網絡釣魚:違法行為-中文百科頻道

基本定義

攻擊者利用欺騙性的電子郵件和僞造的Web站點來進行網絡詐騙活動，受騙者往往會洩露自己的私人資料，如信用卡号、銀行卡賬戶、身份證号等内容。詐騙者通常會将自己僞裝成網絡銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。

危害

中國互聯網絡信息中心和國家互聯網應急中心在京聯合發布《2009年中國網民網絡信息安全狀況調查系列報告》。《報告》數據顯示，2009年，52%的網民曾遭遇過網絡安全事件，網民處理安全事件所支出的相關服務費用共計153億元人民币。同時這份報告顯示，網民安全意識仍有待進一步提升。相比于高發的網絡安全事件，仍有4.4%的網民個人計算機未安裝任何安全軟件，不足8%的手機網民安裝手機安全防護軟件。網絡事件給21.2%的網民帶來了直接經濟損失，包括網絡遊戲、即時通信等賬号被盜造成的虛拟财産損失，網銀密碼、賬号被盜造成的财産損失，以及因網絡系統、操作系統癱瘓、數據、文件等丢失或損壞，對其找回或修複産生的費用等。

簡介

最典型的是将收信人引誘到一個通過精心設計、與目标組織的網站非常相似的釣魚網站（官方外觀的假冒網站）上，并欺詐性地獲取收信人在此網站上輸入的個人敏感信息（比如口令和信用卡細節），通常這個攻擊過程不會讓受害者警覺。

在美國和英國已經開始出現專門反對的組織，越來越多在線企業、技術公司、安全機構加入到組織的行列，比如微軟、戴爾都宣布設立專案分析師或推出用戶教育計劃，微軟還捐出4.6萬美元的軟件，協助防治。

防止在這類網站受害的最好辦法就是記住正宗網站的網址，并當鍊接到一個銀行網站時，對香港亦有多宗案例，指有網站假冒并尚未開設網上銀行服務的銀行，利用虛假的網站引誘客戶在網上進行轉賬，但其實把資金轉往網站開設者的賬戶内。而從2004年開始，有關詐騙亦開始在中國大陸出現，曾出現過多起假冒銀行網站，比如假冒的中國工商銀行網站。

如何防備

基本提示

不要在網上留下可以證明自己身份的任何資料，包括手機号碼、身份證号、銀行卡号碼等。

不要把自己的隐私資料通過網絡傳輸，包括銀行卡号碼、身份證号、電子商務網站賬戶等資料不要通過QQ、MSN、Email等軟件傳播，這些途徑往往可能被黑客利用來進行詐騙。

不要相信網上流傳的消息，除非得到權威途徑的證明。如網絡論壇、新聞組、QQ等往往有人發布謠言，伺機竊取用戶的身份資料等。

不要在網站注冊時透露自己的真實資料。例如住址、住宅電話、手機号碼、自己使用的銀行賬戶、自己經常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。

如果涉及到金錢交易、商業合同、工作安排等重大事項，不要僅僅通過網絡完成，有心計的騙子們可能通過這些途徑了解用戶的資料，伺機進行詐騙。

不要輕易相信通過電子郵件、網絡論壇等發布的中獎信息、促銷信息等，除非得到另外途徑的證明。正規公司一般不會通過電子郵件給用戶發送中獎信息和促銷信息，而騙子們往往喜歡這樣進行詐騙。

個人用戶

1、提高警惕，不登錄不熟悉的網站，鍵入網站地址的時候要校對，以防輸入錯誤誤入狼窩，細心就可以發現一些破綻。

2、不要打開陌生人的電子郵件，更不要輕信他人說教，特别是即時通訊工具上的傳來的消息，很有可能是病毒發出的。

3、安裝殺毒軟件并及時升級病毒知識庫和操作系統（如Windows）補丁。

4、将敏感信息輸入隐私保護，打開個人防火牆。

5、收到不明電子郵件時不要點擊其中的任何鍊接。登錄銀行網站前，要留意浏覽器地址欄，如果發現網頁地址不能修改，最小化IE窗口後仍可看到浮在桌面上的網頁地址等現象，請立即關閉IE窗口，以免賬号密碼被盜。

企業用戶

1、安裝殺毒軟件和防火牆。

2、加強電腦安全管理，及時更新殺毒軟件，升級操作系統補丁。

3、加強員工安全意識，及時培訓網絡安全知識。

4、一旦發現有害網絡，要及時在防火牆中屏蔽它。

5.為避免被“網絡釣魚”冒名，最重要的是加大制作網站的難度。具體辦法包括：“不使用彈出式廣告”、“不隐藏地址欄”、“不使用框架”等。這種防範是必不可少的，因為一旦網站名稱被“網絡釣魚”者利用的話，企業也會被卷進去，所以應該在泛濫前做好準備。

被騙之後的應對

1、停止共享敏感信息。如果員工已經洩露了敏感的信息，應立即報告。企業要教育員工立即與經理、服務台工作人員，或與網絡管理員、安全人員聯系。後者要采取措施更改口令，或監視網絡的異常活動。

2、請求銀行等機構采取措施。如果員工共享了财務信息，或認為财務信息遭到了洩露，應立即與相關機構聯系。請求其監視賬戶的異常活動和費用，甚至在必要時關閉賬戶。

3、保護口令。如果懷疑口令遭到了洩露，應立即更改。公司應教育員工不能在多個系統或賬戶上使用相同的口令。要盡最大努力确保所有的口令都完全不同。

揭秘釣魚

某服裝公司的張經理帶着員工來到郊外一個魚塘進行垂釣活動。張經理放置好釣具後，便打開了随身攜帶的筆記本電腦并連上網絡，他想利用這點時間處理一下最近的一筆生意。秘書勸他：“經理，今天是遊玩的日子，難得放松一下，今天還是不要處理公司業務了吧……您不怕釣竿被魚叼走了？”張經理對秘書笑了笑，看着身前的釣竿緩緩說道：“都說姜太公釣魚，願者上鈎，但是如果不知道提竿的時機，即将到手的魚也會溜走的。等這筆生意談妥，我再休息也不遲。”

生意終于談妥，客戶把貨款轉入張經理的銀行賬戶，張經理笑了：“這條大魚終于被我釣到了。”然後他登上網絡銀行賬戶查看轉賬情況。當頁面上顯示出賬戶剩餘金額時，賬戶裡原來的存款不翼而飛，頁面裡惟有客戶剛剛轉入的貨款。

張經理做夢也沒想到，這一次，他成了别人釣上的魚，而且是大魚。

警察正在分析張經理那台筆記本電腦硬盤裡的數據，由于無法得知張經理最後一次登錄網絡銀行的時間，而且系統裡也沒有感染任何偷盜賬号的後門程序，一個分析員無意中打開了Foxmail，發現最後一封信件是銀行發送的，主題為“XX網絡銀行關于加強賬戶安全的通告”，分析員預測案件與這封信件有重大關系，這是一封HTML網頁模闆的信件，内容大意為銀行為了加強賬戶安全而升級了系統，請各位客戶盡快重新設置賬戶密碼，末尾還給出了設置密碼的URL鍊接。

分析員馬上查看信件源代碼，這個郵件的作者采用了“看的一套，進的一套”這種簡單的欺騙手法，而這個所謂的更改密碼頁面，當然僞造得與真正的銀行頁面完全一緻，但是它的“更改密碼”功能卻是把賬号和密碼發送到了幕後的“垂釣者”手上，然後“垂釣者”登錄上真正的網絡銀行改了受害者設置的密碼，并順手牽羊把銀行賬戶裡的存款轉移掉。

看到警報的提示，我們可以手動進行反釣魚攻擊的檢測程序，或者打開自動檢測檢測功能。另外，還可以向微軟彙報一個帶有釣魚攻擊的站點URL，微軟的網上數據庫會将此地址收入，并提供給其他用戶作為參考。采用這種群策群力對抗系統威脅的方式，使得遭受攻擊的可能性大大降低。