“网络钓鱼”式攻击全面解析

　　网络钓鱼（Phishing）一词，是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了”Phishing”。

　　“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，在所有接触诈骗信息的用户中，有高达5的人都会对这些骗局做出响应。

　　在美国和英国已经开始出现专门反网络钓鱼的组织，越来越多在线企业、技术公司、安全机构加入到反“网络钓鱼”组织的行列，比如微软、戴尔都宣布设立专案分析师或推出用户教育计划，微软还捐出4.6万美元的软件，协助防治“网络钓鱼”。

　　用户自卫指南

　　一、普通消费者：

　　安全专家提示：最好的自我保护方式是不需要多少技术的。

　　1. 对要求重新输入账号信息，否则将停掉信用卡账号之类的邮件不予理睬。

　　2. 更重要的是，不要回复或者点击邮件的链接——如果你想核实电子邮件的信息，使用电话，而非鼠标；若想访问某个公司的网站，使用浏览器直接访问，而非点击邮件中的链接。

　　3. 留意网址——多数合法网站的网址相对较短，通常以.com或者.gov结尾，仿冒网站的地址通常较长，只是在其中包括合法的企业名字（甚至根本不包含）。

　　4. 避免开启来路不明的电子邮件及文件，安装杀毒软件并及时升级病毒知识库和操作系统补丁，将敏感信息输入隐私保护，打开个人防火墙。

　　5. 使用网络银行时，选择使用网络凭证及约定账户方式进行转账交易，不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。

　　6. 大部分的“网络钓鱼”信件是使用英文，除非你在国外申请该服务，不然应该都收到中文信件。

　　7. 将可疑软件转发给网络安全机构。

　　最后提醒一句，不幸中招者最好尽快更换密码和取消信用卡。

　　二、商业机构

　　1. 为避免被“网络钓鱼”冒名，最重要的是加大制作网站的难度。具体办法包括：“不使用弹出式广告”、“不隐藏地址栏”、“不使用框架”等。这种防范是必不可少的，因为一旦网站名称被“网络钓鱼”者利用的话，企业也会被卷进去，所以应该在泛滥前做好准备。

　　2. 加强用户验证手段，提高用户安全意识。

　　3. 及时处理用户反馈，积极打击假冒网站和其他相关的违法行为。客户中心对类似“为什么每次登陆都得输入两次账号和密码？”之类的投诉，就要想到是否有“网络钓鱼”的可能，因为“网络钓鱼”者通常“劫持”第一次数据，而用户再一次登陆才进入了真正的页面。

　　4. 当然，安装杀毒软件和防火墙、及时升级、打补丁、加强员工安全意识、与安全厂商保持密切联系等都是必不可少的。

　　最后也要提醒一句，一旦出现被仿冒的情景，首先企业应该把诈骗网页取下来。有些时候，这并不是一件简单、快捷的工作。