并非所有网站都会直接受到威胁，破坏此类网站需要特殊技术。今天，我们将通过称为网络钓鱼的技术来破坏受害者的凭据。

网络钓鱼是一种欺骗受害者的艺术，让受害者认为他们正在使用合法网页进行登录，但在后端，攻击者引诱受害者上当受骗。

为此，必须克隆一个合法的登录页面，该页面应该在受害者输入其凭据并重定向到真实站点（例如 google 或同一站点的原始登录页面）时捕获数据。

为此，我选择了“PayPal”，因为这些骗局正在增加，攻击者继续使用这种社会工程技术赚取赎金。要执行此任务，必须执行特定步骤

1. 克隆登录页面

2. 修改代码和重定向位置

3. 将网页重定向到该位置

4. 捕获凭据!!

1. 我已克隆 PayPal 登录页面：

·正如您在上面看到的，虚假登录页面很难识别并且看起来很原始

2. 接下来，我修改了源代码，以便在用户输入其凭据时，它会被重定向到 PayPal 原始登录页面：

·如您在上面所见，用户输入凭据并被重定向到原始 PayPal 登录页面，而不会弹出错误（这可能会使用户感到困惑）

·此外，可以修改要重定向的页面的位置：

3. 我已捕获 victim_log.txt 中的用户凭证以及时间和详细信息：

减少这些骗局的最佳实践：

由于网络钓鱼攻击如今以诈骗形式盛行，因此我们可以采取以下措施来避免这些技巧：

a） 避免使用 http（或纯文本协议）的交易/购买或访问网站，顾名思义，流量是通过网络以纯文本形式传输的。

b） 避免通过电子邮件中的链接或不来自可信来源的交易，因为如上所述，数据会在用户不知情的情况下被捕获。

c） 使用 google chrome 等浏览器和 outlook 等邮件应用程序，因为它会在继续之前发出警告弹出窗口。

d） 始终使用双因素身份验证 （2FA） 或 MFA。

e） 在打开链接/缩短的 URL 之前对其进行验证。

f） 此外，如果打开电子邮件或下载附件，请在隔离的 VM 中打开它

g） 在进行付款之前，请务必验证商家。

h） 在线交易时不要使用卡进行支付，而是使用虚拟卡进行支付。

这些是我们可以遵循的一些缓解措施来避免通常面临的骗局，例如信用卡欺诈、数据泄露等。

其它课程

linux恶意软件开发对抗与进程安全管理视频教程

linux文件系统存储与文件过滤安全开发视频教程(2024最新)

linux高级usb安全开发与源码分析视频教程

linux程序设计与安全开发

• windows恶意软件开发与对抗视频教程

• windows网络安全防火墙与虚拟网卡（更新完成）

• windows文件过滤(更新完成)

• USB过滤(更新完成)

• 游戏安全(更新中)

• ios逆向

• windbg

• 还有很多免费教程(限学员)

• 

• 更多详细内容添加作者微信

原文始发于微信公众号（安全狗的自我修养）：通过网络钓鱼捕获密码