网络钓鱼:违法行为-中文百科频道

基本定义

攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。

危害

中国互联网络信息中心和国家互联网应急中心在京联合发布《2009年中国网民网络信息安全状况调查系列报告》。《报告》数据显示，2009年，52%的网民曾遭遇过网络安全事件，网民处理安全事件所支出的相关服务费用共计153亿元人民币。同时这份报告显示，网民安全意识仍有待进一步提升。相比于高发的网络安全事件，仍有4.4%的网民个人计算机未安装任何安全软件，不足8%的手机网民安装手机安全防护软件。网络事件给21.2%的网民带来了直接经济损失，包括网络游戏、即时通信等账号被盗造成的虚拟财产损失，网银密码、账号被盗造成的财产损失，以及因网络系统、操作系统瘫痪、数据、文件等丢失或损坏，对其找回或修复产生的费用等。

简介

最典型的是将收信人引诱到一个通过精心设计、与目标组织的网站非常相似的钓鱼网站（官方外观的假冒网站）上，并欺诈性地获取收信人在此网站上输入的个人敏感信息（比如口令和信用卡细节），通常这个攻击过程不会让受害者警觉。

在美国和英国已经开始出现专门反对的组织，越来越多在线企业、技术公司、安全机构加入到组织的行列，比如微软、戴尔都宣布设立专案分析师或推出用户教育计划，微软还捐出4.6万美元的软件，协助防治。

防止在这类网站受害的最好办法就是记住正宗网站的网址，并当链接到一个银行网站时，对香港亦有多宗案例，指有网站假冒并尚未开设网上银行服务的银行，利用虚假的网站引诱客户在网上进行转账，但其实把资金转往网站开设者的账户内。而从2004年开始，有关诈骗亦开始在中国大陆出现，曾出现过多起假冒银行网站，比如假冒的中国工商银行网站。

如何防备

基本提示

不要在网上留下可以证明自己身份的任何资料，包括手机号码、身份证号、银行卡号码等。

不要把自己的隐私资料通过网络传输，包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ、MSN、Email等软件传播，这些途径往往可能被黑客利用来进行诈骗。

不要相信网上流传的消息，除非得到权威途径的证明。如网络论坛、新闻组、QQ等往往有人发布谣言，伺机窃取用户的身份资料等。

不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。

如果涉及到金钱交易、商业合同、工作安排等重大事项，不要仅仅通过网络完成，有心计的骗子们可能通过这些途径了解用户的资料，伺机进行诈骗。

不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等，除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息，而骗子们往往喜欢这样进行诈骗。

个人用户

1、提高警惕，不登录不熟悉的网站，键入网站地址的时候要校对，以防输入错误误入狼窝，细心就可以发现一些破绽。

2、不要打开陌生人的电子邮件，更不要轻信他人说教，特别是即时通讯工具上的传来的消息，很有可能是病毒发出的。

3、安装杀毒软件并及时升级病毒知识库和操作系统（如Windows）补丁。

4、将敏感信息输入隐私保护，打开个人防火墙。

5、收到不明电子邮件时不要点击其中的任何链接。登录银行网站前，要留意浏览器地址栏，如果发现网页地址不能修改，最小化IE窗口后仍可看到浮在桌面上的网页地址等现象，请立即关闭IE窗口，以免账号密码被盗。

企业用户

1、安装杀毒软件和防火墙。

2、加强电脑安全管理，及时更新杀毒软件，升级操作系统补丁。

3、加强员工安全意识，及时培训网络安全知识。

4、一旦发现有害网络，要及时在防火墙中屏蔽它。

5.为避免被“网络钓鱼”冒名，最重要的是加大制作网站的难度。具体办法包括：“不使用弹出式广告”、“不隐藏地址栏”、“不使用框架”等。这种防范是必不可少的，因为一旦网站名称被“网络钓鱼”者利用的话，企业也会被卷进去，所以应该在泛滥前做好准备。

被骗之后的应对

1、停止共享敏感信息。如果员工已经泄露了敏感的信息，应立即报告。企业要教育员工立即与经理、服务台工作人员，或与网络管理员、安全人员联系。后者要采取措施更改口令，或监视网络的异常活动。

2、请求银行等机构采取措施。如果员工共享了财务信息，或认为财务信息遭到了泄露，应立即与相关机构联系。请求其监视账户的异常活动和费用，甚至在必要时关闭账户。

3、保护口令。如果怀疑口令遭到了泄露，应立即更改。公司应教育员工不能在多个系统或账户上使用相同的口令。要尽最大努力确保所有的口令都完全不同。

揭秘钓鱼

某服装公司的张经理带着员工来到郊外一个鱼塘进行垂钓活动。张经理放置好钓具后，便打开了随身携带的笔记本电脑并连上网络，他想利用这点时间处理一下最近的一笔生意。秘书劝他：“经理，今天是游玩的日子，难得放松一下，今天还是不要处理公司业务了吧……您不怕钓竿被鱼叼走了？”张经理对秘书笑了笑，看着身前的钓竿缓缓说道：“都说姜太公钓鱼，愿者上钩，但是如果不知道提竿的时机，即将到手的鱼也会溜走的。等这笔生意谈妥，我再休息也不迟。”

生意终于谈妥，客户把货款转入张经理的银行账户，张经理笑了：“这条大鱼终于被我钓到了。”然后他登上网络银行账户查看转账情况。当页面上显示出账户剩余金额时，账户里原来的存款不翼而飞，页面里惟有客户刚刚转入的货款。

张经理做梦也没想到，这一次，他成了别人钓上的鱼，而且是大鱼。

警察正在分析张经理那台笔记本电脑硬盘里的数据，由于无法得知张经理最后一次登录网络银行的时间，而且系统里也没有感染任何偷盗账号的后门程序，一个分析员无意中打开了Foxmail，发现最后一封信件是银行发送的，主题为“XX网络银行关于加强账户安全的通告”，分析员预测案件与这封信件有重大关系，这是一封HTML网页模板的信件，内容大意为银行为了加强账户安全而升级了系统，请各位客户尽快重新设置账户密码，末尾还给出了设置密码的URL链接。

分析员马上查看信件源代码，这个邮件的作者采用了“看的一套，进的一套”这种简单的欺骗手法，而这个所谓的更改密码页面，当然伪造得与真正的银行页面完全一致，但是它的“更改密码”功能却是把账号和密码发送到了幕后的“垂钓者”手上，然后“垂钓者”登录上真正的网络银行改了受害者设置的密码，并顺手牵羊把银行账户里的存款转移掉。

看到警报的提示，我们可以手动进行反钓鱼攻击的检测程序，或者打开自动检测检测功能。另外，还可以向微软汇报一个带有钓鱼攻击的站点URL，微软的网上数据库会将此地址收入，并提供给其他用户作为参考。采用这种群策群力对抗系统威胁的方式，使得遭受攻击的可能性大大降低。