釣魚網站

早期的案例主要在美國發生，但隨着亞洲地區的因特網服務日漸普遍，有關攻擊亦開始在亞洲各地出現。從外觀看，與真正的銀行網站無異，但卻在用户以為是真正的銀行網站而使用網絡銀行等服務時將用户的賬號及密碼竊取,從而使用户蒙受損失。防止在這類網站受害的最好辦法就是記住正宗網站的網址，並當鏈接到一個銀行網站時，對網址進行仔細對比。在2003年,中國香港地區亦有多宗案例，指有網站假冒並尚未開設網上銀行服務的銀行，利用虛假的網站引誘客户在網上進行轉賬，但其實把資金轉往網站開設者的賬户內。而從2004年開始，有關詐騙亦開始在中國內地出現，曾出現過多起假冒銀行網站比如假冒的中國工商銀行網站 ^[3]  。

網絡釣魚利用人類常見的各種感情，如信任、恐懼、貪和善良，幾乎所有的網絡的魚都涉及社會工程學的技巧。例如，人們收到銀行這類影響力很大的商務郵件時，很多人都不曾懷疑信件的真實性，更會下意識地根據要求打開郵件裏面指定的URL進行操作；其次，頁面打開後，我們通常都只會留意頁面內容而不會注意瀏覽器地址欄的顯示，正是這點讓“垂釣者”有了可乘之機。其實“垂釣者”們可以利用E的URL欺騙漏洞把自己偽裝得更像一回事似的，只是現在E普遍打了補丁，這種情況下還使用這個漏洞就會“不打自招”了，所以只有極少數“垂釣者”會採用這個方法，有的“垂釣者”根本連個看起來“比較正規”的域名都沒有，而是採用P地址形式甚至直接光明正大把真實地址顯示在瀏覽器的地址欄裏。因為他們知道，除非出現意外情況，否則大部分人根本是不會注意瀏覽器的地址欄的 ^[3]  。

另外的釣魚方式利用了人類的貪婪。常見的手法比如讓收到郵件的用户填寫一個表單，以便得到職位、獎金或者禮物。在聖誕節前，釣魚者發出很多釣魚郵件，引誘用户説：“聖誕節將至，我們正在組織促銷活動，請單擊下面的鏈接使用你的賬號和密碼登錄以獲取獎品” ^[3]  。

“網絡釣魚”(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由於早期的黑客起初是以電話作案，所以用“Ph”來取代“F”，創造了“Phishing”，Phishing的發音與Fishing相同。網絡釣魚其實就是網絡上眾多誘騙手法之中的一種，由於它的手段基本就是通過網絡，用一些誘餌(如假冒的網站)靜靜等待使用者上當，很像現實生活中的釣魚過程，所以就被稱之為“網絡釣魚” ^[4]  。

網絡釣魚攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務數據，如信用卡號、帳户用户名和口令等內容。詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的站點，在所有接觸詐騙信息的用户中，有高達5%的人都會對這些騙局做出響應 ^[4]  。

為了消除越來越多的以網絡釣魚和電子郵件欺騙的形式進行的身份盜竊和欺詐行為，相關行業成立了一個協會——反網絡釣魚工作小組。它是一個聯合機構，目前擁有2300多名成員，包括1500多家公司和機構(包括美國十大銀行中的八家、美國五個互聯網服務提供商中的四家、眾多的IT企業、國家法律執行機構和立法機構)。反網絡釣魚工作小組的目標是排除欺詐行為並且識別由網絡釣魚、域名欺騙以及電子郵件詐騙等引起的偷竊行為 ^[4]  。

像垃圾郵件一樣，釣魚 (英語叫做 phishing) 是一種未經允許的電子郵件形式。儘管一些垃圾郵件可能只不過是討厭的廣告，而釣魚則是試圖從用户手中進行詐騙。不幸的是，人們落入了它的圈套。釣魚是指用電子郵件作“魚餌”，從而騙取訪問金融賬户必需信息的一種手段。通常，電子郵件會看起來像來自一家合法公司。它試圖誘惑用户把賬號和相關密碼給他們。電子郵件經常解釋説，公司記錄需要更新，或者正在修改一個安全程序，要求用户確認你的賬户，以便繼續使用 ^[2]  。

從表面上看很難辨別這封電子郵件是否是詐騙。像垃圾郵件一樣，來自釣魚黑客的電子郵件通常在電子郵件地址中包含偽造的“發件人”或者“回覆”標題，使電子郵件看起來像來自一家合法公司。除了欺騙的“發件人”或者“回覆”地址之外，偽造子郵件通常基於HTML。第一眼可能看起來像真的一樣。電子郵件經常包含真正的商標，看起來擁有真正公司的網站地址。建議用户“小心”保管密碼。電子郵件的所有的表象和措詞都用來使它看起來是真的 ^[2]  。

然而，當用户查看HTML(電子郵件內的電腦代碼)時，用户可以看到網站地址是偽造的，點擊鏈接實際上會把你帶到另一個位置。它經常會把你帶到一個看起來一樣的外國網站。這些網站只是暫時開放，設計得跟真的一模一樣，從而誘惑你輸入你的登錄信息和密碼。一旦他們獲得信息，就會試圖從用户的帳户中匯錢出去，或者收取費用 ^[2]  。

偽裝成淘寶的釣魚網站(2張)

釣魚的一種常見做法是在電子郵件中包含一個表格，供收件人填寫自己的姓名、賬號、密碼或者PIN號 ^[2]  。

現在大多數用户都已經比較清楚垃圾郵件的特徵，並且有很多反垃圾郵件的技術，利用電子郵件進行的網絡釣負也是垃圾郵件的一種。不過網絡釣魚在很多方面和一般垃圾郵件有所不同，理解這些不同點對設計反網絡釣魚技術至關重要，下面列舉一些網絡釣魚和一般垃圾郵件的主要區別 ^[4]  ：

網絡鈎魚和一般垃圾郵件之間第一個重要的區別是網絡釣魚攻擊所用的消息和技術具有更大的迷惑性。網絡釣魚所用的消息往往被仔細地偽裝成知名的、可信的財務機構。很多反垃圾郵件過濾系統不能區分網絡魚郵件和來自這些機構的正常郵件。網絡釣魚者還經常利用操作系統、Web服務器以及瀏覽器等的漏洞來愚弄過濾和檢測軟件、哄騙用户，並且偷竊儘可能多的信息。和一般垃圾郵件相比，網絡釣魚所採用的技術更接近於黑客和病毒 ^[4]  。

網絡的魚和一般垃圾郵件的另一個不同點在於網絡的魚所有的消息有更明確的目標。一般垃圾郵件發送者為了實現更高的迴應率往往向儘可能多的收件人發送垃圾郵件，而網絡釣魚者往往細心地選擇一些電子郵件地址作為目標。網絡鈎魚者不但要提高迴應率，而且還要逃避少數類似垃圾郵件蜜罐系統的特殊檢測系統的檢測 ^[4]  。

網絡釣魚和一般垃圾郵件的第三個區別是網絡釣魚攻擊都比較短暫。網絡釣魚攻擊的生存期都比較短，常常只有幾個小時。相應的，一般垃圾郵件常常會頻繁地、大量地發送。由於網絡釣魚是明確的犯罪行為，因此，受到比一般垃圾郵件更大的約束，短暫性的攻擊可以讓網絡釣魚者逃避檢測 ^[4]  。

網絡的魚和一般垃圾郵件最後一個重要的區別就是它的動態特性。網絡釣魚攻擊和它所使用的站點都是動態的，會很快地改變服務器。一般垃圾郵件使用已知的站點為產品做廣告，而網絡釣魚者把用户重定向到一個模仿財務機構的臨時站點。網絡的魚者往往利用服務器操作系統或者Web服務軟件的漏洞,將自己需要的內容安裝在一個正常的站點上。如果這些攻擊過程採用自動化的網絡釣魚工具來完成(如結合病毒技術)，那麼當一個被攻擊的站點被發現並且關閉以後，還可以有其他站點來補充，因此，很難追溯到攻擊的源頭 ^[4]  。

第一、查驗“可信網站”

通過第三方網站身份誠信認證辨別網站真實性。不少網站已在網站首頁安裝了第三方網站身份誠信認證——“可信網站”，可幫助網民判斷網站的真實性。 “可信網站”驗證服務，通過對企業域名註冊信息、網站信息和企業工商登記信息進行嚴格交互審核來驗證網站真實身份，通過認證後，企業網站就進入中國互聯網絡信息中心（CNNIC）運行的國家最高目錄數據庫中的“可信網站”子數據庫中，從而全面提升企業網站的誠信級別，網民可通過點擊網站頁面底部的“可信網站”標識確認網站的真實身份。網民在網絡交易時應養成查看網站身份信息的使用習慣，企業也要安裝第三方身份誠信標識，加強對消費者的保護 ^[2]  。

第二、核對網站域名

假冒網站一般和真實網站有細微區別，有疑問時要仔細辨別其不同之處，比如在域名方面，假冒網站通常將英文字母I被替換為數字1，CCTV被換成CCYV或者CCTV－VIP這樣的仿造域名 ^[2]  。

第三、比較網站內容

假冒網站上的字體樣式不一致，並且模糊不清。仿冒網站上沒有鏈接，用户可點擊欄目或圖片中的各個鏈接看是否能打開 ^[2]  。

第四、查詢網站備案

通過ICP備案可以查詢網站的基本情況、網站擁有者的情況，對於沒有合法備案的非經營性網站或沒有取得ICP許可證的經營性網站，根據網站性質，將予以罰款，嚴重的關閉網站 ^[2]  。

第五、查看安全證書

大型的電子商務網站都應用了可信證書類產品，這類的網站網址都是“https”打頭的，如果發現不是“https”開頭，應謹慎對待 ^[2]  。

中國反釣魚網站聯盟成員單位包括：工商銀行、農業銀行、中國銀行、建設銀行、華夏銀行、光大銀行、銀河證券、騰訊、淘寶、支付寶等幾十家金融機構和電子商務網站，以及中國萬網、中企動力、廈門中資源、廈門華商盛世、阿里巴巴、ChinaSpringboardInc.等國內主要的域名註冊服務機構。“中國反釣魚網站聯盟”並非官方機構，它的成員包括了域名管理機構、註冊服務機構，以及銀行證券類、電子商務類、網絡安全類等企業，目的就是為了發現和治理“釣魚網站”，主要是針對假冒其成員單位的“釣魚網站”。該聯盟在接到涉及聯盟成員的投訴後，權威技術鑑定機構會立即對其進行判定，一經認定，兩個小時內暫停其域名解析，終止欺詐行為。從處理的及時性上大大降低了“釣魚網站”所造成的危害 ^[5]  。