網(wǎng)絡(luò)釣魚(yú) (Phishing)一詞是Phreak(偷接電話線的人)的前兩個(gè)字母ph取代fishing(釣魚(yú))的f之后的結(jié)合體，屬于以“社會(huì)工程學(xué)”結(jié)合電腦科技的犯罪手法。其實(shí)Phishing并不算是一種新的入侵方法，入侵者通過(guò)技術(shù)手段偽造出一些以假亂真的網(wǎng)站，誘惑受害者在偽造灣站上“自愿”交出重要信息或被竊取重要信息的手段。

　經(jīng)近一段時(shí)間的“315”打假，網(wǎng)站打假也正在如火如荼的進(jìn)行中。打假過(guò)程中，用戶反應(yīng)最為強(qiáng)烈的依然是網(wǎng)上銀行的安全系統(tǒng)。近日，通過(guò)上海金融報(bào)的調(diào)查結(jié)果顯示，排列前四名的銀行詐騙事件分別是下面四種，而網(wǎng)絡(luò)釣魚(yú)“榮獲冠軍”：

一、通過(guò)“冒牌網(wǎng)上銀行”(釣魚(yú)網(wǎng)站)進(jìn)行詐騙。

二、用手機(jī)短信、媒體廣告拋出“貸款誘餌”詐騙。

三、冒充國(guó)家公職人員或銀行專業(yè)人士進(jìn)行詐騙。

四、利用朋友等親密關(guān)系，套取客戶資料后盜取資金。

　在春節(jié)過(guò)后的這段時(shí)間里，釣魚(yú)攻擊的電子郵件的數(shù)量沒(méi)有明顯增長(zhǎng)，但不代表那些不法之徒已經(jīng)開(kāi)始退縮，而是在選擇和研究更有效地?fù)糁心繕?biāo)的方法。自從今年開(kāi)始以來(lái)，網(wǎng)絡(luò)釣魚(yú)攻擊已經(jīng)具有了攻擊性更強(qiáng)和技術(shù)更隱蔽的特點(diǎn)。

微軟IE7帶來(lái)的安全感

    網(wǎng)絡(luò)釣魚(yú)與其它攻擊行為的主要取被是入侵者并不需要主動(dòng)攻擊，他們擺出一幅“姜太公釣魚(yú)，愿者上鉤”的姿態(tài)。在詐騙手段上，最主要方式是使用“垃圾郵件”，在電子郵件成為當(dāng)今主要聯(lián)系方式的同時(shí)，即使是大海撈針的行為，也能撈起一兩根針的。這些郵件多以中獎(jiǎng)、顧問(wèn)、對(duì)帳等內(nèi)容引誘用戶在郵件中填入金融賬號(hào)和密碼，或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁(yè)，例如：我最近常收到一些“ADSL交費(fèi)郵件“，或者提示“朋友贈(zèng)送禮品”郵件等，大量“忽悠”的郵件充滿了我的公開(kāi)郵箱。有個(gè)朋友告訴我，他為了一探究竟，在充分準(zhǔn)備防毒軟件和加固系統(tǒng)后，登錄了這些網(wǎng)站，不過(guò)他們都要求提交用戶名、密碼、身份證號(hào)、信用卡號(hào)等信息，他實(shí)在不敢在拿包里的鈔票做游戲了。另外，最近還聽(tīng)說(shuō)有些假冒慈善機(jī)構(gòu)名義募款的網(wǎng)站出現(xiàn)，真可謂喪盡天良。

　Internet Explorer 7正式版推出后，給了我們很大的希望。它與以往任何一個(gè)版本的IE有了顯著的變化和改進(jìn)，尤其增加用戶保護(hù)狀態(tài)，即使黑客入侵了IE也不能全面控制機(jī)器，從而提高了操作系統(tǒng)的整體安全性。我們應(yīng)該承認(rèn)，IE7在廣告攔截能力上有了很大提高，而且除去加密網(wǎng)頁(yè)的警告方式改變之外，新增的反釣魚(yú)檢測(cè)功能，讓我們?cè)谝欢螘r(shí)間里擁有了一絲安全感。

　與病毒感染一樣，普通用戶只會(huì)在瀏覽器遭到修改和欺騙之后才發(fā)現(xiàn)問(wèn)題。他們的IE主頁(yè)和網(wǎng)絡(luò)搜索已被設(shè)置為其它網(wǎng)站，到處都是彈出的窗口，收藏夾里盡是色情網(wǎng)站地址，而且要想完全修復(fù)這些問(wèn)題，既費(fèi)時(shí)又費(fèi)力。隨著時(shí)間的推移，很多用戶根據(jù)實(shí)際應(yīng)用后，感到IE 7這些新增的安全性的并不能代替其他安全產(chǎn)品，單獨(dú)的依靠IE7的安全性去挑戰(zhàn)數(shù)不勝數(shù)的釣魚(yú)攻擊，顯得勢(shì)單力薄。
IE7 防釣魚(yú)的弱點(diǎn)

第一，公眾參與程度低

　拿大家談?wù)撦^多的垃圾郵件防范來(lái)說(shuō)，我們都清楚“可變陌生訪問(wèn)限制(Variable Strange Visiting Limit)”是最為有效的一種控制垃圾郵件技術(shù)，它的核心思想表現(xiàn)為：“根據(jù)郵件接收人對(duì)垃圾郵件的投訴，計(jì)算發(fā)信人的信用，以此控制垃圾郵件的發(fā)送，采用郵件服務(wù)器與郵件地址兩級(jí)白名單控制垃圾郵件的接收。” 這種信用機(jī)制的有效性由VSVL郵件用戶對(duì)垃圾郵件的投訴率決定，如果投訴率太低會(huì)使信用控制失靈，Spammer可以不斷地使用限額發(fā)送垃圾郵件，如投訴率太低就會(huì)累積更多的限額而發(fā)送更多的垃圾郵件。但這種防治方式，長(zhǎng)期無(wú)法普及，這與公眾的參與程度是分不開(kāi)的。微軟除了與安全廠商合作之外，最主要的以IE7人工舉報(bào)為例：“如果你懷疑某網(wǎng)站是一個(gè)仿冒網(wǎng)站，可以單擊 ‘報(bào)告此網(wǎng)站’的功能，這將有助于微軟對(duì)此網(wǎng)站進(jìn)行評(píng)估”。但從國(guó)內(nèi)用戶來(lái)看，這種方法很難避免“釣魚(yú)事件”的減少，IE7的在防釣魚(yú)功能的無(wú)助也暴露無(wú)疑。

第二，微軟產(chǎn)品漏洞，再次引爆“信任危機(jī)”

　近日爆料，以色列安全研究人員 Aviv Raff 稱，微軟 IE7 中存在一個(gè)缺陷，可以讓釣魚(yú)欺詐網(wǎng)站偽裝成正常網(wǎng)站，誘導(dǎo)用戶上當(dāng)受騙。Aviv Raff 指出，問(wèn)題出現(xiàn)在 IE7 處理本地 HTML 錯(cuò)誤信息頁(yè)面的過(guò)程中，比如如果用戶臨時(shí)取消網(wǎng)頁(yè)的載入，就會(huì)出現(xiàn)熟悉的“已取消到該網(wǎng)頁(yè)的導(dǎo)航”頁(yè)面，并提供“刷新該網(wǎng)頁(yè)”的鏈接。一旦用戶點(diǎn)擊這個(gè)“刷新”鏈接，就可能陷入虛假網(wǎng)頁(yè)的欺騙。Raff 已經(jīng)發(fā)布了概念驗(yàn)證型代碼，并且演示IE7如何被騙的過(guò)程。點(diǎn)擊下面的網(wǎng)址，觀看演示

　Aviv Raff指出，這是 IE 里常見(jiàn)的跨網(wǎng)站腳本缺陷，Windows XP 和 Windows Vista 下都無(wú)法幸免。IE7 此前暴露的幾個(gè)漏洞也屬于此類。微軟宣稱已經(jīng)開(kāi)始就此展開(kāi)調(diào)查。雖然尚未發(fā)現(xiàn)任何實(shí)際攻擊，但在微軟發(fā)布補(bǔ)丁前，安全專家奉勸用戶最好不要輕信 IE 的錯(cuò)誤頁(yè)面。唉!剛剛積攢起來(lái)的信任感，又被這個(gè)可怕消息抹殺了。

有效防范釣魚(yú)的建議

　研發(fā)應(yīng)用新技術(shù)，為網(wǎng)絡(luò)信息安全保駕護(hù)航的同時(shí)，我們呼吁用戶更要在通過(guò)互連網(wǎng)進(jìn)行金融業(yè)務(wù)的同時(shí)堅(jiān)強(qiáng)自我防范的意識(shí)。并且呼吁有關(guān)機(jī)關(guān)，對(duì)與危害社會(huì)穩(wěn)定和國(guó)家金融安全、煽動(dòng)和誘導(dǎo)犯罪、損毀他人名譽(yù)、網(wǎng)絡(luò)欺詐侵權(quán)、黑客攻擊、傳播色情信息等違法行為加以嚴(yán)懲，讓“釣魚(yú)者”成為整個(gè)社會(huì)捕殺的對(duì)象。具體的講，防止釣魚(yú)事件的發(fā)生要從以下幾個(gè)方面入手：

個(gè)人安全意識(shí)的提高

　對(duì)于個(gè)人用戶來(lái)講，提高警惕是第一位的。不登錄不熟悉的網(wǎng)站，鍵入網(wǎng)站地址的時(shí)候要校對(duì)，如果發(fā)現(xiàn)網(wǎng)址中出現(xiàn)“@”等特殊字符一定要小心，以防誤入狼窩。另外在陌生郵件和即時(shí)通訊工具上的傳來(lái)的消息，一定不要抱著“試一試”的心態(tài)，天上即使掉餡餅也不會(huì)砸到你的。最后，安裝殺毒軟件并及時(shí)升級(jí)病毒知識(shí)庫(kù)和操作系統(tǒng)補(bǔ)丁、安裝個(gè)人防火墻等，都能提高電腦的安全性。

安全技術(shù)的推廣

　很多廠商和也提出了一系列的反網(wǎng)絡(luò)釣魚(yú)對(duì)策，如：改善網(wǎng)頁(yè)應(yīng)用程序的存取技術(shù)，使用硬件式的單次密碼系統(tǒng);強(qiáng)化網(wǎng)站登入認(rèn)證機(jī)制，使用安全證書(shū)等。很多措施應(yīng)該是可以有效避免用戶被釣行為的發(fā)生，比如：?jiǎn)未蚊艽a系統(tǒng)，用戶操作界面網(wǎng)頁(yè)個(gè)人化等等，但很多普通用戶根本不了解這些知識(shí)，所以普及和推廣不但要在金融行業(yè)的用戶，對(duì)于個(gè)人用戶也應(yīng)加強(qiáng)。

　嚴(yán)懲“釣魚(yú)者”

　由于釣魚(yú)欺詐行動(dòng)隱秘，因此一般很難抓到犯罪嫌疑人，不過(guò)法網(wǎng)恢恢疏而不漏，根據(jù)美國(guó)媒體報(bào)道，一名加利福尼亞男子因此可能被判入獄101年。Jeffrey Brett Goodin現(xiàn)年45歲，來(lái)自美國(guó)加州Azusa市，兩周前被洛杉磯聯(lián)邦地方法院判定有罪，他成為美國(guó)2003年《反垃圾郵件法》(Can-Spam Act of 2003)確定后的第一個(gè)個(gè)人犯罪案例，罪名包括：網(wǎng)絡(luò)欺詐、盜用信用卡、濫用AOL商標(biāo)、阻攔證人作證等等。眾罪并罰，要想出獄，Goodin就必須等到2108年。雖然是國(guó)外的法律案例，但我想，這可能對(duì)國(guó)內(nèi)的犯罪分子和立法機(jī)構(gòu)都是一個(gè)刺激。我們呼吁有關(guān)機(jī)關(guān)，對(duì)與危害社會(huì)穩(wěn)定和國(guó)家金融安全、煽動(dòng)和誘導(dǎo)犯罪、損毀他人名譽(yù)、網(wǎng)絡(luò)欺詐侵權(quán)、黑客攻擊、傳播色情信息等違法行為加以嚴(yán)懲，讓“釣魚(yú)者”成為整個(gè)社會(huì)捕殺的對(duì)象。