“網(wǎng)絡釣魚”是當今威脅互聯(lián)網(wǎng)用戶最為常見的一種手段，尤其是在淘寶、天貓、京東等電商購物方式盛行的今天，它會給用戶帶來巨大的經(jīng)濟損失，而且，其手段也從傳統(tǒng)的網(wǎng)站欺騙過渡到電信欺騙等方式，讓用戶防不勝防。雖然電商都在通過反釣魚、網(wǎng)站監(jiān)測等方式來避免被釣魚，用戶還是需要具備一些必要的防御手段來避免“中招”，以減少不必要的經(jīng)濟損失。本文將針對該威脅進行分析，探討其常見手段并介紹一些較為實用的防御方法。

網(wǎng)絡釣魚的真相

網(wǎng)絡釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由于黑客始祖起初是以電話作案，所以用“Ph”來取代“F”，創(chuàng)造了“Phishing”。然而，當今的“網(wǎng)絡釣魚”攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務數(shù)據(jù)，如信用卡號、賬戶用戶名、口令和社保編號等內(nèi)容。詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，在所有接觸詐騙信息的用戶中，有高達5%的人都會對這些騙局做出響應。

“網(wǎng)絡釣魚”就其本身來說，稱不上是一種獨立的攻擊手段，更多的只是詐騙方法，就和現(xiàn)實中的一些詐騙差不多。黑客利用欺騙性的電子郵件和假冒的Web站點來進行詐騙活動，誘騙訪問者提供一些個人信息，如信用卡號、賬戶號和口令、社保編號等內(nèi)容(通常主要是那些和財務、賬號有關(guān)的信息)。黑客通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌單位，因此，受害者往往也是那些和電子商務有關(guān)的服務商和使用者。隨著2005年美國4千萬信用卡信息被竊案的發(fā)生，Phishing事件受到國內(nèi)外的密切關(guān)注。在剛剛過去的2011年，除了傳統(tǒng)的假淘寶網(wǎng)站、假Q(mào)Q網(wǎng)站、假網(wǎng)上銀行網(wǎng)站、六合彩釣魚網(wǎng)站等，黑客又發(fā)展到假sina網(wǎng)站、假機票網(wǎng)站、假火車票網(wǎng)站、假藥品網(wǎng)站等等，可以說，隨著互聯(lián)網(wǎng)應用的增多尤其是電子商務的進一步發(fā)展，“網(wǎng)絡釣魚”正在高速壯大，對網(wǎng)民的威脅越來越大。#p#

警惕網(wǎng)絡釣魚的主要手段

網(wǎng)上黑客采用的“網(wǎng)絡釣魚”方法比較多，歸納起來大致有以下幾種方法：

(1)發(fā)送垃圾郵件 引誘用戶上鉤

該類方法以虛假信息引誘用戶中圈套，黑客大量發(fā)送欺詐性郵件，這些郵件多以中獎、顧問、對賬等內(nèi)容引誘用戶在郵件中填人金融賬號和密碼，或是以各種緊迫的理由(如在某超市或商場刷卡消費，要求用戶核對)，要求收件人登錄某網(wǎng)頁提交用戶名、密碼、身份證號、信用卡號等信息，繼而盜竊用戶資金。

(2)建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站

騙取用戶賬號密碼實施盜竊黑客建立起域名和網(wǎng)頁內(nèi)容都與真正網(wǎng)上銀行系統(tǒng)、網(wǎng)上證券交易平臺極為相似的網(wǎng)站，誘使用戶登錄并輸人賬號密碼等信息，進而通過真正的網(wǎng)上銀行、網(wǎng)上證券系統(tǒng)盜竊資金;還可利用合法網(wǎng)站服務器程序上的漏洞，在該站點的某些網(wǎng)頁中插人惡意Html代碼，屏蔽那些可用來辨別網(wǎng)站真假的重要信息，利用cookies竊取用戶信息。

(3)URL隱藏

根據(jù)超文本標記語言(HTML)的規(guī)則可以對文字制作超鏈接這樣就使網(wǎng)絡釣魚者有機可乘。查看信件源代碼就能很快就找出了其中的奧秘，網(wǎng)絡釣魚者把它寫成了這樣http://www.Bbank.com.cn 這樣屏幕上就顯示了Bbank 的網(wǎng)址而實際上卻鏈接到了Abank的陷阱網(wǎng)站。

(4)利用虛假的電子商務進行作騙

黑客建立電子商務網(wǎng)站，或是在比較知名、大型的電子商務網(wǎng)站上發(fā)布虛假的商品銷售信息，黑客在收到受害人的購物匯款后就銷聲匿跡。除少數(shù)黑客自己建立電子商務網(wǎng)站外，大部分黑客采用在知名電子商務網(wǎng)站上，如“易趣”、“淘寶”、“阿里巴巴”等，發(fā)布虛假信息，以所謂“超低價”、“免稅”、“走私貨”、“慈善義賣”的名義出售各種產(chǎn)品，或以次充好，很多人在低價的誘惑下上當受騙。網(wǎng)上交易多是異地交易，通常需要匯款。黑客一般要求消費者先付部分款，再以各種理由誘騙消費者付余款或者其他各種名目的款項，得到錢款或被識破時，就立即切斷與消費者的聯(lián)系。

(5)利用木馬和黑客技術(shù)竊取用戶信息后實施盜竊

黑客通過發(fā)送郵件或在網(wǎng)站中隱藏木馬等方式大肆傳播木馬程序，當感染木馬的用戶進行網(wǎng)上交易時，木馬程序可獲取用戶賬號和密碼，并發(fā)送給指定郵箱，用戶資金將受到嚴重威脅。

(6)利用用戶弱口令等漏洞破解、猜測用戶賬號和密碼

黑客利用部分用戶密碼設置過于簡單的賬號，對賬號密碼進行破解。目前已有很多的弱口令破解黑客工具在網(wǎng)上可以免費下載，它們可以在很短的時間內(nèi)破解出各類比較簡單的用戶名及密碼。

(7)其他手段

實際上，黑客在實施“網(wǎng)絡釣魚”犯罪活動過程中，經(jīng)常采取以上幾種手法交織、配合進行。值得特別提醒的是：“網(wǎng)絡釣魚”非法活動并不排除有新的手段的出現(xiàn)，并且已經(jīng)不僅限于通過網(wǎng)絡方式，還包括電信詐騙等方式，比如現(xiàn)今泛濫成災的“垃圾手機短信”和”陷阱電話”，其中有部分是詐騙短信，以急迫的口吻要求用戶對并不存在的已消費的“商品”進行買單，或者以熟悉的朋友或者是親人的身份來要求受害人呢提供帳戶和密碼，嚴格地說，它也應當屬于“網(wǎng)絡釣魚”的范疇。所以，推而廣之，任何通過網(wǎng)絡手段(包括通信)進行詐騙和誤導用戶使之遭受經(jīng)濟損之的行為都應當稱之為“網(wǎng)絡釣魚”。#p#

實用的防范策略

個人用戶要避免成為Phishing的受害者，一定要加強安全防范意識，提高安全防范技術(shù)水平，針對性的措施可以歸納如下幾點：

(1)防范垃圾郵件：這是防范網(wǎng)絡釣魚最為重要和關(guān)鍵的一步。當今絕大部分的垃圾郵件都攜帶有網(wǎng)絡釣魚的鏈接，用戶們經(jīng)常受到莫名其妙的郵件，因為好奇而點擊其中的鏈接，隨著而來的便是或被其中的“廉價”或者“偽冒”信息所蠱惑，或者是被安裝上了木馬。因此，利用垃圾郵件防護工具或者主動地對不明郵件提高警惕是防范網(wǎng)絡釣魚的第一要義。

(2)安裝防病毒系統(tǒng)和網(wǎng)絡防火墻系統(tǒng)：這是一個非常必須的步驟，多數(shù)反病毒軟件都具有對包括間諜軟件、木馬程序的查殺功能;防火墻系統(tǒng)監(jiān)視著系統(tǒng)的網(wǎng)絡連接，能夠杜絕部分攻擊意圖并及時報警提醒用戶注意。由于病毒和黑客攻擊手段翻新不斷，防病毒和防火墻系統(tǒng)應及時升級，定期殺毒。

(3)及時給操作系統(tǒng)和應用系統(tǒng)打補丁，堵住軟件漏洞：象Windows操作系統(tǒng)和IE瀏覽器軟件都存在很多已知未知的漏洞，一般廠家在發(fā)現(xiàn)漏洞之后會迅速推出相應的補丁程序，用戶應當經(jīng)跟蹤操作系統(tǒng)和應用程序的官方網(wǎng)站，充分利用廠商的資源，在發(fā)現(xiàn)各種漏洞時第一時間為自己的系統(tǒng)打上安全補丁，避免黑客利用漏洞人侵電腦，減少潛在威脅。

(4)從主觀意識上提高警惕性，提高自身的安全技術(shù)：首先要注意核對網(wǎng)址的真實性，在訪問重要的網(wǎng)站時最好能記住其網(wǎng)絡域名或者IP地址，確保登陸到正確的網(wǎng)站，避免點擊搜索引擎搜索出的鏈接等簡便方法。第二要養(yǎng)成良好的使用習慣，不要輕易登錄訪問陌生網(wǎng)站、黃色網(wǎng)站和有黑客嫌疑的網(wǎng)站，拒絕下載安裝不明來歷的軟件，拒絕可疑的郵件，及時退出交易程序，做好交易記錄及時核對等等。

(5)妥善保管個人信息資料：很多銀行為了保障用戶的安全，設定了登錄密碼(查詢密碼)和支付密碼(取款密碼)兩套密碼，用戶若保證登錄密碼與支付密碼不相同，這樣即使登錄密碼被竊取，網(wǎng)絡釣魚者依然無法操作用戶的資金。盡量選擇安全的密碼，建議選用字母、數(shù)字混合的方式，以提高密碼猜測和破解難度。密碼等個人資料應妥善保管并定期更新，避免將密碼泄露給他人。

(6)采用新的安全技術(shù)：數(shù)字證書是一種很安全的方式，通過數(shù)字證書可以進行安全通信和電子數(shù)字簽名，電子簽名具有法律效力。網(wǎng)上交易在數(shù)字證書簽名和加密的保護下進行網(wǎng)上數(shù)據(jù)的傳送，杜絕了網(wǎng)絡釣魚者使用跨站cookie攻擊以及嗅探偵測的可能。數(shù)字證書具有可復制性，如同家門鑰匙一樣，用戶應妥善保管。對于一些被假冒的機構(gòu)和政府相關(guān)管理部門而言，也應采取相應的措施與Phishing這種犯罪活動做斗爭。例如銀行也可積極采取技術(shù)措施和宣傳活動讓用戶能夠識別真假避免上當。相關(guān)政府職能部門也應溝通合作，及時定位、關(guān)閉這些仿冒網(wǎng)站并從其所有者手中追回被盜的用戶信息，減少直接和潛在損失。