釣魚

網絡釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由於黑客始祖起初是以電話作案，所以用“Ph”來取代“F”，創造了“Phishing”。然而，當今的“網絡釣魚”攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務數據，如信用卡號、賬户用户名、口令和社保編號等內容。詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，在所有接觸詐騙信息的用户中，有高達5%的人都會對這些騙局做出響應。

“網絡釣魚”就其本身來説，稱不上是一種獨立的攻擊手段，更多的只是詐騙方法，就和現實中的一些詐騙差不多。黑客利用欺騙性的電子郵件和假冒的Web站點來進行詐騙活動，誘騙訪問者提供一些個人信息，如信用卡號、賬户號和口令、社保編號等內容(通常主要是那些和財務、賬號有關的信息)。黑客通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌單位，因此，受害者往往也是那些和電子商務有關的服務商和使用者。隨着2005年美國4千萬信用卡信息被竊案的發生，Phishing事件受到國內外的密切關注。在剛剛過去的2011年，除了傳統的假淘寶網站、假QQ網站、假網上銀行網站、六合彩釣魚網站等，黑客又發展到假sina網站、假機票網站、假火車票網站、假藥品網站等等，可以説，隨着互聯網應用的增多尤其是電子商務的進一步發展，“網絡釣魚”正在高速壯大，對網民的威脅越來越大 ^[1]  。

網上黑客採用的“網絡釣魚”方法比較多，歸納起來大致有以下幾種方法：

(1)發送垃圾郵件 引誘用户上鈎

該類方法以虛假信息引誘用户中圈套，黑客大量發送欺詐性郵件，這些郵件多以中獎、顧問、對賬等內容引誘用户在郵件中填人金融賬號和密碼，或是以各種緊迫的理由(如在某超市或商場刷卡消費，要求用户核對)，要求收件人登錄某網頁提交用户名、密碼、身份證號、信用卡號等信息，繼而盜竊用户資金。

(2)建立假冒網上銀行、網上證券網站

騙取用户賬號密碼實施盜竊黑客建立起域名和網頁內容都與真正網上銀行系統、網上證券交易平台極為相似的網站，誘使用户登錄並輸人賬號密碼等信息，進而通過真正的網上銀行、網上證券系統盜竊資金;還可利用合法網站服務器程序上的漏洞，在該站點的某些網頁中插人惡意Html代碼，屏蔽那些可用來辨別網站真假的重要信息，利用cookies竊取用户信息。

(3)URL隱藏

根據超文本標記語言(HTML)的規則可以對文字製作超鏈接這樣就使網絡釣魚者有機可乘。查看信件源代碼就能很快就找出了其中的奧秘，網絡釣魚者把它寫成了這樣。這樣屏幕上就顯示了Bbank 的網址而實際上卻鏈接到了Abank的陷阱網站。

(4)利用虛假的電子商務進行作騙

黑客建立電子商務網站，或是在比較知名、大型的電子商務網站上發佈虛假的商品銷售信息，黑客在收到受害人的購物匯款後就銷聲匿跡。除少數黑客自己建立電子商務網站外，大部分黑客採用在知名電子商務網站上，如“易趣”、“淘寶”、“阿里巴巴”等，發佈虛假信息，以所謂“超低價”、“免税”、“走私貨”、“慈善義賣”的名義出售各種產品，或以次充好，很多人在低價的誘惑下上當受騙。網上交易多是異地交易，通常需要匯款。黑客一般要求消費者先付部分款，再以各種理由誘騙消費者付餘款或者其他各種名目的款項，得到錢款或被識破時，就立即切斷與消費者的聯繫。

(5)利用木馬和黑客技術竊取用户信息後實施盜竊

黑客通過發送郵件或在網站中隱藏木馬等方式大肆傳播木馬程序，當感染木馬的用户進行網上交易時，木馬程序可獲取用户賬號和密碼，併發送給指定郵箱，用户資金將受到嚴重威脅。

(6)利用用户弱口令等漏洞破解、猜測用户賬號和密碼

黑客利用部分用户密碼設置過於簡單的賬號，對賬號密碼進行破解。已有很多的弱口令破解黑客工具在網上可以免費下載，它們可以在很短的時間內破解出各類比較簡單的用户名及密碼。

(7)其他手段

實際上，黑客在實施“網絡釣魚”犯罪活動過程中，經常採取以上幾種手法交織、配合進行。值得特別提醒的是：“網絡釣魚”非法活動並不排除有新的手段的出現，並且已經不僅限於通過網絡方式，還包括電信詐騙等方式，比如現今氾濫成災的“垃圾手機短信”和”陷阱電話”，其中有部分是詐騙短信，以急迫的口吻要求用户對並不存在的已消費的“商品”進行買單，或者以熟悉的朋友或者是親人的身份來要求受害人呢提供賬户和密碼，嚴格地説，它也應當屬於“網絡釣魚”的範疇。所以，推而廣之，任何通過網絡手段(包括通信)進行詐騙和誤導用户使之遭受經濟損之的行為都應當稱之為“網絡釣魚” ^[1]  。

個人用户要避免成為Phishing的受害者，一定要加強安全防範意識，提高安全防範技術水平，針對性的措施可以歸納如下幾點：

(1)防範垃圾郵件：這是防範網絡釣魚最為重要和關鍵的一步。當今絕大部分的垃圾郵件都攜帶有網絡釣魚的鏈接，用户們經常受到莫名其妙的郵件，因為好奇而點擊其中的鏈接，隨着而來的便是或被其中的“廉價”或者“偽冒”信息所蠱惑，或者是被安裝上了木馬。因此，利用垃圾郵件防護工具或者主動地對不明郵件提高警惕是防範網絡釣魚的第一要義。

(2)安裝防病毒系統和網絡防火牆系統：這是一個非常必須的步驟，多數反病毒軟件都具有對包括間諜軟件、木馬程序的查殺功能;防火牆系統監視着系統的網絡連接，能夠杜絕部分攻擊意圖並及時報警提醒用户注意。由於病毒和黑客攻擊手段翻新不斷，防病毒和防火牆系統應及時升級，定期殺毒。

(3)及時給操作系統和應用系統打補丁，堵住軟件漏洞：像Windows操作系統和IE瀏覽器軟件都存在很多已知未知的漏洞，一般廠家在發現漏洞之後會迅速推出相應的補丁程序，用户應當經跟蹤操作系統和應用程序的官方網站，充分利用廠商的資源，在發現各種漏洞時第一時間為自己的系統打上安全補丁，避免黑客利用漏洞人侵電腦，減少潛在威脅。

(4)從主觀意識上提高警惕性，提高自身的安全技術：首先要注意核對網址的真實性，在訪問重要的網站時最好能記住其網絡域名或者IP地址，確保登陸到正確的網站，避免點擊搜索引擎搜索出的鏈接等簡便方法。第二要養成良好的使用習慣，不要輕易登錄訪問陌生網站、黃色網站和有黑客嫌疑的網站，拒絕下載安裝不明來歷的軟件，拒絕可疑的郵件，及時退出交易程序，做好交易記錄及時核對等等。

(5)妥善保管個人信息資料：很多銀行為了保障用户的安全，設定了登錄密碼(查詢密碼)和支付密碼(取款密碼)兩套密碼，用户若保證登錄密碼與支付密碼不相同，這樣即使登錄密碼被竊取，網絡釣魚者依然無法操作用户的資金。儘量選擇安全的密碼，建議選用字母、數字混合的方式，以提高密碼猜測和破解難度。密碼等個人資料應妥善保管並定期更新，避免將密碼泄露給他人。

(6)採用新的安全技術：數字證書是一種很安全的方式，通過數字證書可以進行安全通信和電子數字簽名，電子簽名具有法律效力。網上交易在數字證書籤名和加密的保護下進行網上數據的傳送，杜絕了網絡釣魚者使用跨站cookie攻擊以及嗅探偵測的可能。數字證書具有可複製性，如同家門鑰匙一樣，用户應妥善保管。對於一些被假冒的機構和政府相關管理部門而言，也應採取相應的措施與Phishing這種犯罪活動做鬥爭。例如銀行也可積極採取技術措施和宣傳活動讓用户能夠識別真假避免上當。相關政府職能部門也應溝通合作，及時定位、關閉這些仿冒網站並從其所有者手中追回被盜的用户信息，減少直接和潛在損失 ^[1]  。

安全專家表示，安全網購應遵循以下5條要訣：

1、遵循相關平台的本身規則與流程。

2、接收交易方發來的鏈接和文件要謹慎。

3、加強安全意識，安裝專業的殺毒軟件，保持上網環境安全。

4、建議使用支付產品，要定期為電腦進行漏洞修復、木馬查殺。

5、最後遇到釣魚就要第一時間向公安機關報案，盡力挽回損失。