網(wǎng)絡釣魚 (Phishing)一詞是Phreak(偷接電話線的人)的前兩個字母ph取代fishing(釣魚)的f之后的結合體，屬于以“社會工程學”結合電腦科技的犯罪手法。其實Phishing并不算是一種新的入侵方法，入侵者通過技術手段偽造出一些以假亂真的網(wǎng)站，誘惑受害者在偽造灣站上“自愿”交出重要信息或被竊取重要信息的手段。

　經(jīng)近一段時間的“315”打假，網(wǎng)站打假也正在如火如荼的進行中。打假過程中，用戶反應最為強烈的依然是網(wǎng)上銀行的安全系統(tǒng)。近日，通過上海金融報的調(diào)查結果顯示，排列前四名的銀行詐騙事件分別是下面四種，而網(wǎng)絡釣魚“榮獲冠軍”：

一、通過“冒牌網(wǎng)上銀行”(釣魚網(wǎng)站)進行詐騙。

二、用手機短信、媒體廣告拋出“貸款誘餌”詐騙。

三、冒充國家公職人員或銀行專業(yè)人士進行詐騙。

四、利用朋友等親密關系，套取客戶資料后盜取資金。

　在春節(jié)過后的這段時間里，釣魚攻擊的電子郵件的數(shù)量沒有明顯增長，但不代表那些不法之徒已經(jīng)開始退縮，而是在選擇和研究更有效地擊中目標的方法。自從今年開始以來，網(wǎng)絡釣魚攻擊已經(jīng)具有了攻擊性更強和技術更隱蔽的特點。

微軟IE7帶來的安全感

    網(wǎng)絡釣魚與其它攻擊行為的主要取被是入侵者并不需要主動攻擊，他們擺出一幅“姜太公釣魚，愿者上鉤”的姿態(tài)。在詐騙手段上，最主要方式是使用“垃圾郵件”，在電子郵件成為當今主要聯(lián)系方式的同時，即使是大海撈針的行為，也能撈起一兩根針的。這些郵件多以中獎、顧問、對帳等內(nèi)容引誘用戶在郵件中填入金融賬號和密碼，或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁，例如：我最近常收到一些“ADSL交費郵件“，或者提示“朋友贈送禮品”郵件等，大量“忽悠”的郵件充滿了我的公開郵箱。有個朋友告訴我，他為了一探究竟，在充分準備防毒軟件和加固系統(tǒng)后，登錄了這些網(wǎng)站，不過他們都要求提交用戶名、密碼、身份證號、信用卡號等信息，他實在不敢在拿包里的鈔票做游戲了。另外，最近還聽說有些假冒慈善機構名義募款的網(wǎng)站出現(xiàn)，真可謂喪盡天良。

　Internet Explorer 7正式版推出后，給了我們很大的希望。它與以往任何一個版本的IE有了顯著的變化和改進，尤其增加用戶保護狀態(tài)，即使黑客入侵了IE也不能全面控制機器，從而提高了操作系統(tǒng)的整體安全性。我們應該承認，IE7在廣告攔截能力上有了很大提高，而且除去加密網(wǎng)頁的警告方式改變之外，新增的反釣魚檢測功能，讓我們在一段時間里擁有了一絲安全感。

　與病毒感染一樣，普通用戶只會在瀏覽器遭到修改和欺騙之后才發(fā)現(xiàn)問題。他們的IE主頁和網(wǎng)絡搜索已被設置為其它網(wǎng)站，到處都是彈出的窗口，收藏夾里盡是色情網(wǎng)站地址，而且要想完全修復這些問題，既費時又費力。隨著時間的推移，很多用戶根據(jù)實際應用后，感到IE 7這些新增的安全性的并不能代替其他安全產(chǎn)品，單獨的依靠IE7的安全性去挑戰(zhàn)數(shù)不勝數(shù)的釣魚攻擊，顯得勢單力薄。
IE7 防釣魚的弱點

第一，公眾參與程度低

　拿大家談論較多的垃圾郵件防范來說，我們都清楚“可變陌生訪問限制(Variable Strange Visiting Limit)”是最為有效的一種控制垃圾郵件技術，它的核心思想表現(xiàn)為：“根據(jù)郵件接收人對垃圾郵件的投訴，計算發(fā)信人的信用，以此控制垃圾郵件的發(fā)送，采用郵件服務器與郵件地址兩級白名單控制垃圾郵件的接收。” 這種信用機制的有效性由VSVL郵件用戶對垃圾郵件的投訴率決定，如果投訴率太低會使信用控制失靈，Spammer可以不斷地使用限額發(fā)送垃圾郵件，如投訴率太低就會累積更多的限額而發(fā)送更多的垃圾郵件。但這種防治方式，長期無法普及，這與公眾的參與程度是分不開的。微軟除了與安全廠商合作之外，最主要的以IE7人工舉報為例：“如果你懷疑某網(wǎng)站是一個仿冒網(wǎng)站，可以單擊 ‘報告此網(wǎng)站’的功能，這將有助于微軟對此網(wǎng)站進行評估”。但從國內(nèi)用戶來看，這種方法很難避免“釣魚事件”的減少，IE7的在防釣魚功能的無助也暴露無疑。

第二，微軟產(chǎn)品漏洞，再次引爆“信任危機”

　近日爆料，以色列安全研究人員 Aviv Raff 稱，微軟 IE7 中存在一個缺陷，可以讓釣魚欺詐網(wǎng)站偽裝成正常網(wǎng)站，誘導用戶上當受騙。Aviv Raff 指出，問題出現(xiàn)在 IE7 處理本地 HTML 錯誤信息頁面的過程中，比如如果用戶臨時取消網(wǎng)頁的載入，就會出現(xiàn)熟悉的“已取消到該網(wǎng)頁的導航”頁面，并提供“刷新該網(wǎng)頁”的鏈接。一旦用戶點擊這個“刷新”鏈接，就可能陷入虛假網(wǎng)頁的欺騙。Raff 已經(jīng)發(fā)布了概念驗證型代碼，并且演示IE7如何被騙的過程。點擊下面的網(wǎng)址，觀看演示

　Aviv Raff指出，這是 IE 里常見的跨網(wǎng)站腳本缺陷，Windows XP 和 Windows Vista 下都無法幸免。IE7 此前暴露的幾個漏洞也屬于此類。微軟宣稱已經(jīng)開始就此展開調(diào)查。雖然尚未發(fā)現(xiàn)任何實際攻擊，但在微軟發(fā)布補丁前，安全專家奉勸用戶最好不要輕信 IE 的錯誤頁面。唉!剛剛積攢起來的信任感，又被這個可怕消息抹殺了。

有效防范釣魚的建議

　研發(fā)應用新技術，為網(wǎng)絡信息安全保駕護航的同時，我們呼吁用戶更要在通過互連網(wǎng)進行金融業(yè)務的同時堅強自我防范的意識。并且呼吁有關機關，對與危害社會穩(wěn)定和國家金融安全、煽動和誘導犯罪、損毀他人名譽、網(wǎng)絡欺詐侵權、黑客攻擊、傳播色情信息等違法行為加以嚴懲，讓“釣魚者”成為整個社會捕殺的對象。具體的講，防止釣魚事件的發(fā)生要從以下幾個方面入手：

個人安全意識的提高

　對于個人用戶來講，提高警惕是第一位的。不登錄不熟悉的網(wǎng)站，鍵入網(wǎng)站地址的時候要校對，如果發(fā)現(xiàn)網(wǎng)址中出現(xiàn)“@”等特殊字符一定要小心，以防誤入狼窩。另外在陌生郵件和即時通訊工具上的傳來的消息，一定不要抱著“試一試”的心態(tài)，天上即使掉餡餅也不會砸到你的。最后，安裝殺毒軟件并及時升級病毒知識庫和操作系統(tǒng)補丁、安裝個人防火墻等，都能提高電腦的安全性。

安全技術的推廣

　很多廠商和也提出了一系列的反網(wǎng)絡釣魚對策，如：改善網(wǎng)頁應用程序的存取技術，使用硬件式的單次密碼系統(tǒng);強化網(wǎng)站登入認證機制，使用安全證書等。很多措施應該是可以有效避免用戶被釣行為的發(fā)生，比如：單次密碼系統(tǒng)，用戶操作界面網(wǎng)頁個人化等等，但很多普通用戶根本不了解這些知識，所以普及和推廣不但要在金融行業(yè)的用戶，對于個人用戶也應加強。

　嚴懲“釣魚者”

　由于釣魚欺詐行動隱秘，因此一般很難抓到犯罪嫌疑人，不過法網(wǎng)恢恢疏而不漏，根據(jù)美國媒體報道，一名加利福尼亞男子因此可能被判入獄101年。Jeffrey Brett Goodin現(xiàn)年45歲，來自美國加州Azusa市，兩周前被洛杉磯聯(lián)邦地方法院判定有罪，他成為美國2003年《反垃圾郵件法》(Can-Spam Act of 2003)確定后的第一個個人犯罪案例，罪名包括：網(wǎng)絡欺詐、盜用信用卡、濫用AOL商標、阻攔證人作證等等。眾罪并罰，要想出獄，Goodin就必須等到2108年。雖然是國外的法律案例，但我想，這可能對國內(nèi)的犯罪分子和立法機構都是一個刺激。我們呼吁有關機關，對與危害社會穩(wěn)定和國家金融安全、煽動和誘導犯罪、損毀他人名譽、網(wǎng)絡欺詐侵權、黑客攻擊、傳播色情信息等違法行為加以嚴懲，讓“釣魚者”成為整個社會捕殺的對象。