老謀深算的電子郵件騙局，成為互聯(lián)網(wǎng)世界潛伏的災(zāi)難。

“‘網(wǎng)絡(luò)釣魚（ Phishing）’作為一種網(wǎng)絡(luò)詐騙手段，算不上新鮮事物，而且沒有太多技術(shù)含量，主要是利用人們的心理來實(shí)現(xiàn)詐騙”，一位國內(nèi)的安全技術(shù)人員評(píng)論說。

盡管在安全技術(shù)人員眼里“網(wǎng)絡(luò)釣魚”只是小菜一碟，但它在過去一年中非常猖獗—Gartner公司最近一項(xiàng)調(diào)查表明，約5700萬名美國消費(fèi)者收到過此類仿冒的電子郵件，有高達(dá)5%的人都會(huì)對這些騙局作出響應(yīng)。由于”網(wǎng)絡(luò)釣魚”技術(shù)不斷升級(jí)，Gartner公司預(yù)測，這種詐騙會(huì)快速蔓延到通過電子郵件與客戶通信的所有商業(yè)領(lǐng)域，任何擁有在線業(yè)務(wù)的公司都將成為潛在的受害者。

7月20日的一則消息“一惡意網(wǎng)站偽裝成聯(lián)想主頁，散布‘聯(lián)想集團(tuán)和騰訊公司聯(lián)合贈(zèng)送QQ幣’的虛假消息，誘使眾多用戶訪問該網(wǎng)站時(shí)造成感染”，讓國人警醒：小心被“釣”，“魚鉤”就在我們眼前晃動(dòng)。

認(rèn)識(shí)篇

手段：威逼利誘

“網(wǎng)絡(luò)釣魚”利用欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行詐騙活動(dòng)，受騙者往往會(huì)泄露自己的財(cái)務(wù)數(shù)據(jù)，如信用卡號(hào)、賬戶用戶名、口令和社保編號(hào)等內(nèi)容。

“網(wǎng)絡(luò)釣魚”的主要伎倆在于仿冒某些公司的網(wǎng)站或電子郵件，然后對其中的程序代碼動(dòng)手腳，如果使用者信以為真地按其鏈接和要求填入個(gè)人重要資料，資料將被傳送到詐騙者手中。

趨勢科技“PhishTrap（反網(wǎng)絡(luò)釣魚陷阱）”成員 Richard_Cheng 解釋說：“當(dāng)這些網(wǎng)絡(luò)詐騙者將餌 (電子郵件) 撒到互聯(lián)網(wǎng)之后，就靜待受騙者上鉤。”根據(jù)Gartner的統(tǒng)計(jì)，由于詐騙者通常會(huì)將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，所以在所有接觸詐騙信息的用戶中，有高達(dá)5%的人都會(huì)對這些騙局作出響應(yīng)。

詐騙者通常采用“威逼利誘”手段制造出各種名目的“主題”。比如最早引起廣泛關(guān)注的“網(wǎng)絡(luò)釣魚”事件，是去年11月出現(xiàn)的Mimail.J病毒，偽裝成由Paypal網(wǎng)站寄出的信息，表示收件者的賬戶將在5個(gè)工作日后失效，要求用戶更新個(gè)人信息，才能重新啟動(dòng)賬戶。再比如7月20日，一惡意網(wǎng)站（www.1enovo.com）偽裝成聯(lián)想主頁（www.lenovo.com），前者將數(shù)字1取代英文字母L，利用多種IE漏洞種植木馬病毒，并散布“聯(lián)想集團(tuán)和騰訊公司聯(lián)合贈(zèng)送QQ幣”的虛假消息，誘使更多用戶訪問該網(wǎng)站時(shí)造成感染。

現(xiàn)狀：上鉤者眾

最近一年以來，“網(wǎng)絡(luò)釣魚”在美、英等國家變得非常猖獗,數(shù)量急劇攀升。據(jù)Gartner公司最近的一項(xiàng)調(diào)查表明，有5700萬美國消費(fèi)者收到過此類仿冒的電子郵件，由此引起的ID欺詐盜竊給美國銀行與信用卡公司的用戶造成的直接損失在去年達(dá)到了12億美元。

垃圾郵件過濾公司Brightmail的數(shù)據(jù)表明，過去9個(gè)月中，全球Phishing郵件總量增長迅猛，于今年4月達(dá)到31億封。據(jù)英國安全機(jī)構(gòu)MI2G報(bào)告，去年，有250多起針對主要銀行、信用卡公司、電子商務(wù)站點(diǎn)以及政府機(jī)構(gòu)的“網(wǎng)絡(luò)釣魚”攻擊。

根據(jù)反網(wǎng)絡(luò)釣魚組織 APWG（Anti-Phishing Working Group）最新統(tǒng)計(jì)指出，約有70.8％的網(wǎng)絡(luò)欺詐是針對金融機(jī)構(gòu)而來，而最常被仿冒的前三家公司為：Citibank（花旗銀行）、eBay和Paypal。

后果：誠信危機(jī)

Gartner公司高級(jí)副總裁和研究董事Litan說：“金融機(jī)構(gòu)、互聯(lián)網(wǎng)服務(wù)提供商和其他服務(wù)商必須嚴(yán)肅地解決‘網(wǎng)絡(luò)釣魚’問題，如果不能極大地減少這種誘餌攻擊，那么消費(fèi)者對在線交易的信任感將會(huì)逐漸被侵蝕，最終所有網(wǎng)絡(luò)交易的參加者都會(huì)受到傷害。”

APWG主席David Jevans表示：“這些攻擊正在破壞整個(gè)電子商務(wù)系統(tǒng)—我們經(jīng)營方式的信用。”的確，eBay和其他幾十家已遭“網(wǎng)絡(luò)釣魚”多次攻擊的公司擔(dān)心：它不僅損害了業(yè)務(wù)，而且對客戶、對電子商務(wù)的信心提出了極大挑戰(zhàn)。

“網(wǎng)絡(luò)釣魚”已經(jīng)開始顯現(xiàn)出其巨大的破壞力。根據(jù)Pew Internet Life的調(diào)查，消費(fèi)者對電子郵件的信心已經(jīng)降到了有史以來的最低點(diǎn)。Cyota最近針對在線銀行賬戶持有者的一項(xiàng)調(diào)查表明，74%的被調(diào)查者表示，由于此項(xiàng)威脅，自己不太可能對來自銀行的電子郵件做出回復(fù)，而且進(jìn)行在線購物的可能性降低了。這意味著，一些合法商業(yè)機(jī)構(gòu)如果無法阻止其品牌被欺騙活動(dòng)繼續(xù)利用，其在線渠道將可能部分或者徹底失去。

當(dāng)然受損的還有商業(yè)機(jī)構(gòu)的品牌。MI2G執(zhí)行總裁DK Matai指出：“雖然在很多情況下，品牌所有者并沒有錯(cuò)，但這些在線品牌應(yīng)當(dāng)具備足夠的能力，并用更多的心思來防止消費(fèi)者犯錯(cuò)誤。” APWG旗下一個(gè)企業(yè)成員因“網(wǎng)絡(luò)釣魚”遭到客戶起訴，理由是沒有履行相應(yīng)責(zé)任。

除了信任，“網(wǎng)絡(luò)釣魚”也會(huì)給企業(yè)和個(gè)人帶來一些更直接的損失。如果詐騙者釣到用戶的信用卡賬戶信息，無論對于持卡者還是銷售商都面臨著風(fēng)險(xiǎn)。另外，為每個(gè)用戶發(fā)行新的信用卡、賬號(hào)和密碼大約需要50多美元，如果是大量客戶被釣，成本也是非常驚人的。

警惕：真?zhèn)坞y辨

這些欺騙性的電子郵件和Web站點(diǎn)，正看起來越來越“完美”，也越來越“可信”。

信息加密公司PostX首席技術(shù)官Cayce Ullman說：“我們遇到一個(gè)利用eBay品牌進(jìn)行詐騙的‘網(wǎng)絡(luò)釣魚’者，我用了整整25分鐘才確定他是真正的騙子。連我們也很難分清真假，那我們的消費(fèi)者又如何來區(qū)分呢？”其中最令安全專家憂心的是，“網(wǎng)絡(luò)釣魚”者使用 Javascript 將瀏覽器網(wǎng)址所顯示的地址換掉，讓呈現(xiàn)出來的網(wǎng)址與假冒公司的官方網(wǎng)址完全相同。

綠盟科技專業(yè)服務(wù)部總監(jiān)王紅陽說：“瀏覽器自身的脆弱性也在一定程度上增加了迷惑性。”他建議，用戶可以使用其他的瀏覽器來降低風(fēng)險(xiǎn)。

趨勢科技中國區(qū)技術(shù)顧問齊軍的建議：如果是這種情況就一定要用反網(wǎng)絡(luò)釣魚（anti-phishing）工具來防范，因?yàn)檠劬吹降氖钦_網(wǎng)址，但工具看到的才是真正機(jī)器碼。他提供一個(gè)“一勞永逸的方法”，就是永遠(yuǎn)不要從電子郵件的鏈接直接連出去。

令普通用戶頭疼的是，“網(wǎng)絡(luò)釣魚”要達(dá)到廣泛詐騙的目的，通常都伴隨著病毒和木馬，或者說病毒郵件、木馬也經(jīng)常包含“網(wǎng)絡(luò)釣魚”的內(nèi)容。

中國：一步之遙

值得慶幸的是，中國遭遇的“網(wǎng)絡(luò)釣魚”攻擊比較少，安全專家將主要原因歸結(jié)為：“網(wǎng)絡(luò)釣魚”主要攻擊的是網(wǎng)上銀行和電子商務(wù)，而國內(nèi)的網(wǎng)上銀行與電子商務(wù)應(yīng)用還不普及。

江民研發(fā)部總經(jīng)理何公道還談到另外一方面原因：國內(nèi)金融機(jī)構(gòu)的防范工作比較到位，加上國家對金融犯罪的懲罰嚴(yán)厲，所以“網(wǎng)絡(luò)釣魚”目前威脅還不是很大。對比之下，他認(rèn)為當(dāng)前“網(wǎng)絡(luò)釣魚”對于虛擬財(cái)富的威脅程度是比較高的，比如QQ號(hào)碼、網(wǎng)游賬號(hào)及裝備等。

但是一些“網(wǎng)絡(luò)釣魚”案例已開始見諸報(bào)端：今年5月26日哈爾濱市某婦幼保健院麻醉醫(yī)生付志受審，其利用類似“網(wǎng)銀大盜”木馬病毒在網(wǎng)上傳播、盜取了各類密碼達(dá)7000多個(gè)，并已經(jīng)成功盜取12000元; 6月，中國臺(tái)灣破獲一起網(wǎng)絡(luò)銀行入侵案，總計(jì)20萬名客戶資料外泄；中國香港金融管理局公布一“李鬼”銀行網(wǎng)站，其與港基國際銀行有限公司的正式網(wǎng)站非常相似; 7月20日，江民快速反病毒中心接到舉報(bào)，發(fā)現(xiàn)一個(gè)惡意網(wǎng)站偽裝成聯(lián)想官方網(wǎng)站隱藏病毒，伺機(jī)竊取用戶傳奇游戲賬號(hào)。

所以我們在慶幸之余，不能僥幸：互聯(lián)網(wǎng)無國界，“網(wǎng)絡(luò)釣魚”的危機(jī)其實(shí)一直潛伏在我們身邊。

    步驟1：教育

    在美國《網(wǎng)絡(luò)世界》所做的采訪中，任何一家大型在線企業(yè)都將“對用戶進(jìn)行適當(dāng)教育”放在應(yīng)對“網(wǎng)絡(luò)釣魚”舉措之首。花旗銀行在主頁的底部設(shè)有一個(gè)明顯鏈接，以提醒用戶注意有關(guān)電子郵件詐騙的問題。

    何公道說：“網(wǎng)絡(luò)釣魚”也是“愿者上鉤”，之所以不斷發(fā)生，就是人們防范觀念淡薄。如果大家的安全意識(shí)永遠(yuǎn)只停留在現(xiàn)在的話，那么“網(wǎng)絡(luò)釣魚”事件一定會(huì)越來越多。王紅陽說：用戶安全意識(shí)的提高能降低“網(wǎng)絡(luò)釣魚”的風(fēng)險(xiǎn)，嚴(yán)格執(zhí)行的安全策略、良好的安全習(xí)慣、安全技術(shù)的提高，可以大幅度減少“網(wǎng)絡(luò)釣魚”成功的幾率。

    但是記者在完成這篇稿子之前，瀏覽了不少國內(nèi)商業(yè)網(wǎng)站，并沒有發(fā)現(xiàn)關(guān)于“網(wǎng)絡(luò)釣魚”甚至是關(guān)于安全方面的顯著提示，當(dāng)然也沒有看到一些驗(yàn)證手段。

    在美國和英國已經(jīng)開始出現(xiàn)專門反網(wǎng)絡(luò)釣魚的組織，比如去年11月成立的APWG和今年6月成立的“Trusted Electronic Communications Forum（TECF）”，它們致力于教育用戶的目的是終止——至少是降低“網(wǎng)絡(luò)釣魚”的攻擊。

    步驟2：驗(yàn)證

    除了教育外，在線品牌還應(yīng)當(dāng)通過簡單、易用的方式對合法的電子郵件進(jìn)行驗(yàn)證。常被人冒充的eBay發(fā)出警告稱，即使發(fā)信人寫的是“support@ebay.com”和“billing@ebay.com”等內(nèi)容，也不見得就是來自eBay的郵件。

    因?yàn)?ldquo;網(wǎng)絡(luò)釣魚”也是一種垃圾郵件，所以人們可以運(yùn)用相同的垃圾郵件處理工具對網(wǎng)頁和電子郵件進(jìn)行過濾。趨勢科技將推出IWSS 2.0，包含名為PhishTrap的反釣魚技術(shù)，利用詐編網(wǎng)站特征數(shù)據(jù)庫來過濾電子郵件。

    此外，銀行在發(fā)出的電子郵件里啟用了數(shù)位電子簽名，現(xiàn)在技術(shù)的發(fā)展，讓“驗(yàn)明正身”更加簡單，一旦網(wǎng)絡(luò)釣魚者試圖偽造一個(gè)數(shù)字簽名，收件人就會(huì)收到一條警告信息。當(dāng)然，用戶必須學(xué)會(huì)識(shí)別電子簽名。

    遠(yuǎn)期的全球驗(yàn)證項(xiàng)目包括發(fā)送者策略框架（Sender Policy Framework）、Yahoo DomainKeys建議和微軟的Caller-ID。但是，這些方法要想完善起來尚需時(shí)日，而且需要得到在線企業(yè)的100%完全認(rèn)同。

    步驟3：確認(rèn)

    Web站點(diǎn)也需要利用某些確認(rèn)機(jī)制來證明自己的合法性。因此，專業(yè)身份確認(rèn)企業(yè)CoreStreet最近在其Web站點(diǎn)上貼出一種被稱為Spoofstick的免費(fèi)瀏覽器助手。當(dāng)用戶在合法的站點(diǎn)，如http://signin.ebay.com/aw-cgi/ ...時(shí)，請注意在URL框的下方會(huì)出現(xiàn)一個(gè)明顯的注釋，并顯示“You're on ebay.com。”如果用戶被騙到了一個(gè)偽造的站點(diǎn)，如http://signin.ebay.com@10.19.32.4，該注釋便會(huì)顯示“You're on 10.19.32.4。”

    eBay已經(jīng)為它的工具欄添加了一項(xiàng)新的服務(wù)，稱為賬戶保鏢。這項(xiàng)服務(wù)可以告訴用戶是否處于eBay和PayPal的合法站點(diǎn)上。如果當(dāng)用戶將eBay的口令輸入到未經(jīng)確認(rèn)的網(wǎng)站上時(shí)，eBay還會(huì)進(jìn)一步向用戶發(fā)出警告信。

    步驟4：阻斷

    有些ISP還可以阻止用戶被引導(dǎo)到名聲不好的Web站點(diǎn)上。例如，當(dāng)AOL的客戶報(bào)告自己收到了垃圾郵件，那么包含在這封垃圾郵件中的鏈接都將被添加到一個(gè)受阻站點(diǎn)列表中。當(dāng)用戶點(diǎn)擊這些鏈接，它們顯示出的都是錯(cuò)誤頁面。但這一技術(shù)也有可能阻斷那些提供真正商業(yè)服務(wù)的合法鏈接。

    美國EarthLink于4月19日推出了具有防止“網(wǎng)絡(luò)釣魚”功能的工具條，當(dāng)用戶試圖訪問確認(rèn)的詐騙網(wǎng)站，該工具條將會(huì)發(fā)出警告，并且將用戶重定向到EarthLink公司的WWW網(wǎng)頁。而以防堵網(wǎng)站存取起家的Websense，也將“網(wǎng)絡(luò)釣魚”或惡意網(wǎng)站列入防堵項(xiàng)目之一。

    步驟5：監(jiān)視

    EarthLink還使用一種服務(wù)。當(dāng)有人注冊與自己公司類似的品牌時(shí)，該服務(wù)便會(huì)發(fā)出警告。目的是確認(rèn)該網(wǎng)站是否會(huì)通過‘網(wǎng)絡(luò)釣魚’的方式冒充EarthLink。”

    美國萬事達(dá)國際信用卡公司和NameProtect公司6月21日宣布為打擊“網(wǎng)絡(luò)釣魚”建立合作關(guān)系，利用NameProtect實(shí)時(shí)檢測網(wǎng)上犯罪的技術(shù)，監(jiān)視域名、Web網(wǎng)頁、公告板以及垃圾郵件等。監(jiān)視可以使受害者的數(shù)量大幅度減少。