§ 简介

网络钓鱼

网络钓鱼（Phishing‎，与钓鱼的英语fishing‎发音相近，又名钓鱼法或钓鱼式攻击）是通过电子邮件或即时通讯工具，大量发送声称来自于银行或其他知名机构的欺骗性信息，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。

最典型的网络钓鱼攻击是将收信人引诱到一个通过精心设计、与目标组织的网站非常相似的钓鱼网站（官方外观的假冒网站）上，冒充真正需要信息的值得信任的人，并欺诈性地获取收信人在此网站上输入的个人敏感信息（比如口令和信用卡细节），通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。

网络钓鱼（Phishing）一词，是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了”Phishing”。早期的案例主要在美国发生，但随著亚洲地区的因特网服务日渐普遍，有关攻击亦开始在亚洲各地出现。

“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动时，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。诈骗者则通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。

在美国和英国已经开始出现专门反网络钓鱼的组织，越来越多在线企业、技术公司、安全机构加入到反“网络钓鱼”组织的行列，比如微软、戴尔都宣布设立专案分析师或推出用户教育计划，微软还捐出4.6万美元的软件，协助防治“网络钓鱼”。

防止在这类网站受害的最好办法就是记住正宗网站的网址，并当链接到一个银行网站时，对香港亦有多宗案例，指有网站假冒并尚未开设网上银行服务的银行，利用虚假的网站引诱客户在网上进行转账，但其实把资金转往网站开设者的账户内。而从2004年开始，有关诈骗亦开始在中国大陆出现，曾出现过多起假冒银行网站，比如假冒的中国工商银行网站。

§ 主要手法

一是发送电子邮件，以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。

二是建立假冒网上银行、网上证券网站，骗取用户帐号密码实施盗窃。犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金；还有的利用跨站脚本，即利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意Html代码，屏蔽住一些可以用来辨别网站真假的重要信息，利用cookies窃取用户信息。

三是利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹。如2003年，罪犯佘某建立“奇特器材网”网站，发布出售间谍器材、黑客工具等虚假信息，诱骗顾主将购货款汇入其用虚假身份在多个银行开立的帐户，然后转移钱款的案件。

四是利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金将受到严重威胁。

五是利用用户弱口令等漏洞破解、猜测用户帐号和密码。不法分子利用部分用户贪图方便设置弱口令的漏洞，对银行卡密码进行破解。

§ 六大种类

一、假冒网站:

这类网站的域名和正式的网站差别很小，可能仅仅是一个字母的差别，然后在网站中留下木马或者其他陷阱等待上当着登录。比较典型的例子是：

a)　 假联想网站 http://www.1enovo.com，而联想网站的地址是 http://www.lenovo.com，其中仅有字母L和数字1的区别，而小写的L和1是如此的相近，单凭肉眼几乎难以分辨。假网站在网站的页面上布上木马陷阱，等待有人访问中毒。

b)　 假工行网站，http://www.1cbc.com.cn，而真的工行网站是http://www.icbc.com.cn，也是一个字母只差，但数字1和字母i虽然相近，但细心的用户还是能够分辩出来的。此假网站是用来骗取用户帐户和密码的。

c)　 假中国银行网站http://www.956666.com。因为中国银行的服务电话是95566。

二、伪装网站

这类网站是通过技术手段，对浏览器显示进行修改，让用户误以为进入了正确的网站。典型的案例是伪装美邦银行网站（见案例2），等待病毒网站进入，通过Java程序弹出一个包含正确地址的浮动窗口，遮蔽真正的地址栏，欺骗用户。

三、通过3721等网络实名进行欺骗

典型的网站是有人在3721中注册了网络实名：“五笔”，进入后直接链接到了一个恶意网站http://lwmg.vip.sina.com/wb.htm，网页内容跟某一个著名的五笔输入法完全一样的内容，但点击下载后，下载的内容并不是输入法，而是一个窃取传奇游戏密码的病毒。

四、亦卖亦盗

木马作者的主页上，也可能是木马作者的试验地。一些找上门来买木马的人，先被木马的作者下了毒。案例是：木马专售网站暗藏病毒买毒者害人未成先害己。

用户在访问“木马之家”（http://www.17951.cn）时，在不知情的情况下自动以隐藏方式打开http://www.sunhack.info/3721/index.htm网页，该网页综合利用了IE的三个漏洞（MHT漏洞、object data漏洞、HHCTRL漏洞）进行木马病毒传播。利用IE的object data漏洞释放恶意网页文件TrojanDropper.VBS.Jingtao，利用IE的MHT漏洞释放恶意网页文件Exploit.MhtRedir.hov以及TrojanDropper.Mht.Psyme.dgc，利用IE的HHCTRL漏洞释放 “密码7005”Trojan/PSW.Mir7005.bo，该病毒专门盗取网络游戏《传奇》的账号、密码等信息，通过电子邮件发送给病毒作者，同时还会终止多种其他传奇游戏木马的进程。资料显示，“木马之家”是一家专业木马售卖网站，除提供天堂木马、千年木马、奇迹木马、QQ木马等病毒，还提供各类木马病毒生成器。

五、传播病毒

这种情况可能是网站管理人员的电脑被病毒感染后，又将带毒的文件上传到了服务器上。比较多的就是VBS/KJ和VBS/HappyTime。这些虽然有维护但后果不算严重。在此类病毒流行期间，经常有网站在传播病毒。

六、偷梁换柱

在很多正常的网站中，经常夹杂一些病毒和木马在里边，可能是网站被黑客攻陷或者网站管理人员监守自盗。这类通常表现为网页都正常，但里边夹杂着盗取密码等敏感信息的木马。案例是：证券大盗。网站是http://shoufan.com。

§ 防范方法

对个人用户的建议：

1、提高警惕，不登录不熟悉的网站，键入网站地址的时候要校对，以防输入错误误入狼窝，细心就可以发现一些破绽。

2、不要打开陌生人的电子邮件，更不要轻信他人说教，特别是即时通讯工具上的传来的消息，很有可能是病毒发出的。

3、安装杀毒软件并及时升级病毒知识库和操作系统（如Windows）补丁。

4、将敏感信息输入隐私保护，打开个人防火墙。

5、收到不明电子邮件时不要点击其中的任何链接。登录银行网站前，要留意浏览器地址栏，如果发现网页地址不能修改，最小化IE窗口后仍可看到浮在桌面上的网页地址等现象，请立即关闭IE窗口，以免账号密码被盗。

对于企业用户的建议：

1、安装杀毒软件和防火墙。

2、加强电脑安全管理，及时更新杀毒软件，升级操作系统补丁。

3、加强员工安全意识，及时培训网络安全知识。

4、一旦发现有害网络，要及时在防火墙中屏蔽它。

5、为避免被“网络钓鱼”冒名，最重要的是加大制作网站的难度。具体办法包括：“不使用弹出式广告”、“不隐藏地址栏”、“不使用框架”等。这种防范是必不可少的，因为一旦网站名称被“网络钓鱼”者利用的话，企业也会被卷进去，所以应该在泛滥前做好准备。

§ 成功的关键

网络钓鱼充分利用了人们的心理漏洞，首先，人们收到银行这类影响力很大的商务邮件时几乎都会紧张，很多人都不曾怀疑信件的真实性，更会下意识地根据要求打开邮件里面指定的URL进行操作；其次，页面打开后，我们通常都只会留意页面内容而不会注意浏览器地址栏的显示，正是这点让“垂钓者”有了可乘之机。

其实“垂钓者”们是可以利用IE的URL欺骗漏洞把自己伪装得更像一回事似的，只是现在IE普遍打了补丁，这种情况下还使用这个漏洞就会“不打自招”了，所以只有极少数“垂钓者”会采用这个方法，有的“垂钓者”根本连个看起来“比较正规”的域名都没有，而是采用IP地址形式甚至直接光明正大把真实地址显示在浏览器的地址栏里——因为他们知道，除非出现意外情况，否则大部分人根本是不会注意浏览器的地址栏的。

看到这个警报的提示，我们可以手动进行反钓鱼攻击的检测程序，或者打开自动检测检测功能。另外，还可以向微软汇报一个带有钓鱼攻击的站点URL，微软的网上数据库会将此地址收入，并提供给其他用户作为参考。采用这种群策群力对抗系统威胁的方式，使得遭受攻击的可能性大大降低。

§ 案例

早期的案例主要在美国发生，但随着亚洲地区的因特网服务日渐普遍，有关攻击亦开始在亚洲各地出现。从外观看，与真正的银行网站无异，但却在用户以为是真正的银行网站而使用网络银行等服务时将用户的账号及密码窃取，从而使用户蒙受损失。防止在这类网站受害的最好办法就是记住正宗网站的网址，并当链接到一个银行网站时，对网址进行仔细对比。在2003年，于香港亦有多宗案例，指有网站假冒并尚未开设网上银行服务的银行，利用虚假的网站引诱客户在网上进行转帐，但其实把资金转往网站开设者的户口内。而从2004年开始，有关诈骗亦开始在中国大陆出现，曾出现过多起假冒银行网站，比如假冒的中国工商银行网站。

某服装公司的张经理带着十几个重要员工来到郊外一个鱼塘进行垂钓活动。张经理放置好钓具后，便打开了随身携带的笔记本电脑并连上网络，他想利用这点时间处理一下最近的一笔生意。秘书见他在这种时候还离不开工作，便劝他：“经理，今天是游玩的日子，难得放松一下，今天还是不要处理公司业务了吧……您不怕钓竿被鱼叼走了？”张经理对秘书笑了笑，看着身前的钓竿缓缓说道：“都说姜太公钓鱼，愿者上钩，但是如果不知道提竿的时机，即将到手的鱼也会溜走的。等这笔生意谈妥，我再休息也不迟。”说罢又继续低头敲键盘。

生意终于谈妥，客户把货款转入张经理的银行账户，张经理笑了：“这条大鱼终于被我钓到了。”然后他登上网络银行账户查看转账情况。当页面上显示出账户剩余金额时，张经理心里一紧，接着有了晕眩的感觉：账户里原来的存款不翼而飞，页面里惟有客户刚刚转入的货款，仿佛在嘲笑着张经理。

张经理做梦也没想到，这一次，他成了别人钓上的鱼，而且是大鱼。

§ 参考资料

[1] 国家计算器病毒应急处理中心 http://www.antivirus-china.org.cn/content/antiphishing.htm

[2] 瑞星网http://alert.rising.com.cn/virus/help/virus_class8.htm

[3] 江民杀毒网http://www.jiangmin.com/news/jiangmin/jmnews/chinajm/200639141713.htm

• 杨明
• 杨明义
• 杨明书
• 杨明亮
• 杨明俊烈士
• 杨明光
• 杨明声烈士
• 杨明女烈士
• 杨明干
• 杨明斋
• 杨明智
• 杨明森烈士
• 杨明江
• 杨明照
• 杨明理
• 杨明生
• 杨明秋
• 杨明葆
• 杨明谦烈士
• 杨明辅
• 杨明金烈士
• 杨易木
• 杨昔昌烈士
• 杨昔浪烈士
• 杨昔荣烈士