a\x0d\x0a在许多没有打过补丁的计算机中，如果把URL地址写成“http：／／www．baidu．com＠www．redhat．com／”或者“http：／／www．baidu．com＠3633633987／”，通过链接栏和地址栏都将看到你链接的是http：／／www．baidu．com，可实际上显示的页面内容是http：／／www．redhat．com，很难想像用户遇到这样的链接会不上当。目前用户能做的就是尽快地给升级系统或打上补丁。\x0d\x0a\x0d\x0a利用跨站脚本漏洞窃取信息\x0d\x0a\x0d\x0a所谓的跨站脚本就是攻击者利用合法网站服务器程序上的漏洞，在站点的某些网页中插入危险的HTML代码，窃取用户信息。\x0d\x0a\x0d\x0a克隆网站成骗钱捷径\x0d\x0a\x0d\x0a由于制作一个网站的成本很低，造假者使用假身份证花几百元很容易申请到一个域名，并租到服务器空间。\x0d\x0a\x0d\x0a1、URL地址克隆\x0d\x0a\x0d\x0a使用和真实网址非常相似的域名，如：中国农业银行的互联网地址是“www．95599．cn”、“easyabc．95599．cn”、“www．abc95599．com”、“www．e95599．com”。近日出现的www．95569．cn（该网站已被查封）和www．95599．cn只有一字之差，然而却是天壤之别。\x0d\x0a\x0d\x0a2、页面形式内容克隆\x0d\x0a\x0d\x0a在假冒网站上使用正规网站的LOGO、图表、新闻内容和链接，惟一区别之处是输入的账号的位置，一旦用户登陆网站，很难通过一般的常识来区别哪个是正规的网站，哪个是假冒网站。\x0d\x0a\x0d\x0a做好预防避免上当\x0d\x0a\x0d\x0a其实最好的自我保护方式不需要多少技术，可从链接来源和使用场合等方面来预防。\x0d\x0a\x0d\x0a1、链接来源\x0d\x0a\x0d\x0a1）对于银行发来的手机短信，应认真核实短信的来源，如涉及到账号问题要和银行进行电话确认。\x0d\x0a\x0d\x0a2）对要求重新输入账号信息，否则将停掉信用卡账号之类的邮件不予理睬。\x0d\x0a\x0d\x0a3）不要回复或者点击邮件的链接，如果你想核实电子邮件的信息，可以使用电话联系。\x0d\x0a\x0d\x0a4）若想访问某个公司的网站，使用浏览器直接访问，输入网址前，有必要确认网址的来源。点击邮件中的链接、短信即时通信工具如QQ、MSN都是不可取的。\x0d\x0a\x0d\x0a5）如果一个网址中含有“＠”符号，应该意识到，一般网址是完全没有必要使用“＠”符号的，因此不要使用这个网址。\x0d\x0a\x0d\x0a2、网上银行安全使用技巧\x0d\x0a\x0d\x0a一个简便的方法可帮你安全地使用网上银行，现以中国工商银行的网站为例进行介绍。\x0d\x0a\x0d\x0a进入网上银行后，在看到输入框时，不要急于输入信息，此时要检查IE是否启用加密链接（看看是不是有小锁的图标），并检查证书是否有效（双击小锁图标，打开“证书”界面，查看其有效期），最好还要检查证书是否与地址栏的地址相匹配（在“证书”界面中选择“证书路径”，并查看“证书路径”最后一项是不是与地址栏中的地址一致）。如果其中一项不符合，那么就要小心了。