網絡釣魚仍然是當今企業面臨的最大和最不確定的威脅之一，這兩年RiskIQ安全組織處理了大量與網絡攻擊有關的網絡釣魚事件。利用自己開發的網絡安全檢測軟件，RiskIQ安全組織已從各種渠道收集到了可能是釣魚的網址，在利用網頁抓取工具對這些網址進行檢查后，RiskIQ安全組織還以實際用戶的身份進入到這些網址進行了真實檢測，最后通過RiskIQ安全組織的機器學習技術分析出最后的結果，以對每個檢測到的網絡釣魚進行分類識別。

那些釣魚網頁的基礎架構通常采用兩種形式：自維護的自定義基礎結構和被濫用或攻擊的屬于其他人的基礎結構。以下是被濫用或被攻擊的屬于其他人的基礎結構的電子郵件的釣魚頁面的實例。

另外，RiskIQ安全組織在網上查看一些資料，找到了這個釣魚工具的其他例子:

• llyyuia.com/sendmail/index2.htm
• brazilconsul.cc/teste/drop/index2.htm
• alpinenatureexperience.com.au/wp-admin/js/prank/solorous/sendmail/index2.htm
• www.corneliacafe.com/css/sendmail/index2.htm
• www.genest.com.mx/sendmail/index2.htm
• infonetcomm.com/css/sendmail/index2.htm
• www.ciembolivia.com/js/sendmail/index2.htm
• www.webkeyit.com/sendmail/index2.htm
• eduquersonenfant.com/wp-admin/css/sendmail/index2.htm
• folhadojalapao.com.br/wp-admin/css/sendmail/index2.htm
• pdqmei.com/wp-admin/css/sendmail/index2.htm
• www.pdqmei.com/wp-admin/css/sendmail/index2.htm
• reisu.com/sendmail/index2.htm

正如你所看到的，這些釣魚示例的名稱中似乎有一個主題，每個URL都包含“sendmail”。另外，每個釣魚網站的設計中都非常相似。

當RiskIQ安全組織探索這些頁面時，首先檢查主機是否受到攻擊（大多數是這樣的），如果是的話，找出攻擊發生的位置。當然有一些明顯的例子，比如URL中有'/ wp-admin /'路徑，這表明它可能是一個WordPress樣本。在上述釣魚攻擊中，當從其URL中刪除尾隨文件名'index2.htm'時，某些主機會顯示出釣魚工具包的結構：

可以有三個文件-index2.htm，sub.php和rop.php，RiskIQ安全組織可以在以上給出的鏈接中找到對'rop.php'的引用。釣魚頁面的來源顯示，它是通過POST請求將被盜的憑證發送到此腳本的。

由RiskIQ網絡爬蟲工具捕獲的被盜憑證

至于sub.php，RiskIQ安全組織目前還對它的功能一無所知。通過挖掘這個釣魚工具包的更多實例，RiskIQ安全組織發現了另一個目錄索引，只是這次釣魚工具包的實例已經消失，但是，攻擊者在惡意軟件安裝后就離開了。

網絡釣魚釣魚工具包的安裝

RiskIQ安全組織在打開disruptive.zip文件并查看后，發現它包含RiskIQ安全組織在上面目錄列表中找到的所有三個文件，以下就是RiskIQ安全組織找到的rop.php的源代碼。

RiskIQ安全組織從而可以發現大多數釣魚工具使用的盜取證書的一般方法——發送一封帶有憑證的電子郵件。RiskIQ安全組織找到了犯罪分子的電子郵件地址parkerfred2.0@mail.ru。RiskIQ安全組織還可以看到sub.php的用法，其中用戶在發出憑證后被重定向，其中包含以下內容。

該腳本會將受害者重定向到Microsoft Windows網站上的特定頁面，通過挖掘這個釣魚工具包的更多實例，RiskIQ安全組織發現了另一個zip文件的情況。

包含zip文件的Phish kit結構

在這個zip文件中，RiskIQ安全組織還看到了rop.php中的一個電子郵件地址，它與RiskIQ安全組織的數據有一些有趣的聯系。RiskIQ安全組織發現的電子郵件地址是langmesserpp@gmail.com，你可以在PassiveTotal的WHOIS搜索中找到鏈接到單個域的信息。

langmesserpp@gmail.com的WHOIS

該網站本身就有不少IP的信息，但目前都已經失效。有趣的是，這個域名與一個名為'McClean Law Group'的佛羅里達州律師事務所的域名mccleanlawgroup.com非常相似。不過，除了名稱相似之外，RiskIQ安全組織沒有發現這兩個網站的其他相似內容。