釣魚(一種網路欺詐方式)

網路釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由於黑客始祖起初是以電話作案，所以用“Ph”來取代“F”，創造了“Phishing”。然而，當今的“網路釣魚”攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐欺活動，受騙者往往會泄露自己的財務數據，如信用卡號、賬戶用戶名、口令和社保編號等內容。詐欺者通常會將自己偽裝成知名銀行、線上零售商和信用卡公司等可信的品牌，在所有接觸詐欺信息的用戶中，有高達5%的人都會對這些騙局做出回響。

“網路釣魚”就其本身來說，稱不上是一種獨立的攻擊手段，更多的只是詐欺方法，就和現實中的一些詐欺差不多。黑客利用欺騙性的電子郵件和假冒的Web站點來進行詐欺活動，誘騙訪問者提供一些個人信息，如信用卡號、賬戶號和口令、社保編號等內容(通常主要是那些和財務、賬號有關的信息)。黑客通常會將自己偽裝成知名銀行、線上零售商和信用卡公司等可信的品牌單位，因此，受害者往往也是那些和電子商務有關的服務商和使用者。隨著2005年美國4千萬信用卡信息被竊案的發生，Phishing事件受到國內外的密切關注。在剛剛過去的2011年，除了傳統的假淘寶網站、假QQ網站、假網上銀行網站、六合彩釣魚網站等，黑客又發展到假sina網站、假機票網站、假火車票網站、假藥品網站等等，可以說，隨著網際網路套用的增多尤其是電子商務的進一步發展，“網路釣魚”正在高速壯大，對網民的威脅越來越大。

網上黑客採用的“網路釣魚”方法比較多，歸納起來大致有以下幾種方法：

(1)傳送垃圾郵件 引誘用戶上鉤

該類方法以虛假信息引誘用戶中圈套，黑客大量傳送欺詐性郵件，這些郵件多以中獎、顧問、對賬等內容引誘用戶在郵件中填人金融賬號和密碼，或是以各種緊迫的理由(如在某超市或商場刷卡消費，要求用戶核對)，要求收件人登錄某網頁提交用戶名、密碼、身份證號、信用卡號等信息，繼而盜竊用戶資金。

(2)建立假冒網上銀行、網上證券網站

騙取用戶賬號密碼實施盜竊黑客建立起域名和網頁內容都與真正網上銀行系統、網上證券交易平台極為相似的網站，誘使用戶登錄並輸人賬號密碼等信息，進而通過真正的網上銀行、網上證券系統盜竊資金;還可利用合法網站伺服器程式上的漏洞，在該站點的某些網頁中插人惡意Html代碼，禁止那些可用來辨別網站真假的重要信息，利用cookies竊取用戶信息。

(3)URL隱藏

根據超文本標記語言(HTML)的規則可以對文字製作超連結這樣就使網路釣魚者有機可乘。查看信件原始碼就能很快就找出了其中的奧秘，網路釣魚者把它寫成了這樣。這樣螢幕上就顯示了Bbank 的網址而實際上卻連結到了Abank的陷阱網站。

(4)利用虛假的電子商務進行作騙

黑客建立電子商務網站，或是在比較知名、大型的電子商務網站上發布虛假的商品銷售信息，黑客在收到受害人的購物匯款後就銷聲匿跡。除少數黑客自己建立電子商務網站外，大部分黑客採用在知名電子商務網站上，如“易趣”、“淘寶”、“阿里巴巴”等，發布虛假信息，以所謂“超低價”、“免稅”、“走私貨”、“慈善義賣”的名義出售各種產品，或以次充好，很多人在低價的誘惑下上當受騙。網上交易多是異地交易，通常需要匯款。黑客一般要求消費者先付部分款，再以各種理由誘騙消費者付餘款或者其他各種名目的款項，得到錢款或被識破時，就立即切斷與消費者的聯繫。

(5)利用木馬和黑客技術竊取用戶信息後實施盜竊

黑客通過傳送郵件或在網站中隱藏木馬等方式大肆傳播木馬程式，當感染木馬的用戶進行網上交易時，木馬程式可獲取用戶賬號和密碼，並傳送給指定信箱，用戶資金將受到嚴重威脅。

(6)利用用戶弱口令等漏洞破解、猜測用戶賬號和密碼

黑客利用部分用戶密碼設定過於簡單的賬號，對賬號密碼進行破解。已有很多的弱口令破解黑客工具在網上可以免費下載，它們可以在很短的時間內破解出各類比較簡單的用戶名及密碼。

(7)其他手段

實際上，黑客在實施“網路釣魚”犯罪活動過程中，經常採取以上幾種手法交織、配合進行。值得特別提醒的是：“網路釣魚”非法活動並不排除有新的手段的出現，並且已經不僅限於通過網路方式，還包括電信詐欺等方式，比如現今泛濫成災的“垃圾手機簡訊”和”陷阱電話”，其中有部分是詐欺簡訊，以急迫的口吻要求用戶對並不存在的已消費的“商品”進行買單，或者以熟悉的朋友或者是親人的身份來要求受害人呢提供帳戶和密碼，嚴格地說，它也應當屬於“網路釣魚”的範疇。所以，推而廣之，任何通過網路手段(包括通信)進行詐欺和誤導用戶使之遭受經濟損之的行為都應當稱之為“網路釣魚”。

(1)防範垃圾郵件：這是防範網路釣魚最為重要和關鍵的一步。當今絕大部分的垃圾郵件都攜帶有網路釣魚的連結，用戶們經常受到莫名其妙的郵件，因為好奇而點擊其中的連結，隨著而來的便是或被其中的“廉價”或者“偽冒”信息所蠱惑，或者是被安裝上了木馬。因此，利用垃圾郵件防護工具或者主動地對不明郵件提高警惕是防範網路釣魚的第一要義。

(2)安裝防病毒系統和網路防火牆系統：這是一個非常必須的步驟，多數反病毒軟體都具有對包括間諜軟體、木馬程式的查殺功能;防火牆系統監視著系統的網路連線，能夠杜絕部分攻擊意圖並及時報警提醒用戶注意。由於病毒和黑客攻擊手段翻新不斷，防病毒和防火牆系統應及時升級，定期防毒。

(3)及時給作業系統和套用系統打補丁，堵住軟體漏洞：象Windows作業系統和IE瀏覽器軟體都存在很多已知未知的漏洞，一般廠家在發現漏洞之後會迅速推出相應的補丁程式，用戶應當經跟蹤作業系統和應用程式的官方網站，充分利用廠商的資源，在發現各種漏洞時第一時間為自己的系統打上安全補丁，避免黑客利用漏洞人侵電腦，減少潛在威脅。

(4)從主觀意識上提高警惕性，提高自身的安全技術：首先要注意核對網址的真實性，在訪問重要的網站時最好能記住其網路域名或者IP位址，確保登入到正確的網站，避免點擊搜尋引擎搜尋出的連結等簡便方法。第二要養成良好的使用習慣，不要輕易登錄訪問陌生網站、黃色網站和有黑客嫌疑的網站，拒絕下載安裝不明來歷的軟體，拒絕可疑的郵件，及時退出交易程式，做好交易記錄及時核對等等。

(5)妥善保管個人信息資料：很多銀行為了保障用戶的安全，設定了登錄密碼(查詢密碼)和支付密碼(取款密碼)兩套密碼，用戶若保證登錄密碼與支付密碼不相同，這樣即使登錄密碼被竊取，網路釣魚者依然無法操作用戶的資金。儘量選擇安全的密碼，建議選用字母、數字混合的方式，以提高密碼猜測和破解難度。密碼等個人資料應妥善保管並定期更新，避免將密碼泄露給他人。

(6)採用新的安全技術：數字證書是一種很安全的方式，通過數字證書可以進行安全通信和電子數字簽名，電子簽名具有法律效力。網上交易在數字證書籤名和加密的保護下進行網上數據的傳送，杜絕了網路釣魚者使用跨站cookie攻擊以及嗅探偵測的可能。數字證書具有可複製性，如同家門鑰匙一樣，用戶應妥善保管。對於一些被假冒的機構和政府相關管理部門而言，也應採取相應的措施與Phishing這種犯罪活動做鬥爭。例如銀行也可積極採取技術措施和宣傳活動讓用戶能夠識別真假避免上當。相關政府職能部門也應溝通合作，及時定位、關閉這些仿冒網站並從其所有者手中追回被盜的用戶信息，減少直接和潛在損失。

安全專家表示，安全網購應遵循以下5條要訣：

1、遵循相關平台的本身規則與流程。

2、接收交易方發來的連結和檔案要謹慎。

3、加強安全意識，安裝專業的防毒軟體，保持上網環境安全。

4、建議使用支付產品，要定期為電腦進行漏洞修復、木馬查殺。

5、最後遇到釣魚就要第一時間向公安機關報案，盡力挽回損失。