（*社会工程学攻击是一种利用人的弱点获取系统口令、关键安全信息、金钱利益的攻击方法，这些弱点包括人的本能反应、好奇心、信任、贪便宜等，在此类攻击中通常包括了诸如欺骗、伤害等危害手段，采用传统安全方法无法杜绝社会工程学攻击。）

尽管目前的“钓鱼网站”最终的表现形式仍然是“建立假网站→吸引用户花钱”，但建立假网站之后如何吸引用户，怎么让用户知道这个假网站，访问假网站之后如何增加用户的信任感，如何欺骗搜索引擎从而获取更好的搜索排名，如何把用户被骗的钱取走（银行都是实名制，如有大量的异常资金往来，很难瞒过监管部门），这些环节在以前都让黑客挠头，现在他们想出了种种方法来规避。

下面，瑞星安全专家将对2011年的黑客钓鱼活动进行深入分析。

从黑客建立网站开始，有四个主要环节，建立网站→推广→浏览（建立信任）→支付。在这四个环节当中，黑客尤其对后三个环节不断进行创新，加强推广效果，降低提现难度。

第一、黑客推广钓鱼网站的四大常用手法

根据瑞星研究团队的分析，2011年黑客主要通过搜索引擎攻击（SEA）、IM软件、电子邮件群发、手机短信等四种方式推广钓鱼网站：

（1）搜索引擎攻击SEA（Search Engine Attack）。作为网民获取信息的主要途径，搜索引擎在黑客推广钓鱼网站上起到了不可替代的作用。黑客们会追踪搜索引擎上的热门词汇，针对这些热门词汇做出调整和优化，使得网民在搜索的时候，假网站排在前列。有的甚至花费重金，购买搜索引擎广告。

在搜索引擎攻击中，常见的攻击手法包括：

A、病毒点击。黑客利用自己掌握的“僵尸网络（*注）”搜索热门词，点击其中的钓鱼网站（假网站），让搜索引擎以为“这个网站具有高质量内容，所以很多用户喜欢”，提高钓鱼网站的权值。这样当网民搜索热门词的时候，这些钓鱼网站就会排在正常网站的前面，误导网民。

（注）“僵尸网络”：通过各种手段在大量计算机中植入特定的恶意程序，使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。

B、让钓鱼网站出现在搜索引擎的特定区域。这些特定区域包括：热门词的前三页搜索结果、搜索排行榜、搜索问答的热门话题等。在这些特定区域中，普通用户可以插入内容，比如在百度知道的热门问题中，有关减肥、美容、癌症等内容的答案里。就有若干诈骗类网站的链接；而在排行榜类区域中，除非进行人工干预，否则黑客可以利用病毒、木马来模拟网民搜索行为，从而使得显示的结果失真，这也就是所谓的“恶性SEO（Search Engine Optimization）”

C、热点词优化。这类行为通常发生在某个“门事件”之后，例如“艳照门”、“X卧底”等媒体爆炒的事件之后，主流搜索引擎的结果中会出现大量的恶意网站结果，包括带毒网站、诈骗网站、出售假冒伪劣商品的钓鱼网站等等。

D、购买搜索引擎广告。据媒体报道，湖北一网民在搜索“中国移动湖北网上营业厅”时，搜索引擎提供的广告是钓鱼网站，被骗话费100元（http://henan.qq.com/a/20120104/000031.htm）。2011年12月，公安部经济犯罪侦查局发布警告，列举了多起用户在搜索引擎上遭遇钓鱼诈骗的案例。（http://www.mps.gov.cn/n16/n80227/n80640/3030065.html） 

（网络图片：搜索引擎广告中的钓鱼网站）

E、黑客攻击大型网站，在其中放入钓鱼网站的链接，欺骗搜索引擎，提升钓鱼网站的权值，这样可以使网民误以为所进入的钓鱼网站是大网站的子站或者分站，从而提升钓鱼网站的可信度，使网民更容易受骗。

（2）利用QQ、MSN等IM软件推广钓鱼网站，或直接诈骗

从瑞星的监测结果来看，2011年下半年，通过QQ、MSN等聊天软件推广钓鱼网站，或直接进行诈骗的案例有大幅上升。具体表现形式为，黑客登录窃取的QQ号、MSN账号等，给其好友发送钓鱼网站，或者直接要求好友帮其购买手机充值卡、网游点卡等容易销脏的数字卡产品。中招者无法统计，数量级可能在数万到数十万之间。

2011年12月，MSN中国发表声明，称已经注意到部分MSN用户遇到账号密码被盗的问题，MSN中国非常关注，已经向美国总部汇报，并立即展开了调查，但是被盗账户数量和事件原委截至发稿时还没有最终结果。

（骗子利用MSN盗号诈骗图例）

瑞星安全专家介绍说，这是黑客对国内一些大型互联网站进行了“拖库攻击”，直接窃取大批用户密码，或者通过已泄露的密码去猜测其他网站的密码，在这波攻击中，IM软件未曾幸免。

（3）利用邮件推广钓鱼网址

黑客在网上购买外泄的用户资料，针对性地向某些用户发送钓鱼邮件，这样可以极大地提高诈骗成功率。比如网上可以买到“淘宝每个月的活跃账户”、“当当高级买家账户”等，黑客会向这些已经习惯网购的买家发送钓鱼网址，诈骗钱财。

（4）利用手机短信推广钓鱼网址

黑客在网上购买大批用户资料，利用某些地区对于垃圾短信监管不严的漏洞，使用手机短信群发技术，给特定人群定向发动钓鱼短信，诈骗钱财，出售假冒伪劣商品等，这种方式相对隐蔽，诈骗成功率很高。

第二、黑客加强钓鱼网站信任度的三种常用方法

推广只是让用户“浏览钓鱼网站”，但因为媒体的宣传、有关部门的警告和瑞星这样的专业安全公司持之以恒的努力，现在的网民一般都具有很高的警觉性，在这种情况下，黑客们常用以下三种方法来提升假网站的信任度。

（1）在新浪博客、QQ空间等著名站点建立假网站来加强信任度

传统上，钓鱼网站都会在自己页面上仿制大量伪造的证书、荣誉、PS过的名人照片等，加强自己的信任度。2011年里，黑客们在技术上进行了更高级别的伪装，比如，利用新浪博客、QQ空间等著名网站的子服务来构建假网站，这样空间和域名都是真的，再配上与这些名牌网站相关的“新浪10周年大抽奖”、“腾讯公司倾情回馈用户”，这样对于普通网民来讲，可信程度就会大大增加。

（骗子利用网易博客构建的假网站）

（2）利用相关站点推广来增强信任度

比如，黑客在新浪微博大量发送“您已经中奖了”的消息，再链接到新浪博客上建立的“钓鱼网站”，这样的骗术可信度就会变得很高，足以骗过大多数普通网民。

（3）攻击正常网站，在上面放推广链接

现在很多教育网站、新闻类、科研机构网站的安全防护程度很低，但他们本身的品牌、网站权值、知名度都相当高，甚至被选入百度新闻新闻源、搜搜新闻源，当他们被黑客攻陷后，黑客在其服务器上建立钓鱼网站，当用户在搜索引擎中搜索时，就可能被引导到这些网站上，进而受骗。

（黑客攻击中南大学网站图例）

第三、黑客在支付环节的“创新”

除了“推广”和“加强信任”两个环节之外，黑客在支付环节上的“创新”也不可低估。随着淘宝、支付宝等在人们生活中的广泛应用，网络支付越来越便捷，一些过去很难”销脏”的货物也变得好出手，比如手机充值卡、各种商场超市的预付卡，甚至国外的第三方支付工具等，在网络钓鱼案件中都得到了充分利用。

在某些网络钓鱼案例中，受害网民汇出的款项在几分钟内就被分流到几百个账户中，并在境外被迅速取走，即使公安部门追查到了某些账户，也无法追回款项，给网民带来巨大的损失。过去这种“洗钱”手法通常被境外黑社会利用，现在网络诈骗中也经常遇到这种情况。

除了“洗钱”之外，黑客们还经常利用手机充值卡、网游点卡这种容易变现的工具来获利。比如，在临近2011年底的两三个月，网上出现数百起“手机充值卡诈骗”案例。黑客先窃取QQ密码、MSN账号密码等，再登录受害人的聊天工具，向其好友借钱购买充值卡，“你开通支付宝了吗，帮我买几张神州行充值卡，明天还你”，一旦有人上当，骗子们就会迅速把买到的充值卡廉价卖掉，获取现金。

本节小结

综上所述，在钓鱼网站的各个环节中，黑客们都充分利用了用户的潜意识和心理惯性，例如，人们对于新浪、百度这样的著名公司存在天然的信任感，当一个钓鱼网站从各个方面都标榜自己从属于某个著名公司时，就会获取网民的信任。再比如，很多网民心中都存在着潜意识的“占便宜”心理，免费的东西不管需不需要都去抢，总是盼望天上掉大馅饼，希望有一天“中大奖”，这也就是为什么中奖类诈骗高居所有案例首位的原因。

第四节 国内网站需要踏踏实实加强安全建设

传统上，我们谈到互联网安全，通常会把“病毒、木马、蠕虫、钓鱼网站”挂在嘴边，经过这么多年来的努力，用户在客户端防护上有了巨大的进步。2011年3月18日，瑞星公司毅然宣布个人软件产品永久免费，从根本上打破了用户使用安全软件的价格门槛，可以让所有网民享受到高质量、免费的安全服务。

从本次报告的数据来看，个人端的安全防护比起以往已经有了长足的进步，无论是挂马网站还是钓鱼网站危害程度，比过去都有所上升，但是任重而道远。目前网络安全的主要矛盾已经转移到“普通网民越来越高的安全需求和目前大中型网站的安全投入不足之间的矛盾”。据瑞星公司了解，在目前的大型网站中，安全投入普遍不足，安全人员配备不够，即使一些很著名的互联网站，也只有一两个安全人员，甚至由普通程序员“兼职”。

这种投入不足的情况在短时间内可能不会被用户知晓，但会给整个互联网安全带来巨大安全隐患，而CSDN、天涯等密码泄露，就是这种安全隐患的一次集中爆发。

瑞星安全专家指出，互联网安全的改善和好转，不但需要安全技术的创新和积累，更需要各个厂商踏踏实实的努力，需要与用户资料的安全需求相匹配的安全投入。安全是一切业务的基石，缺乏安全和信任的互联网，将是所有网民、网站和厂商的噩梦。