“你中了一臺PSX！請馬上登錄到以下網站，輸入你的居住地址”、“未交納系統使用費。請在以下網頁上輸入用戶ID與口令察看詳細說明”。

通過類似的郵件將用戶誘導到假冒網站上輸入個人信息，日本國內也開始面臨這樣的網絡欺詐問題了。這種網絡詐騙活動被稱作是“phishing”。

開頭的兩個郵件分別冒充索尼（http://www.sony.co.jp/SonyInfo/News/ServiceArea/040618/）與日本雅虎（http://docs.yahoo.co.jp/info/notice10.html），將用戶誘導到某個網站，都完全是冒牌的。郵件所鏈接的網站當然也冒牌的，輸入的個人信息將落入不懷好意的人手里…。

通過假冒郵件“引誘”用戶

自2003年以來，phishing在美國已經成為一項大問題。phishing的目的是盜取信用卡號碼和密碼等用戶個人信息。被盜的個人信息不可避免地遭到惡意使用。phishing的基本手法如下：

試圖進行phishing的人（被稱作“phisher”）首先向大量非特定用戶發送看起來像是來自著名企業的郵件。郵件正文含有誘導用戶登錄到某一指定網站的內容。在美國，phishing郵件大多采用“如果不立即登記，你的帳戶很快就會失效。失效后將無法利用在線服務”等威脅性詞句（見左下畫面）。

用戶趕忙點擊郵件中的鏈接，出現一個與著名企業非常相似的假冒網頁（見右下畫面）。為了讓用戶深信不疑，假冒網頁有時還利用真正網頁作掩護。如果把個人信息輸入到假冒網頁上，這些信息就被發送到phisher那里。

假冒美國城市銀行，試圖將用戶誘導至假冒網頁的郵件。寫有“為確認帳戶，請點擊以下鏈接，按照要求輸入相應信息。否則帳戶將會失效”的內容。正文中的URL是正宗的，但由于對鏈接做了手腳，點擊后就會被鏈接到假冒網頁。

點擊左邊畫面后就被誘導到這個網頁上。利用了真正網頁上的畫面，看起來與真正網頁非常相似。另外，為了避免用戶看清URL，網頁不顯示地址欄

利用用戶輕信“郵件發件人名稱”與“網頁印象”

要想“成功”地進行phishing，必須讓用戶覺得：（1）“認為假冒郵件的發送者是著名企業”；（2）“以為假冒郵件中給出的鏈接可以鏈接到著名企業的網站”；（3）“以為鏈接到的網頁就是著名企業的網頁”。全部滿足這些條件似乎非常困難，但實際上并不是很難。因為他們利用了用戶過于輕信“自己的感覺印象”

首先是第（1）項，只要郵件發送者名稱“差不多”，許多用戶都會上當。例如，當顯示“Citibank Support”與“support@citibank.com”等名稱的時候，大都會以為是來自城市銀行（Citibank）的郵件。郵件發件人名稱（From地址）所顯示的信息不過是正文的一部分，發件人可以隨意編造。

關于第（2）項，如果使用的是HTML郵件，可以將實際鏈接對象（鏈接到假冒網頁）隱藏起來。例如，正文中顯示為“http://www.citibank.com/”的部分可以鏈接為一個與顯示內容毫不相干的假冒網站的URL。同樣，對于第（3）項，只要將著名企業網頁的圖像數據搬過來，可以做得想有多像就有多像。再加上地址欄不顯示出來，用戶也就不會再懷疑是不是真正的URL了。

此外還出現了惡意利用郵件軟件的安全漏洞，偽裝狀態條的phishing（見下圖）。發到編輯部來的郵件中就有突破Outlook Express安全漏洞并做了手腳的郵件。因此，盡管在狀態條中顯示的是以“http://www.usbank.com/”開頭的URL（該URL實際上是美國城市銀行的URL），但用鼠標點擊后卻進入到與該公司毫不相干的假冒網頁上。

除此之外還有各種各樣的phishing。在當前情況不能再相信“感覺印象”了。

突破郵件軟件Outlook Express安全漏洞的phishing郵件。在顯示鏈接對象的狀態條下（畫面最下方），顯示的是以“http://www.usbank.com/”開頭的URL，但點擊后卻鏈接到完全不同的另外一個網頁上。

防范對策是“懷疑一切”

面對這些挖空心思誘人上當的phishing，最重要的是不要輕信郵件，也不要輕易點擊郵件中的鏈接，盡量不在郵件鏈接的網頁上輸入個人信息。準備輸入個人信息的網頁，最好是親自在地址欄中輸入URL。如果能做到這些，就不用擔心會被假冒網頁欺騙了。

首先不要理會來路不明的郵件。絕對不要對郵件內容做出回應而去點擊鏈接，更不能回復郵件。如果對郵件內容實在是難以定奪的話，通過“直接向這家公司打電話”或“登錄該公司網頁”來進行確認。但此時絕對不要使用郵件上提供的電話號碼或URL。要使用自已查到的確鑿可靠的公司電話號碼或URL。

說起網絡詐騙，目前在日本國內受害最多的還是“虛擬申請郵件”。實際上國民生活中心等已經全力提請公眾注意（http://www.kokusen.go.jp/soudan_now/twoshotto.html）。但正如本文開頭所提到的那樣，日本國內也開始出現phishing。何時流行只是一個時間問題。在開始流行之前，希望大家都能對phishing有一個充分的認識。