釣魚攻擊是獲得使用者敏感資訊的一種方法。釣魚攻擊的目標通常是線上銀行使用者、PayPal、eBay等。

主要形式：

1.電子郵件釣魚

群發郵件，欺騙使用者點選惡意的連結或附件，獲取有價值的資訊。

2.網站釣魚

在網站上偽造一個網站，通常是模仿合法的某個網站。為了欺騙使用者點選這個網站還會採取些輔助技術，比如釣魚郵件，簡訊，電話啊。

3.魚叉式釣魚

經常也需要使用一個欺騙性的網站，但誘餌針對一小群目標受眾。

4.鯨釣

目標為高階人群或高階管理人員的魚叉式釣魚。

在瀏覽器中通常有兩個階段:
(1)偽造網站
(2)傳送釣魚郵件

1.偽造網站
想好要偽造什麼網站後，可以有如下選擇：
1.從頭構建網站，就是比較花時間

2.釣魚郵件
有了網站，就要想著通過什麼方式讓使用者上鉤，通常是傳送釣魚郵件。
需要以下的步驟:
1.生成電子郵件地址列表。
工具有：Maltego,theHavester,Recon-ng等
2.郵件群發器

瞭解了下一些反釣魚機制

1.SPF記錄
SPF是為了防範垃圾郵件而提出來的一種DNS記錄型別，它是一種TXT型別的記錄，它用於登記某個域名擁有的用來外發郵件的所有IP地址。
2.SafeBrowsing API
谷歌的一個隨時可以通過網際網路訪問的API,允許允許瀏覽器在渲染之前檢測URL的正確性。