网络钓鱼

From upnb游本网--笔记本电脑知识库（笔记本wiki)--您身边的电脑词典

网络钓鱼（Phishing），是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了”Phishing”。

• “网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。
• 在美国和英国已经开始出现专门反网络钓鱼的组织，越来越多在线企业、技术公司、安全机构加入到反“网络钓鱼”组织的行列，比如微软、戴尔都宣布设立专案分析师或推出用户教育计划，微软还捐出4.6万美元的软件，协助防治“网络钓鱼”。

目录 1 网络钓鱼的主要手法 2 网络钓鱼的防范方法 2.1 对个人用户的建议 2.2 对于企业用户的建议

网络钓鱼的主要手法

1. 发送电子邮件，以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。
2. (参见：伪装网站欺诈六大种类)建立假冒网上银行、网上证券网站，骗取用户帐号密码实施盗窃。犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金；还有的利用跨站脚本，即利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意Html代码，屏蔽住一些可以用来辨别网站真假的重要信息，利用cookies窃取用户信息。
3. 利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹。如2003年，罪犯佘某建立“奇特器材网”网站，发布出售间谍器材、黑客工具等虚假信息，诱骗顾主将购货款汇入其用虚假身份在多个银行开立的帐户，然后转移钱款的案件。
4. 利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金将受到严重威胁。
5. 利用用户弱口令等漏洞破解、猜测用户帐号和密码。不法分子利用部分用户贪图方便设置弱口令的漏洞，对银行卡密码进行破解。

网络钓鱼的防范方法

对个人用户的建议

1. 提高警惕，不登录不熟悉的网站，键入网站地址的时候要校对，以防输入错误误入狼窝，细心就可以发现一些破绽。
2. 不要打开陌生人的电子邮件，更不要轻信他人说教，特别是即时通讯工具上的传来的消息，很有可能是病毒发出的。
3. 安装杀毒软件并及时升级病毒知识库和操作系统（如Windows）补丁。
4. 将敏感信息输入隐私保护，打开个人防火墙。
5. 收到不明电子邮件时不要点击其中的任何链接。登录银行网站前，要留意浏览器地址栏，如果发现网页地址不能修改，最小化IE窗口后仍可看到浮在桌面上的网页地址等现象，请立即关闭IE窗口，以免账号密码被盗。

对于企业用户的建议

1. 安装杀毒软件和防火墙。
2. 加强电脑安全管理，及时更新杀毒软件，升级操作系统补丁。
3. 加强员工安全意识，及时培训网络安全知识。
4. 一旦发现有害网络，要及时在防火墙中屏蔽它。
5. 为避免被“网络钓鱼”冒名，最重要的是加大制作网站的难度。具体办法包括：“不使用弹出式广告”、“不隐藏地址栏”、“不使用框架”等。这种防范是必不可少的，因为一旦网站名称被“网络钓鱼”者利用的话，企业也会被卷进去，所以应该在泛滥前做好准备。