网络钓鱼是一种网络攻击形式，攻击者伪装成合法实体以诱骗个人泄露敏感信息，例如密码、信用卡号或其他个人详细信息。 而随着互联网资产多样性的增加，出现了越来越多不同类型的钓鱼方，从本文开始，会介绍一些常见的钓鱼方法。

一、链接操控

通过链接操控诱导用户访问恶意网站链接操纵是指更改或修改链接以欺骗用户或达到恶意目的的行为。 它涉及更改链接的目标或行为，以将用户重定向到意外或有害的网站或操纵他们的行为。

1.使用子域

使用场景

对于不熟悉子域概念的非技术用户，非常有效。

假设你收到知名银行 xyz 的邮件，要求你提供凭证并点击www.xyzbank.user.com若没有技术背景，你会认为这个链接指向的是 xyz 银行的“user”版块。实际上，它指向的是 www.user.com 的“xyzbank”版块。虽然域名唯一，子域名却不唯一，所以域名拥有者无法阻止他人将自己的域名用作其他域名的子域。

可利用性

对非技术用户比较有效。

2.隐藏URL

使用场景1

将实际的 URL 隐藏于纯文本下。

显示的并不是实际的 URL，而是诸如“点击这里”或“订阅”这样的字眼，点击这些文字就会进入钓鱼网站。但有些邮件会显示实际的 URL 链接，如 www.americanexpress.com，以便看起来更为可信。点击这个链接进入的实际上是其他网站。

使用场景2

使用 tinyurl 或 bit.ly 等 URL 简化工具。

创建缩短的链接，这些链接重定向到组织受控环境中的模拟网络钓鱼页面。

3.错误拼写URL

使用场景

URL劫持或误植域名。

使用常用域名的拼写变体申请域名，例如 facebok.com、googlle.com、yahooo.com 等，然后搭建类似网站，欺骗用户访问并提供个人信息。

可利用性

无需通过邮件诱骗用户访问，只需要一个小小的输入错误吸引大量用户。

4.视觉欺骗

国际域名(IDN)中支持全球大多数语言，而这些语言中有大量同形不同意的字符。

访问 CobaltStrike.com 网站的用户可能会进入另一个用西里尔字母“С”代替拉丁字母“C“的同名网站。此外，相似字符也可能被用来欺骗用户。例如，大写的 i(I)和小写的 L(l)看起来差不多，零(0)和大写字母 o(O)更是一模一样。还有一些其他的案例：0 D O、1 l L i I、3 m、4 A、5 S、6 b、13 B，当然还有一些其他的特殊语言：阿拉伯语、西里尔文、希伯来文和其他非拉丁字母的字符。

二、网站伪造

1.网站伪造

使用场景

模仿真实网站搭建恶意网站，诱骗访问用户提供账户详细信息、密码、信用卡号码等敏感信息。

可以使用SET（Social Engineer Toolkit, SET）工具包自建模板或克隆已有网站，并提供多种攻击payload供选择，达到一键制造伪装网站的效果

2.网站漏洞利用

使用场景

利用目标网站存在的漏洞。

如果目标网站存在XSS跨站漏洞，则攻击者可以像页面植入恶意代码，通过静默方式收集用户Cookie、密码、社交信息(jsonp方式)、弹框提示用户重新输入账号密码等。