釣魚網站:安全雲庫,危害方式,手段方法,行騙手段,技術分析,牟利模式,傳播途徑,防

釣魚網站通常指偽裝成銀行及電子商務，竊取用戶提交的銀行帳號、密碼等私密信息的網站，可用電腦管家進行查殺。“釣魚”是一種網路欺詐行為，指不法分子利用各種手段，仿冒真實網站的URL地址以及頁面內容，或利用真實網站伺服器程式上的漏洞在站點的某些網頁中插入危險的HTML代碼，以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。

“釣魚網站”的頻繁出現，嚴重地影響了線上金融服務、電子商務的發展危害公眾利益，影響公眾套用網際網路的信心。釣魚網站通常偽裝成為銀行網站，竊取訪問者提交的賬號和密碼信息。它一般通過電子郵件傳播，此類郵件中一個經過偽裝的連結將收件人聯到釣魚網站。釣魚網站的頁面與真實網站界面完全一致，要求訪問者提交賬號和密碼。一般來說釣魚網站結構很簡單，只有一個或幾個頁面，URL和真實網站有細微差別。

基本介紹

中文名：釣魚網站
外文名：Phishing Website
類別：網路欺詐行為
區域：線上金融服務、電子商務等

安全雲庫,危害方式,手段方法,行騙手段,技術分析,牟利模式,傳播途徑,防範辦法,影響危害,難點障礙,專家建議,相關新聞,

安全雲庫

騰訊電腦管家安全雲庫作為全球最大網站資料庫，能敏銳鑑定網站的安全性，輕鬆識別假冒、詐欺、釣魚等惡意網站，有效保護用戶的賬號及財產安全。騰訊電腦管家先後與百度、天貓、康盛、搜狗、QQ、discuz等平台合作，提供網站安全查詢服務，為全網用戶在各大上網入口提供安全保障。

危害方式

最典型的網路釣魚攻擊將收信人引誘到一個通過精心設計與目標組織的網站非常相似的釣魚網站上，並獲取收信人在此網站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。這些個人信息對黑客們具有非常大的吸引力，因為這些信息使得他們可以假冒受害者進行欺詐性金融交易，從而獲得經濟利益。受害者經常遭受顯著的經濟損失或全部個人信息被竊取並用於犯罪的目的。有時，還會危害您的電腦，讓您的電腦檔案丟失，本電腦的檔案轉移到他的電腦上，是一種最新騙術！

調查顯示，無線路由器正成為被黑客利用進行攻擊，威脅用戶上網及隱私安全的工具，七成用戶擔心路由器存在安全問題。其中63%用戶最擔心路由器被黑客控制後竊取網銀支付賬號，61%用戶擔心被利用後植入木馬病毒，另有44%和43%的用戶對蹭網現象和黑客通過控制路由器監控用戶上網隱私的行為表示擔憂。如今有安全路由打擊釣魚網站的先例，例如安全王通過雲檢測引擎識別打擊釣魚網站。

國內現有處理機制都難以有效制止。對“網路釣魚”的詐欺行為，工信部和公安部都設有專門的監管機構。其他各大部委也都有專門的監管機構負責行業內的網路安全管理。但由於“釣魚網站”頻繁出現，現有的處理機制很難及時有效制止“釣魚網站”，在“中國反釣魚網站聯盟”成立前，國內還沒有建立專門協調此問題的組織。

“中國反釣魚網站聯盟”成員單位包括：工商銀行、農業銀行、中國銀行、建設銀行、華夏銀行、光大銀行、銀河證券、騰訊、淘寶、支付寶等幾十家金融機構和電子商務網站，以及中國萬網、中企動力、廈門中資源、廈門華商盛世、阿里巴巴、ChinaSpringboardInc.等國內主要的域名註冊服務機構。“中國反釣魚網站聯盟”並非官方機構，它的成員包括了域名管理機構、註冊服務機構，以及銀行證券類、電子商務類、網路安全類等企業，目的就是為了發現和治理“釣魚網站”，主要是針對假冒其成員單位的“釣魚網站”。該聯盟在接到涉及聯盟成員的投訴後，權威技術鑑定機構會立即對其進行判定，一經認定，兩個小時內暫停其域名解析，終止欺詐行為。從處理的及時性上大大降低了“釣魚網站”所造成的危害。

手段方法

像垃圾郵件一樣，釣魚 ( 英語叫做 phishing) 是一種未經允許的電子郵件形式。儘管一些垃圾郵件可能只不過是討厭的廣告，而釣魚則是試圖從用戶手中進行詐欺。不幸的是，人們落入了它的圈套。釣魚是指用電子郵件作“魚餌”，從而騙取訪問金融賬戶必需信息的一種手段。通常，電子郵件會看起來像來自一家合法公司。它試圖誘惑用戶把賬號和相關密碼給他們。電子郵件經常解釋說，公司記錄需要更新，或者正在修改一個安全程式，要求用戶確認你的賬戶，以便繼續使用。

從表面上看很難辨別這封電子郵件是否是詐欺。像垃圾郵件一樣，來自釣魚黑客的電子郵件通常在電子郵件地址中包含偽造的“發件人”或者“回復”標題，使電子郵件看起來像來自一家合法公司。除了欺騙的“發件人”或者“回復”地址之外，偽造子郵件通常基於HTML。第一眼可能看起來像真的一樣。電子郵件經常包含真正的商標，看起來擁有真正公司的網站地址。建議用戶“小心”保管密碼。電子郵件的所有的表象和措詞都用來使它看起來是真的。

然而，當用戶查看HTML(電子郵件內的電腦代碼)時，用戶可以看到網站地址是偽造的，點擊連結實際上會把你帶到另一個位置。它經常會把你帶到一個看起來一樣的外國網站。這些網站只是暫時開放，設計得跟真的一模一樣，從而誘惑你輸入你的登錄信息和密碼。一旦他們獲得信息，就會試圖從用戶的帳戶中匯錢出去，或者收取費用。

釣魚的一種常見做法是在電子郵件中包含一個表格，供收件人填寫自己的姓名、賬號、密碼或者PIN號。

行騙手段

1.群發簡訊“善意”提醒，誘使網民上網操作；

2.境外註冊域名，逃避網路監管；

3.高仿真網站製作，欺騙網名透露戶口密碼；

4.連貫轉賬操作，迅速轉移網銀款項。

技術分析

網路安全技術人員認為釣魚網站技術含量不高，個人要會防範。“釣魚網站”主要集中在兩方面：一種是模仿央視、騰訊等假冒抽獎網站，如多地出現的仿冒“非常6+1”節目中獎信息騙取網民錢財的網路詐欺事件，主要特徵是以中獎為誘餌，欺騙網民填寫身份信息、銀行賬戶等信息；另一種是模仿淘寶、工行等線上支付網頁，騙取網民銀行卡信息或支付寶賬戶。在安全技術人員眼裡，“網路釣魚”沒有太多技術含量，主要是利用人們的心理來實現詐欺。

中國網際網路信息中心的專家認為，一是人們受中獎或其他物質獎勵誘惑而放鬆戒備；二是人們缺乏對網站真偽性驗證的知識和方法。另外，多數受騙用戶在網上填報個人信息，特別是財務信息時缺乏防範意識，沒有仔細驗證網頁的真實性。

專家說，“釣魚網站”其實不難判別，一般假網站只有一個頁面，沒有任何連結。真的網站，首頁不僅內容豐富，而且還能提供詳細的聯繫方式。驗證一個網站的真偽，還可以通過中國網際網路信息中心官方網站查詢真實域名，也可以通過登錄工信部ICP/IP位址/域名信息備案管理系統，獲得網站的真實信息。

因為“網路釣魚”都是以大獎誘惑消費者，因此消費者要對網路中獎活動提高防範意識；而在網路支付時也要小心謹慎，通過域名註冊信息、第三方權威認證服務等多種手法驗證網站真實性，同時，網民一定要重視個人信息的保護，包括個人聯繫方式、身份證號碼、銀行卡信息等。

釣魚網站的設計通常有兩種方式：第一種以“中獎”等名義為誘餌，誘騙用戶填寫身份證號碼、銀行帳戶等信息；第二種模仿銀行線上支付、電子交易網站，騙取用戶的銀行卡信息或者線上支付賬號密碼。整個過程如同釣魚一般，這樣的惡意網站也就被稱作“釣魚網站”。這樣的釣魚手法技術含量並不高，或者利用人們貪圖便宜的心理上當受騙，或者利用部分網民防範欺詐意識的薄弱。人們一旦上當，或者個人隱私信息泄露並被販賣，或者因為在網站上填寫了銀行賬號信息，相應的資產會被立刻轉走，追悔莫及。

牟利模式

1、黑客通過釣魚網站設下陷阱，大量收集用戶個人隱私信息，通過販賣個人信息或敲詐用戶；

2、黑客通過釣魚網站收集、記錄用戶網上銀行賬號、密碼，盜取用戶的網銀資金；

3、黑客假冒網上購物、線上支付網站，欺騙用戶直接將錢打入黑客賬戶；

4、通過假冒產品和廣告宣傳獲取用戶信任，騙取用戶金錢；

5、惡意團購網站或購物網站，假借“限時搶購”、“秒殺”、“團購”等噱頭，讓用戶不假思索地提供個人信息和銀行賬號，這些黑心網站主可直接獲取用戶輸入的個人資料和網銀賬號密碼信息，進而獲利。

傳播途徑

網際網路上活躍的釣魚網站傳播途徑主要有八種：

1、通過QQ、MSN、阿里旺旺等客戶端聊天工具傳送傳播釣魚網站連結；

2、在搜尋引擎、中小網站投放廣告，吸引用戶點擊釣魚網站連結，此種手段被假醫藥網站、假機票網站常用；

3、通過Email、論壇、部落格、SNS網站批量發布釣魚網站連結；

4、通過微博、Twitter中的短連線散布釣魚網站連結；

5、通過仿冒郵件，例如冒充“銀行密碼重置郵件”，來欺騙用戶進入釣魚網站；

6、感染病毒後彈出模仿QQ、阿里旺旺等聊天工具視窗，用戶點擊後進入釣魚網站；

7、惡意導航網站、惡意下載網站彈出仿真懸浮視窗，點擊後進入釣魚網站；

8、偽裝成用戶輸入網址時易發生的錯誤，如gogle. com、sinz. com等，一旦用戶寫錯，就誤入釣魚網站。

防範辦法

第一、查驗“可信網站”

通過第三方網站身份誠信認證辨別網站真實性。不少網站已在網站首頁安裝了第三方網站身份誠信認證——“可信網站”，可幫助網民判斷網站的真實性。 “可信網站”驗證服務，通過對企業域名註冊信息、網站信息和企業工商登記信息進行嚴格互動審核來驗證網站真實身份，通過認證後，企業網站就進入中國網際網路信息中心（CNNIC）運行的國家最高目錄資料庫中的“可信網站”子資料庫中，從而全面提升企業網站的誠信級別，網民可通過點擊網站頁面底部的“可信網站”標識確認網站的真實身份。網民在網路交易時應養成查看網站身份信息的使用習慣，企業也要安裝第三方身份誠信標識，加強對消費者的保護。

第二、核對網站域名

假冒網站一般和真實網站有細微區別，有疑問時要仔細辨別其不同之處，比如在域名方面，假冒網站通常將英文字母I被替換為數字1，CCTV被換成CCYV或者CCTV－VIP這樣的仿造域名。

第三、比較網站內容

假冒網站上的字型樣式不一致，並且模糊不清。仿冒網站上沒有連結，用戶可點擊欄目或圖片中的各個連結看是否能打開。

第四、查詢網站備案

通過ICP備案可以查詢網站的基本情況、網站擁有者的情況，對於沒有合法備案的非經營性網站或沒有取得ICP許可證的經營性網站，根據網站性質，將予以罰款，嚴重的關閉網站。

第五、查看安全證書

大型的電子商務網站都套用了可信證書類產品，這類的網站網址都是“https”打頭的，如果發現不是“https”開頭，應謹慎對待。

昨日，據360安全中心統計，我國釣魚網站新增98萬家，同比增長95.9%，其中有關網購類釣魚網站達39.27萬家，占年新增釣魚網站總量的40.8%。而曾一度被認為危害最高的網購木馬卻日趨衰落，釣魚網站已取代了木馬成網路安全頭號殺手。

業內人士表示，釣魚網站數量的激增勢頭亟須相關部門儘快通過《網路信息保護的決定》議案。在網路安全問題日益嚴峻的情況下，國家相關部門正擬立法保護個人電子信息。

影響危害

網路釣魚其實就是網路上眾多誘騙手法之中的一種，由於它的手段基本就是通過網路用一些誘餌（比如假冒的網站）等使用者上當，很像現實生活中的釣魚過程，所以就被稱之為“網路上的釣魚”。它的最大危害就是會竊取用戶銀行卡的帳號、密碼等重要信息，使用戶受到經濟上的損失。

網路釣魚是通過大量傳送聲稱來自於銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號ID、ATMPIN碼或信用卡詳細信息）的一種攻擊方式。

難點障礙

國內現有處理機制都難以有效制止。據了解，“中國反釣魚網站聯盟”並非官方機構。從處理的及時性上大大降低了“釣魚網站”所造成的危害。

專家也指出，聯盟的成員單位還是有限，對於層出不窮的“釣魚網站”，國內反釣魚網站協調機制和反釣魚網站綜合治理體系的建設還需進一步推進。另外，國家有關的法律法規也有待進一步完善。

專家建議

釣魚在大多數情況下是關於你的銀行賬號、密碼、信用卡資料、社會保障卡號以及你的電子貨幣帳戶信息。關於用戶的paypal、yahoo郵件、gmail及其他免費郵件服務。只要記住上述那些正式公司絕不會通過電子郵件讓你提供任何信息。如果你收到類似要求，讓你提供資料，或者在郵件中帶有指向網站的連結，那么它一定是網路釣魚詐欺。

專家提醒，網民在查找信息時，應該特別小心由不規範的字母數字組成的CN類網址，最好禁止瀏覽器運行JavaScript和ActiveX代碼，不要上一些不太了解的網站。

專家為此提出以下建議：

從不點擊電子郵件中的連結來輸入你的登錄信息或者密碼。相反，如果你認為電子郵件可能是合法的，那么用你的Internet瀏覽器或者Netscape瀏覽器直接訪問公司網站。(不要從一封可疑的電子郵件中複製貼上url地址。)

總是使用公司的官方網站來提交個人信息。如果線上傳送信息，那么應該使用一個安全伺服器在公司的官方網站上操作。

如果還是懷疑電子郵件所說的，就給公司打個電話。

總是在你的手機或者筆記本中保存你經常打交道的公司的正確聯繫電話號碼，並且只使用你保存的那個號碼。例如，如果你在滙豐銀行有一個賬戶，那么保存正確聯繫號碼，並且只使用那個號碼。永遠也不要相信郵件中的電話號碼。

像電話號碼一樣，總是在你的收藏夾中保存正確的網站地址，並且使用他們做與那個公司有關的任何事情，永遠也不要相信電子郵件中的網站連結。

釣魚網站