一. 什么是网络钓鱼？

网络钓鱼（ Phishing ）一词，是 “Fishing” 和 “Phone” 的综合体，由于最早黑客是通过电话作案，所以人们将二词合缀，用 “Ph” 来取代 “F” ，创造了 ”Phishing” 。

“ 网络钓鱼 ” 攻击利用欺骗性的电子邮件和伪造的 Web 站点来进行诈骗活动，诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，引诱受骗者泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。在所有接触诈骗信息的用户中，有高达 5% 的人都会对这些骗局做出响应。

二. 网络钓鱼的常用手段有哪些？

1. 发送电子邮件，以虚假信息引诱用户中圈套。

钓鱼者以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。令人担忧的是， 这些欺骗性的电子邮件和 Web 站点，正看起来越来越 “ 完美 ” ，也越来越 “ 可信 ” 。

例如， 2004 年 11 月出现的 Mimail.J 病毒，伪装成由 Paypal 网站寄出的信息，表示收件者的账户将在 5 个工作日后失效，要求用户更新个人信息，才能重新启动账户。

2.  建立假冒网上银行、网上证券网站，骗取用户账号密码实施盗窃。

伪造网站通常与第一种垃圾邮件的手法结合运用，钓鱼者建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，当用户正确输入账号和密码后，页面上则显示输入错误，接着弹出的网页则是真的网站，而用户第二次输入账号和密码后，发现可以正常操作，让用户误以为第一次真的输入了错误的账号和密码，这样犯罪分子神不知鬼不觉地盗取了用户的账号和密码；还有的利用跨站脚本，即利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意 Html 代码，屏蔽住一些可以用来辨别网站真假的重要信息，利用 cookies 窃取用户信息。进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金。

有的钓鱼者技术高招，能够利用了 IE 的图片映射地址欺骗漏洞，精心设计脚本程序， 使用 javascript 做出一个显示假地址的弹出窗口遮挡住了 IE 浏览器的地址栏， 让呈现出来的网址与假冒公司的官方网址完全相同 。如 2005 年 2 月份发现的一种骗取美邦银行（ Smith Barney ）用户的账号和密码的 “ 网络钓鱼 ” 电子邮件，即利用了这一漏洞，使用户无法看到网站的真实地址。当用户使用未打补丁的 Outlook 打开此邮件时，状态栏显示的链接是虚假的。当用户点击链接时，实际连接的是钓鱼网站 http://**.41.155.60:87/s 。该网站页面酷似 Smith Barney 银行网站的登陆界面，而用户一旦输入了自己的账号密码，这些信息就会被黑客窃取。

而另一些钓鱼者则利用数字 1 和 l 相似， 1 和 i 相似的特点，蒙蔽受害者，如曾出现过以 http://www.1cbc.com.cn 假冒银行网站 http://www.icbc.com.cn 的案例。 2004 年 7 月就曾出现过以 http://www.1enovo.com 假冒 http://www.lenovo.com ，利用联想公司的名义散布虚假消息，引诱用户访问的“网络钓鱼”案例。用户一旦访问该网站，首先生成一个弹出窗口，上面显示 “ 免费赠送 QQ 币 ” 的虚假消息。而就在该弹出窗口出现的同时，恶意网站主页面在后台即通过多种 IE 漏洞下载病毒程序 lenovo.exe （ TrojanDownloader.Rlay ），并在 2 秒钟后自动转向到真正网站主页，用户在毫无觉察中就感染了病毒。病毒程序执行后，将下载该网站上的另一个病毒程序 bbs5.exe ，用来窃取用户的传奇帐号、密码和游戏装备。当用户通过 QQ 聊天时，还会自动发送包含恶意网址的消息。
 

3. 利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。

黑客的手法越来越高明，通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序， 利用间谍或木马程序监看用户的账号跟密码， 甚至 随时监控用户的 URL 浏览记录，观察并掌握其登录行为，以窃取更多的机密资料。 如在 被感染的机器上根植 “ 击键信息收集器 ”(Keyloggers) ， 当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码。 又如 2004 年网上出现的盗取某银行个人网上银行帐号和密码的木马 Troj_HidWebmon 及其变种，它甚至可以盗取用户数字证书。再如木马 “ 证券大盗 ” ，它可以通过屏幕快照将用户的网页登录界面保存为图片，并发送给指定邮箱。黑客通过对照图片中鼠标的点击位置，就很有可能破译出用户的账号和密码，从而突破软键盘密码保护技术，严重威胁股民网上证券交易安全。

4. 利用虚假的电子商务进行诈骗。

此类犯罪活动往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹。如 2003 年，罪犯佘某建立 “ 奇特器材网 ” 网站，发布出售间谍器材、黑客工具等虚假信息，诱骗顾主将购货款汇入其用虚假身份在多个银行开立的帐户，然后转移钱款的案件。

除少数不法分子自己建立电子商务网站外，大部分人采用在知名电子商务网站上，如 “ 易趣 ” 、 “ 淘宝 ” 、 “ 阿里巴巴 ” 等，发布虚假信息，以所谓 “ 超低价 ” 、 “ 免税 ” 、 “ 走私货 ” 、 “ 慈善义卖 ” 的名义出售各种产品，或以次充好，以走私货充行货，很多人在低价的诱惑下上当受骗。网上交易多是异地交易，通常需要汇款。不法分子一般要求消费者先付部分款，再以各种理由诱骗消费者付余款或者其他各种名目的款项，得到钱款或被识破时，就立即切断与消费者的联系。

5. 利用用户弱口令等漏洞破解、猜测用户账号和密码。

有的 “ 钓鱼者 ” 还利用用户 贪图方便设置 口令过于简单的漏洞，对银行密码进行破解。 如 2004 年 10 月，三名犯罪分子从网上搜寻某银行储蓄卡卡号，然后登陆该银行网上银行网站，尝试破解弱口令，并屡屡得手。

实际上， “ 钓鱼者 ” 在实施网络诈骗的犯罪活动过程中，经常采取以上几种手法交织、配合进行，还有的通过手机短信、 QQ 、 msn 进行各种各样的 “ 网络钓鱼 ” 不法活动。

三. 个人如何防范网络钓鱼的欺骗？

网络钓鱼需要通过网络诈骗攻击来实现，通过网站进行诈骗的技巧包括：网络假广告、网络臭虫和恶意网页。如何避免被网络钓鱼 “ 钓上 ” ，安全专家有以下几点建议：

1. 针对电子邮件欺诈，广大网民如收到有如下特点的邮件就要提高警惕，不要轻易打开和听信：一是伪造发件人信息，如 ABC@abcbank.com ；二是问候语或开场白往往模仿被假冒单位的口吻和语气，如 “ 亲爱的用户 ” ；三是邮件内容多为传递紧迫的信息，如以帐户状态将影响到正常使用或宣称正在通过网站更新帐号资料信息等；四是索取个人信息，要求用户提供密码、帐号等信息。还有一类邮件是以超低价或海关查没品等为诱饵诱骗消费者。

2. 针对假冒网上银行、网上证券网站的情况，广大网上电子金融、电子商务用户在进行网上交易时要注意做到以下几点：一是核对网址，看是否与真正网址一致；二是选妥和保管好密码，不要选诸如身份证号码、出生日期、电话号码等作为密码，建议用字母、数字混合密码，尽量避免在不同系统使用同一密码；三是做好交易记录，对网上银行、网上证券等平台办理的转账和支付等业务做好记录，定期查看 “ 历史交易明细 ” 和打印业务对账单，如发现异常交易或差错，立即与有关单位联系；四是管好数字证书，避免在公用的计算机上使用网上交易系统；五是对异常动态提高警惕，如不小心在陌生的网址上输入了账户和密码，并遇到类似 “ 系统维护 ” 之类提示时，应立即拨打有关客服热线进行确认，万一资料被盗，应立即修改相关交易密码或进行银行卡、证券交易卡挂失；六是通过正确的程序登录支付网关，通过正式公布的网站进入，不要通过搜索引擎找到的网址或其他不明网站的链接进入。

3.  针对虚假电子商务信息的情况，广大网民应掌握以下诈骗信息特点，不要上当：一是虚假购物、拍卖网站看上去都比较 “ 正规 ” ，有公司名称、地址、联系电话、联系人、电子邮箱等，有的还留有互联网信息服务备案编号和信用资质等；二是交易方式单一，消费者只能通过银行汇款的方式购买，且收款人均为个人，而非公司，订货方法一律采用先付款后发货的方式；三是诈取消费者款项的手法如出一辙，当消费者汇出第一笔款后，骗子会来电以各种理由要求汇款人再汇余款、风险金、押金或税款之类的费用，否则不会发货，也不退款，一些消费者迫于第一笔款已汇出，抱着侥幸心理继续再汇；四是在进行网络交易前，要对交易网站和交易对方的资质进行全面了解。

4.  其他网络安全防范措施。一是安装防火墙和防病毒软件，并经常升级；二是注意经常给系统打补丁，堵塞软件漏洞；三是禁止浏览器运行 JavaScript 和 ActiveX 代码；四是不要上一些不太了解的网站，不要执行从网上下载后未经杀毒处理的软件，不要打开 msn 或者 QQ 上传送过来的不明文件等；五是提高自我保护意识，注意妥善保管自己的私人信息，如本人证件号码、账号、密码等，不向他人透露；尽量避免在网吧等公共场所使用网上电子商务服务。

四.  作为钓鱼诱饵的商业机构又该如何应对？

1. 加大制作网站的难度

从技术手段上来说，为避免被 “ 网络钓鱼 ” 冒名，最重要的是加大制作网站的难度。具体办法包括： “ 不使用弹出式广告 ” 、 “ 不隐藏地址栏 ” 、 “ 不使用框架 ” 等。这种防范是必不可少的，因为一旦网站名称被 “ 网络钓鱼 ” 者利用的话，企业也会被卷进去，所以应该在泛滥前做好准备。

2.  对用户进行适当教育

用户安全意识的提高能降低 “ 网络钓鱼 ” 的风险，严格执行的安全策略、良好的安全习惯、安全技术的提高，可以大幅度减少 “ 网络钓鱼 ” 成功的几率。任何一家大型在线企业都将 “ 对用户进行适当教育 ” 放在应对 “ 网络钓鱼 ” 举措之首。花旗银行在主页的底部设有一个明显链接，以提醒用户注意有关电子邮件诈骗的问题。

3.  加强验证手段

网络用户需要一种透过浏览器进行的双向身份认证系统，让网络服务商和用户都能确实掌握对方。在远期的全球验证项目包括发送者策略框架（ Sender Policy Framework ）、 Yahoo DomainKeys 建议和微软的 Caller-ID 到来之前， 在线品牌还应当通过简单、易用的方式对合法的电子邮件进行验证。常被人冒充的 eBay 发出警告称，即使发信人写的是 “support@ebay.com” 和 “billing@ebay.com” 等内容，也不见得就是来自 eBay 的邮件。而银行应该在发出的电子邮件里启用数位电子签名，现在技术的发展，让 “ 验明正身 ” 更加简单，一旦网络钓鱼者试图伪造一个数字签名，收件人就会收到一条警告信息。当然，用户必须学会识别电子签名。

4.  建立确认机制

Web 站点也需要利用某些确认机制来证明自己的合法性。因此，专业身份确认企业 CoreStreet 最近在其 Web 站点上贴出一种被称为 Spoofstick 的免费浏览器助手。当用户在合法的站点，请注意在 URL 框的下方会出现一个明显的注释，并显示 “You're on yahoo.com 。 ” 如果用户被骗到了一个伪造的站点，该注释便会显示 “You're on 10.19.32 .4 。 ” 而 eBay 已经为它的工具栏添加了一项新的服务，称为账户保镖。这项服务可以告诉用户是否处于 eBay 和 PayPal 的合法站点上。如果当用户将 eBay 的口令输入到未经确认的网站上时， eBay 还会进一步向用户发出警告信。

5.  阻断非法链接

有些 ISP 可以阻止用户被引导到名声不好的 Web 站点上。例如，当 AOL 的客户报告自己收到了垃圾邮件，那么包含在这封垃圾邮件中的链接都将被添加到一个受阻站点列表中。当用户点击这些链接，它们显示出的都是错误页面。但这一技术也有可能阻断那些提供真正商业服务的合法链接。美国 EarthLink 于 2005 年 4 月 19 日 推出了具有防止 “ 网络钓鱼 ” 功能的工具条，当用户试图访问确认的诈骗网站，该工具条将会发出警告，并且将用户重定向到 EarthLink 公司的 WWW 网页。而以防堵网站存取起家的 Websense ，也将 “ 网络钓鱼 ” 或恶意网站列入防堵项目之一。

6.  实行域名监视

监视可以使受害者的数量大幅度减少。 EarthLink 就使用一种服务，当有人注册与自己公司类似的品牌时，该服务会发出警告，目的是确认该网站是否会通过 ‘ 网络钓鱼 ' 的方式冒充 EarthLink 。 ” 美国万事达国际信用卡公司和 NameProtect 公司 6 月 21 日 宣布为打击 “ 网络钓鱼 ” 建立合作关系，利用 NameProtect 实时检测网上犯罪的技术，监视域名、 Web 网页、公告板以及垃圾邮件等。

7.  及时处理用户反馈，积极打击假冒网站和其他相关的违法行为。

在线企业的客户中心对类似 “ 为什么每次登陆都得输入两次账号和密码？ ” 之类的投诉，就要想到是否有 “ 网络钓鱼 ” 的可能，因为 “ 网络钓鱼 ” 者通常 “ 劫持 ” 第一次数据，而用户再一次登陆才进入了真正的页面。

五.  网络钓鱼的破坏性体现在哪些方面？

“ 网络钓鱼 ” 已经开始显现出其巨大的破坏力。根据 Pew Internet Life 的调查，消费者对电子邮件的信心已经降到了有史以来的最低点。 Cyota 最近针对在线银行账户持有者的一项调查表明， 74% 的被调查者表示，由于此项威胁，自己不太可能对来自银行的电子邮件做出回复，而且进行在线购物的可能性降低了。这意味着，一些合法商业机构如果无法阻止其品牌被欺骗活动继续利用，其在线渠道将可能部分或者彻底失去。

电子商务的成功与否，取决于消费者对网上购物的信任程度。经过许多年才建立起来的商家和消费者之间的信任和客户关系，只需要一次重大安全事故就可以在瞬间毁于一旦。 Gartner 公司高级副总裁和研究董事 Litan 说： “ 金融机构、互联网服务提供商和其他服务商必须严肃地解决 ‘ 网络钓鱼 ' 问题，如果不能极大地减少这种诱饵攻击，那么消费者对在线交易的信任感将会逐渐被侵蚀，最终所有网络交易的参加者都会受到伤害。 ”

受损的还有商业机构的品牌。 MI 2G 执行总裁 DK Matai 指出： “ 虽然在很多情况下，品牌所有者并没有错，但这些在线品牌应当具备足够的能力，并用更多的心思来防止消费者犯错误。 ”

除了信任， “ 网络钓鱼 ” 也会给企业和个人带来一些更直接的损失。如果诈骗者钓到用户的信用卡账户信息，无论对于持卡者还是销售商都面临着风险。另外，为每个用户发行新的信用卡、账号和密码大约需要 50 多美元，如果是大量客户被钓，成本也是非常惊人的。