研究人员注意到了一些新型的钓鱼攻击。网络罪犯使用了一些新的手段，防止引起注意，并让行动更加有效。

越来越多的网络犯罪小组注意到，针对公司高管的钓鱼攻击的利润也许极其丰厚，但针对普罗大众的攻击也可能收获颇丰。因此，许多恶意行为源正在尝试改进攻击手段。

一、错误配置的临时URL

本月早些时候，Sucuri报告称发现了一种攻击者在钓鱼攻击中使用的新技巧。网络罪犯需要每隔一段时间就更改钓鱼页面的域名，防止被安全产品封堵，现在他们似乎找到了获取此类域名的新方式。

研究人员表示，攻击者利用了一种现状：多数托管服务提供商，甚至是一些大型的，都没能够正确配置临时URL。这类URL的大体样子是http://server-name/~username/，它们的作用是让用户在将网站链接到域名之前进行测试。

当这些临时URL配置不正确时，就可以通过同一服务器上的任意域名访问某个用户的文件。攻击者可以在共享服务器上注册一个账号，上传自己的钓鱼页面，并编制一份该服务器上所有其它站点的名单。

如果没有正确设置临时URL，就可以通过邻近的任意域名访问钓鱼页面。比如，如果攻击者将钓鱼页面上传到了自己网站上的/~attacker/phishing目录下，这个目录也将可以通过邻近的域名访问到，比如neighbor-site1.xyz/~attacker/phishing和neighbor-site2.xyz/~attacker/phishing。

Sucuri研究人员Denis Sineguboko在发表的一篇博文中解释称：“因此，一个服务器账户就可以给予攻击者数百个不同的域名，供其恶意页面免费使用。他们可以频繁更换域名，而不用暴露恶意文件的真实位置，如果域名被列在黑名单中，也不用将自己的文件移动到其它位置上。”

这种技巧已经出现在了真实世界里，Sucuri公司已经观察到的案例中，合法的网站被裂锦了黑名单，因为它和恶意站点托管在了同一个服务器上。

网站拥有者可以通过尝试访问自己的域名，比如http://your-domain.com/~yourusername，来确定自己是否受到了影响。如果它有效，就说明托管服务提供商没有正确地配置临时URL。

二、使用JavaScript静默窃取凭据

一位英国的研究人员使用的网名是dvk01uk，他报告称发现了一封PayPal钓鱼邮件，它利用了一种聪明的技巧欺骗收信人，让其认为自己提交的详细信息的确被提交到了PayPal的服务器上。

这封电子邮件告知用户其账户存在异常活动，并请求他们下载附件中的HTML文件并提交相关信息。有趣的是，表格中的提交按钮看上去指向的是合法的PayPal域名。

经过进一步分析，研究人员发现攻击者实际上使用了JavaScript来拦截提交的数据，并将其发送到钓鱼者的服务器，与此同时将受害者重定向到合法的PayPal网站。

dvk01uk解释称：“这一JavaScript在HTML附加被加载的瞬间就开始运行，它会拦截所有发送向PayPal.com的数据，并将其转向真正的钓鱼网站，记录你的所有详细信息，而你的浏览器仍会访问正常的PayPal网页。如果你不太小心，有可能被这个小技巧骗到。”

“这种方式绕过了大多数反钓鱼和防护技术，比如大多数工具栏、钓鱼过滤器和反病毒工具。它们目前只会查找提交按钮指向的URL，而不会检查与之链接的JavaScript文件。”

如果不使用HTML附件，而是在邮件中直接使用看上去合法的真实域名链接，这种方法将效果更好。