To: rayh4c@80sec.com

MIME头中的FROM字段是可以控制的，我们这里伪造成了admin@gmail.com的地址，而现在所有的邮件服务商对这类匿名邮件并没有提供防护措施，造成的后果是一个钓鱼攻击者能够伪造任何人、任何官方的身份发送钓鱼邮件，而一个普通用户是完全无法辨认信息真伪的。

0×05 浏览器漏洞结合钓鱼技术

浏览器的地址栏欺骗漏洞和跨域脚本漏洞可以实现完美的钓鱼攻击，地址栏欺骗漏洞实现的效果就是互击者可以在真实的URL地址下伪造任意的网页内容，跨域脚本漏洞实现的效果是可以跨域名跨页面修改网站的任意内容，当我们访问一个URL返回给却是互击者可以控制的内容，如果这里伪造是一个钓鱼网页内容，普通用户将无从分辨真伪。浏览器的相关漏洞，具体可以参考liudieyu发现的Chrome浏览器地址栏欺骗漏洞、80sec发现的ms08-058和第三方浏览器的部分漏洞。

这种钓鱼攻击是最严重的，因为这类攻击利用的是客户端软件漏洞，完全不受服务端程序和网络环境的限制，是网站管理员无法控制的，大家只能在知道漏洞的情况下积极打上软件补丁，或使用安全软件修补客户端软件的漏洞。

0×06 如何防范网络钓鱼攻击

网络钓鱼攻击从防范的角度来说也可以分为两个方面，一个方面是对钓鱼攻击利用的资源进行限制，一般钓鱼攻击所利用的资源是可控的，比如WEB漏洞是Web服务提供商可以直接修补的，比如邮件服务商可以使用域名反向解析邮件发送服务器提醒用户是否收到匿名邮件，比如利用IM软件传播的钓鱼URL链接是IM服务提供商可以封杀的。另外一个方面是不可控制的行为，比如浏览器漏洞，大家就必须打上补丁防御攻击者直接使用客户端软件漏洞发起的钓鱼攻击，各个安全软件厂商也可以提供修补客户端软件漏洞的功能。同时各大网站有义务保护所有用户的隐私，有义务提醒所有的用户防止钓鱼，提高用户的安全意识，从两个方面积极防御钓鱼攻击。

0×07 内容关键字匹配URL主动检测钓鱼攻击

现在的网络钓鱼攻击并未做到主动防御，不过欣慰的是可以看到国内如QQ等IM软件，开始提醒用户不要打开未知的不可信的链接，防止用户被欺骗。网络钓鱼攻击还可以通过内容关键字匹配URL进行主动检测，我们知道现在网络上的网页木马等恶意代码横行，杀毒软件提供了查杀网页恶意代码的功能，这类查杀方式最初是使用恶意代码关键字特征进行查杀，而网络钓鱼也是拥有钓鱼关键字，这些关键字大都具有趋利性质，充满了大量的虚假信息，这类信息也是具有特征的，比如中奖、各类银行账号、虚假电话号码等，我们可以按照杀毒软件的模式建立起一个钓鱼的关键字特征库配合URL特征进行匹配分析，在一定程序上主动检测或防御钓鱼攻击。

0×08 后记

除开使用Web攻击技术进行钓鱼，攻击者还可以使用网络协议漏洞进行钓鱼，比如大家已知的ARP攻击、DNS劫持、DHCP劫持漏洞等，总之网络攻击技术是层出不穷的，但防御手段也会随着攻击技术不断更新，只有保持积极防御的态度才能做到最大化的防御。另外补充一点，我国对于网络钓鱼诈骗的立法还不够完善，一些网络钓鱼诈骗在定罪量刑时仍沿用了传统的对定罪量刑标准，不能体现网络犯罪等新型犯罪的特点，比如诈骗金额在2000元以下的罪案并没有在刑法中量刑，这对于网络钓鱼诈骗金额的小额多量的分布式特性是无法很好的取证的，希望国家能进一步完善相关法律。