- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全攻防
社工钓鱼之钓鱼网站
文章前言 在社工钓鱼过程中,网站钓鱼是一种较为常见的钓鱼方式,比较常见的思路有以下几种: 第一种:通过购买服务器以及域名自我架设钓鱼网站,之后投放钓鱼网站页面给受害者并诱导其进行认证来窃取用户凭证,更有甚者可以在获取到网站的源码的情况下克隆一个类似的网站 2) Site Cloner //克隆网站 3) Custom Import //自定义的网站 99) Return Step 3:诱导用户访问并进行登录认证 Step 4:之后获取到用户的登录认证密码 Step 5:跳转到正常的网站进行认证 QQ登录网站 实验说明 在这里我们需要自我构造一个QQ登录认证页面 ,之后记录登录认证信息 实验步骤 Step 1:部署服务 Step 2:诱导用户访问 Step 3:成功捕获到用户账户信息 Step 4:提示使用其他方式登录 QQ空间钓鱼 实验说明 伪造一个 QQ空间登录页面,之后诱导用户通过移动端访问并进行身份认证,之后完成钓鱼 实验步骤 钓鱼页面 尝试登录: 之后跳转到正常登录页面: 此时我们的账号密码已在手: 文末小结 本篇文章主要介绍了钓鱼网站的几种示例
2.4K10编辑于 2022-06-23 - 来自专栏技术篇
如何防范钓鱼网站诈骗?
受害人通常采用钓鱼网站支付以及银行转账、第三方支付、扫二维码支付等方式主动向诈骗分子转账。按照劫财方式划分,在钓鱼网站支付的用户占比为64.3%,涉案金额累计2.2亿元;主动转账的用户占33.7%。 图片通过这些数据,我们不难发现,钓鱼网站已经成为电信诈骗中最常见的诈骗手段,也是我们最容易见到的诈骗方式之一。那么,什么是钓鱼网站?诈骗者又是如何通过钓鱼网站来实现诈骗的呢? 图片钓鱼网站通常伪装成为银行网站,窃取访问者提交的账号和密码信息,一般通过电子邮件传播,此类邮件中一个经过伪装的链接将收件人联到钓鱼网站。 钓鱼网站诈骗之所以难以被发现,很大一部分原因是它的存在形式十分灵活,具有非常多的种类,让受害者防不胜防。 网络购物诈骗:骗子往往会利用低价产品诱惑用户进入钓鱼网站,等待用户放松警惕,骗取用户的相关信息完成诈骗。
1.1K30编辑于 2022-09-15 - 来自专栏Windows运维
如何防止钓鱼网站攻击?
启用浏览器内置的安全功能(如“保护您免受恶意软件和危险网站的侵害”)。安装反钓鱼插件(如Web of Trust、Bitdefender TrafficLight等),以实时检测和阻止钓鱼网站。 使用鼠标悬停在链接上查看实际URL,确保其指向合法网站。方法四:启用双重认证(2FA)步骤:在支持的网站和服务中启用双重认证功能。 方法六:教育用户提高安全意识步骤:定期向用户宣传网络安全知识,强调防范钓鱼攻击的重要性。提供实际案例分析,帮助用户识别常见的钓鱼手法。模拟钓鱼攻击演练,测试并提升用户的防范能力。 方法七:使用反钓鱼工具和服务推荐工具:PhishTank:提供全球范围内的钓鱼网站数据库。Google Safe Browsing:实时检测和阻止危险网站。 步骤:访问上述工具的官方网站,查询可疑网站的安全性。将工具集成到浏览器或邮件客户端中,增强防护能力。方法八:监控账户活动步骤:定期检查银行账户、社交媒体等重要账户的活动记录。
1.6K20编辑于 2025-03-23 - 来自专栏数据分析与挖掘
钓鱼网站相关数据
contain_dash 网址是否包含“-”符号,该符号经常帮助用来伪装真网站,比如www.my-taobao.com 。 1表示包含,0表示不包含。 traffic 该网站的流量大小。1表示大,0表示小。 google_rank 该网址在google搜索中的排名。1表示高于同类网站的平均排名,0表示低于同类网站的平均排名。 y 表示网站是否是钓鱼欺诈网站,1表示是,0表示不是。在test.csv中,这是需要被预测的标签;预测时,请提交每个样本为1的概率。 标签:0->合法网站,1->网络钓鱼链接/垃圾邮件链接 数据四 https://github.com/ebubekirbbr/phishing_url_detection/tree/master/dataset
83430编辑于 2022-05-10 - 来自专栏汇智网教程
钓鱼网站检测【机器学习】
本文介绍如何使用机器学习技术检测一个URL是否是钓鱼网站,内容包括数据抓取、特征选择和模型训练等。 我有一个客户的邮箱最近差点被钓鱼网站骗掉。 这使我意识到钓鱼攻击到处都在,我们不应当低估它的危害。 下面是一些钓鱼网站的例子,基本上他们的目的就是骗到你的登录账号和密码。这是一个仿冒Paypal的钓鱼站: ? 这是一个仿冒的游戏站: ? 、邮件、密码等信息- Whois:域名往往是通过GoDaddy等注册商注册的 通过分析我还有以下的发现: 钓鱼攻击者通常会黑进合法的网站来插入钓鱼网页,而不是搭建一个独立域名进行 钓鱼攻击。 有些钓鱼网站可能包含恶意代码而不是直接在浏览器中载入URL。 0.885 原文链接:用机器学习检测钓鱼网站 — 汇智网
4.4K40发布于 2019-09-18 - 来自专栏全栈程序员必看
钓鱼诈骗网站哪里举报_如何识别诈骗
其实这种的一看就是钓鱼或者诈骗网站,不过出于好奇,我还是想把它下下来看一下。 由此,我们可以总结出一种辨别钓鱼网站的方法: 二、识别方法——看域名 域名,也就是俗称的网址、地址。通常当我们打开一个网站的时候,域名会在浏览器标题栏下方,页面内容的上方显示。 比如所谓的“QQ邮箱”登录界面,域名里居然连个qq都没有,这种的就是钓鱼网站无疑了。 但是,即使是知道了这点,还是不足以抵御所有钓鱼网站的欺骗,请看下面这个例子,这是我昨天收到的一封群邮件指向的钓鱼网站(天知道我为什么连着两个天收到这种东西): 该网站的地址为https://mail.qq.com ,一个我混迹网络十几年都没听说过的域名,显示着QQ邮箱的登录界面,这不是钓鱼网站还能是什么?
2.3K10编辑于 2022-09-22 - 来自专栏Reinvent Data Science
基于 Milvus 的钓鱼网站检测
因此,为了减少对钓鱼网站的误报和漏报,本文利用 AutoEncoder 模型对钓鱼网站截图进行图片特征提取。我们对以往收集的各类钓鱼网站进行整理,并对该网址的首页图片进行特征提取。 最后根据匹配结果,再对经过阈值筛选的网站进行域名信息和 whois 信息对比,最终达到检测钓鱼网站的目的。 架构 整体流程 数据收集阶段:收集各类钓鱼网站首页截图。 判断检测结果 得到的高于阈值要求的匹配结果后,因为存在钓鱼网站与真正的网站外观一模一样的情况,所以我们需要进一步查询这些钓鱼网站相对应的正常网站的 whois 信息和域名备案信息,比较它们与查询网站的此类信息 例如,因为钓鱼网站上的域名备案号与钓鱼网站仿冒的正常网站是一样的,所以可以使用正常网站的备案号去查询域名。将正常网站的域名与查询网站进行对比,如果一致则为正常网站,反之为钓鱼网站。 例如,注册时间较短或者有效时间较短的域名更可能是钓鱼网站。 结语 本文介绍了 Milvus 在钓鱼网站检测方面的实践,采用混合查询的方式提升了对钓鱼网站的正确检测率和检测速度。
1.8K30发布于 2020-11-04 - 来自专栏公共互联网反网络钓鱼(APCN)
带你识别和防范钓鱼软件与网站
三、钓鱼网站主要特点与识别方法通过综合分析钓鱼网站域名、网页内容特点,可以更准确地识别钓鱼网站,并采取相应防范措施保护个人信息和财产安全。 (一)钓鱼网站域名的常见特征1.替换字符:钓鱼网站常使用与正规网站相似的域名,如仿冒DeepSeek的钓鱼网站使用“deeepseek”“deepsek”等类似域名。 3.界面设置相似:钓鱼网站会将标识、配色、布局等界面设计成与目标网站几乎一模一样,混肴视听。(三)钓鱼网站的其他主要特征1.使用URL缩短服务或重定向技术来隐藏真实链接地址。 2.几乎不使用有效的SSL证书来加密用户与网站之间的通信。3.基本上不提供隐私政策、有效的联系方式或备案信息。 3.注意异常请求:如果网站要求输入敏感信息(如银行卡号、密码、验证码等),而该网站并非你主动访问的官方网站,应立即关闭。
1.3K10编辑于 2025-10-10 - 来自专栏FreeBuf
NASA网站曝严重漏洞,或将沦为黑客钓鱼网站?
作者丨lin 编辑丨zhou 美国国家航空航天局(NASA)天体生物学专用网站存在一个严重的安全漏洞,可能通过伪装带有NASA名称的危险URL来诱骗用户访问恶意网站。 太空旅行无疑是危险的。 然而,在访问NASA网站的时候也有可能如此。Cybernews研究团队发现了一个NASA天体生物学网站的开放式重定向漏洞。 网络新闻研究人员解释说:攻击者可以利用该漏洞,通过将恶意网址伪装成合法网址,诱使用户访问恶意网站或钓鱼网页。 为什么开放式重定向漏洞是危险的? 利用开放式重定向漏洞可以使恶意行为者进行网络钓鱼攻击,窃取凭证并传播恶意软件。 为了避免此类事故,Cybernews研究团队强烈建议网站验证所有用户输入,包括URL。 为了防止恶意字符被注入URLs,网站管理员还可以使用URL编码。同时,网站所有者可以创建一个可信URL的白名单,只允许重定向到这些URL。防止攻击者将用户重定向到恶意的或未经授权的网站。
44630编辑于 2023-08-08 - 来自专栏公共互联网反网络钓鱼(APCN)
DeepSeek热度飙升,钓鱼网站“趁火打劫”
瑞星安全研究团队发现,部分钓鱼网站正通过高度复刻DeepSeek官方网站界面与域名,以极其隐蔽的手段骗取用户钱财和个人信息。为此,研究团队提醒广大用户,务必提高警惕,谨防落入此类钓鱼陷阱。 骗局一:假冒官网,借机骗钱以骗取钱款为主要目的仿冒DeepSeek的钓鱼网站最常见。 骗局二:骗取登录信息,为“撞库”做准备除了以骗取钱财为目的的钓鱼网站外,研究团队还发现,网上出现了以骗取用户登录信息为目的的仿真DeepSeek网站。 当用户误以为真点击了 “开始对话” 按钮后,便会被引导至看似正常的登录页面,一旦用户按照页面要求输入并提交手机号码、邮箱地址以及密码,钓鱼网站便会重新跳回到初始页面。 3. 慎点不明链接:日常上网过程中,切勿随意点击社交软件、邮件、短信里来路不明的链接,以防被诱导进入钓鱼网站,导致信息泄露和财产损失。4.
45110编辑于 2025-10-09 - 来自专栏全栈程序员必看
Java|JavaScript 模拟钓鱼网站实例一
大家好,又见面了,我是你们的朋友全栈君 本次只是用最简单的方法模拟钓鱼网站。 前端的代码是从网上下载的,我只是做了稍微的修改。 3.用链表存储数据,用另外一个页面打印。 " class="large-header"> <canvas id="demo-canvas"></canvas>
<h3> 后台登录</h3> <form name="formLogin" action="#" name="f" method="post"> <div class="input_outer1.4K20编辑于 2022-09-28来自专栏全栈程序员必看【漏洞挖掘】QQ钓鱼网站实战渗透
这里我直接用了一个信息收集网站,输入域名后自动收集,用nmap扫了扫。 直接报错注入,用extractvalue() (1)条件1:secure_file_priv无限制 (2)条件2:目录权限可读 (3)限制:extractvalue()函数最多读取32个字符 payload extractvalue()函数最多读取32个字符可以使用limit在后面限制输出,第一个数字代表从第几行数据输出,第二个数字代表输出几行数据) payload:u=’and(select extractvalue(3, concat(0x7e,(select user_name from cc_users limit 0,1 ))))# 爆相应的密码 payload:u=’and(select extractvalue(3, 先是通过信息收集,网站源码泄露下载到源码,发现网站后台路径。然后通过网站收集qq密码的页面发现了报错注入,由此得到了后台账号和密码,进入后台。
2.5K20编辑于 2022-09-28来自专栏HACK学习渗透实战之QQ空间钓鱼网站
一看就是钓鱼邮件,话不多说,搞他。 没什么技术含量,看看就好。 0x01 渗透过程 第一部分 直接打开链接 ? 除了登陆可以点击,其他超链接都是假的,也太不敬业了。 这个服务器里面啥都没有,只有几个用来跳转连接的php文件, 就回到开头,继续搞qq钓鱼网站的。 第二部分 QQ钓鱼站的后台,找了一圈没找到。 然后尝试在upupw默认网站路径下写入木马 提示:(Errcode: 2 "No such file or directory") 写入失败,文件夹不存在 然后又尝试了其他路径名,均以失败告终 一筹莫展之际 得到网站物理路径,然后又是愉快的上蚁剑马连接了。 作者:dylan作者博客:dylan‘s blog 本文由公众号HACK学习排版编辑整理
6.5K10发布于 2020-01-14来自专栏F12sec实战 | 钓鱼网站分析(主要是信息收集)
好家伙直接内嵌gov站 那么就是浮窗有问题 好猜得没错 点进去 经典的钓鱼页面,尝试填入数据抓包 好家伙抓不到包,很神奇 那就来波信息收集 IP为: 176.113.68.213 微步查询了一下没什么任何信息 连接上去了 猜对了用websocket传输数据 来试试提交数据看看 当然这些身份证信息都是假的 下一步 {"type":"checkData","data":"eyJlIjoiIiwibSI6IjE3Nzc3NTU1NDQ0IiwibiI6IuW8oOS4iSIsInAiOiIiLCJzIjoiNDQwMTA2MTk4MjAyMDIwNTU1IiwieSI6IiIsIm1pYW5qaSI6IiIsInN1b3phaWRpIjoiIiwiemliZW4iOiIiLCJ3YW5nemhhbiI6IiIsInJlbnNodSI6IiIsImYiOiLlronljZMiLCJpIjoiMTAzIn0
68610编辑于 2022-09-29来自专栏FreeBufMurMurHash:在Shodan平台上寻找钓鱼网站
关于MurMurHash MurMurHash这款工具可以帮助广大研究人员计算一个网站中favicon的MurMurHash值,并在Shodan平台上寻找钓鱼网站。 ? 值得一提的是,MurmurHash3 是与哈希函数测试套件SMHasher一起发布的。 在了解了如何使用favicon哈希来寻找钓鱼网站之后,我便计划将这种概念扩展至通过favicon的URL来在Shodan上实现快速钓鱼网站搜索。 在Shodan上搜索Paypal钓鱼网站域名或IP地址: https://www.shodan.io/search?query=http.favicon.hash%3A309020573 ? 寻找特斯拉钓鱼网站 现在,我们在原始网站上搜索特斯拉图标: ? 在Shodan上搜索特斯拉钓鱼网站域名或IP地址: ? https://www.shodan.io/search?
92820发布于 2021-07-02来自专栏勤奋的思远搭建一个简单的钓鱼网站
一、打开kali终端输入setoolkit 二、依次输入1、2、3、2,每一个输入完按一下enter 三、输入你要克隆的网站的网址,这里要克隆的网站是一个登录界面 然后把他的网址复制到我们的kali里就行了 【报喜公鸡旗舰店】 88=男士潮牌韩版加厚羽绒棉服 88=男士潮牌韩版加厚羽绒棉服 领券下单:https://192.168.0.101 复制这条信息 ¥cBs9csZUOt3¥,打开此网站自动识别领券下单 这时候你在你的钓鱼网站内输入一下账号和密码,会发现命令行有了一串数据 现在做的这些只能在同一个局域网内实现,在同一局域网的小伙伴可以试试玩一下,如果想让外网也能访问该怎么做呢?
3.6K62发布于 2021-02-23来自专栏道言教程关于钓鱼网站的原理以及防范方法
com一个随机生成的链接 …… 相信遇到这种情况的人不少,通常是你的QQ好友账号被盗了之后给你发来的钓鱼链接 钓鱼网站到底是一个什么样的原理呢 我们都知道,在HTML语言里面有一种标签称为表单标签,现在我来为大家展示一个最简单的表单 HTML代码 这串代码会生成一个表单,这个表单的接口是百度的接口 简单来说,你在这个框框里面输入的任何字符都会提交给百度搜索 下面来进行演示: 提交 钓鱼网站的原理和这个差不多,都是通过放置一个表单来获取输入的信息 ,当你在这个看起来像QQ登录的表单里面输入你的账号和密码的时候,你所输入的账号和密码就会提交到表单先前设置的接口里面 你的账号和密码自然也就泄露给了这个钓鱼网站的所有者 那我们怎么进行防范呢 通常来讲你在 ,因为我们都知道QQ的账号和密码都是由数字、符号和英文字符构成,所以你输入中文字符的时候不可能会匹配到结果 但当你输入中文字符时系统显示匹配到结果的时候,你就一定要小心了,因为这个很可能就是一个钓鱼网站 ,你就可以反手给他一个举报 现在的钓鱼网站挣的一个比一个做得逼真,之前我有个朋友做了一个钓鱼网站,用的是QQ的活动分享,做的相当逼真,这里我就不分享出来了 <form action="https:/bbs.qqdaoyan.com
1.2K00发布于 2021-10-09来自专栏谢公子学安全工具的使用 | Social engineering tookit 钓鱼网站
目录 Set 钓鱼攻击 网站克隆 Set(Social engineering tookit)是一款社会工程学工具,该工具用的最多的就是用来制作钓鱼网站。 Kali中自带了该工具。 1) 社会工程学攻击 2) 快速追踪测试 3) 第三方模块 4) 升级软件 5) 升级配置 6) 帮助 99)退出 我们利用它来制作钓鱼网站,选择 1 社会工程学攻击 ,然后又跳出了下面的选择 1) 鱼叉式网络钓鱼攻击 2)网页攻击 3)传染媒介式(俗称木马) 4)建立payloaad和listener 5)邮件群发攻击(夹杂木马啊payload的玩意发给你) 6)Arduino基础攻击 7)无线接入点攻击 攻击方式 99)返回主按钮 我们选择 3 钓鱼网站攻击,然后跳出来下面的选择 1)网站模版 2)设置克隆网站 3)导入自己的网站 99)返回到上一级 如果我们选择1网站模板的话,会提示我们输入POST ,这样就完成了一次钓鱼网站攻击了 网站克隆 网站模板只有几个网站的模板,不能满足我们的需求。
95620编辑于 2022-01-19来自专栏公共互联网反网络钓鱼(APCN)警惕“精准钓鱼”:3起学生受骗事件暴露新型网络钓鱼攻击链
本文结合3起真实案例,揭示当前网络钓鱼攻击的演化路径与技术特征,呼吁全社会提升对“高级持续性钓鱼威胁”(APhT)的认知与防御能力。 案例3:游戏内广告→虚假交易平台→账号冻结话术钓鱼学生X某在热门游戏中点击“代练招募”广告链接,跳转至一个与知名游戏交易平台界面高度相似的钓鱼网站。 钓鱼路径:游戏场景嵌入广告→诱导跳转第三方平台→构造账号风险情境→骗取“解冻”资金技术分析:该钓鱼网站采用UI克隆技术,复制了目标平台的CSS、JS与页面结构,甚至复刻了部分动态交互功能,属于界面仿冒型钓鱼 (三)监管与技术机构1.推动构建全国统一的钓鱼网站与APP快速处置通道;2.加强对非法APP分发渠道的打击;3.加大推广域名真实性验证技术(如DNSSEC、HTTPS证书透明化);4.支持AI驱动的钓鱼内容自动识别与阻断系统研发 结语网络钓鱼攻击已非“低级骗术”,而是系统性网络安全威胁;网络钓鱼不再是简单的“假网站”骗局,而是融合了恶意代码、社会工程、平台滥用、数据诱导的复杂攻击形态。
64110编辑于 2025-10-09来自专栏FreeBuf说说最近的一个电商网站“钓鱼”案例
然而,在这个月我们遇到了上述两种类型(单纯的钓鱼网站和被黑的正常站点)的组合攻击,黑客在被黑的电商站点上更改付款页面的代码,然后将客户定向到第三方钓鱼网站的支付页面。 钓鱼黑客通常会使用电子邮件和钓鱼网站去引诱受害者。而在今天介绍的案例中,攻击者直接在被黑的合法电商网站上,劫持了付款页面。 虚假的付款页面 当客户在为商品进行支付时,他们会打开付款页面。 但实际上,他们打开的并不是该电商网站支付页面,而是黑客钓鱼网站的支付页面 钓鱼付款页面 它看起来确实像是正常的付款页面,如果受害者是第一次在该网站买东西,不看地址栏的话他们甚至意识不到已经转到一个完全不同的网站 当然,这里其实是cwcargo钓鱼网站。 当您输入您的登录信息后,钓鱼的php脚本/Checkout/PayPal-login/POST.php,会试图窃取你的PayPal登录信息。 处于某种原因,它还会将你导向bluepay.com网站。 我们发现这些付款钓鱼页面,并没有被谷歌官方列入钓鱼站黑名单,所以我们向谷歌进行了报告。
3K70发布于 2018-02-08
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号