[其他] 网络钓鱼与水坑攻击

网络钓鱼是一种社会工程攻击，其目标是获取个人信息、凭证、信用卡号或财务数据等敏感信息。
术语“网络钓鱼”是在1996年创造出来的，当时黑客开始窃取美国在线的密码。
网络钓鱼攻击者创建看似真实的电子邮件，要求潜在的受害者单击某个链接，随后进入一个表单，要求用户填写敏感信息。
网络钓鱼攻击者还会创建与合法站点非常相似的Web站点，以获取相同类型的信息。恶意Web站点不仅在外观上与合法的Web站点完全相同，而且攻击者还会提供域名与合法站点地址非常相似的URL。攻击者甚至设计出一些JavaScript命令来向受害者显示一个假冒的Web地址。
当受害者访问合法站点时，某些攻击者会使用弹出式表单来实施攻击。
网址嫁接是另一种类似的攻击，它会将受害者重定向至一个看似合法的、其实是伪造的Web站点。在这种攻击中，攻击者实施DNS中毒攻击，即让DNS服务器将主机名称解析为错误的IP地址。
鱼叉攻击：
当钓鱼攻击时用来欺骗一个特定的目标而不是一大群普通人时，就被称为鱼叉式网络钓鱼攻击。
最常见的做法是，将木马程序作为电子邮件的附件，并起上一个极具诱惑力的名称，发送给目标电脑，诱使受害者打开附件，从而感染木马。

水坑攻击：
所谓"水坑攻击"，是指黑客通过分析被攻击者的网络活动规律，寻找被攻击者经常访问的网站的弱点，先攻下该网站并植入攻击代码，等待被攻击者来访时实施攻击。这种技术也被称为“策略性网页攻击”（swc）。
水坑方法主要被用于有针对性的间谍攻击，而Adobe Reader、Java运行时环境（JRE）、Flash和IE中的零日漏洞被用于安装恶意软件。
由于水坑攻击的实现需要具备很多条件（比如被攻击者访问的网站存在漏洞，浏览器或者其他程序存在漏洞等），因此目前并不常见。
通常情况下，攻击低安全性目标以接近高安全性目标是其典型的攻击模式。低安全性目标可能是业务合作伙伴、连接到企业网络的供应商，或者是靠近目标的咖啡店内不安全的无线网络。多数网站使用的广告网络平台也是实施水坑攻击的有效途径。
但从最新的网络威胁安全报告中可以看到，水坑攻击正在取代社交工程邮件攻击。很多水坑攻击结合零日漏洞，防病毒软件以及其他安全软件很难侦测得到，这也是其备受瞩目的原因之一。