網絡釣魚與網絡安全初探

摘要：近些年，中國多次發生“網絡釣魚”攻擊的案件，而且形勢非常嚴重。網絡安全中最嚴重的威脅之一是網絡釣魚，網絡釣魚威脅我們的網絡安全。網絡是一把雙刃劍，很多網民受到網絡釣魚的危害。只有學術與產業相結合，共同推進和完善，才能建設更加健康的網絡環境，創造更好的互聯網生活。

關鍵詞：網絡釣魚；網絡安全問題；防范；手段

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 (2012) 06-0076-01

一、網絡釣魚概述

網絡釣魚實際上是一種利用受害者心理的一種網絡詐騙手段。人們都有心理的弱點、本能的反應、基本的心理好奇和各種心理。詐騙者正是利用受害者這種心理進行誘惑受害者，使受害者上當受騙。它本身并沒有太高深的技術手段。

網絡釣魚其實就是身份竊取，只要是那些利用計算機網絡誘騙他人在不知道的情況下透露其個人真實的身份信息的行為。

二、網絡釣魚的網絡安全問題

（一）“網絡釣魚”的表現形式 根據分析，網絡釣魚有兩種表現形式：第一種是利用有可信度的信息來欺騙網友，比如銀行網頁輸入用戶名、密碼或者要求更改密碼等等。因為這種事情是有可能發生的，所以網民沒有多想，于是就會上當受騙。這種信息是廣為發送，所以總會有人相信的。第二種形式是利用身份信息來欺騙網民。當欺騙者具有一定的網民信息時，他會利用這種信息取得網民的信任，從而使網民上當受騙。當前釣魚網站的發展呈現出“對象分散”、“手段多樣”、“黑色利益鏈”三大特點，這意味著釣魚網站的防范和治理難度進一步加大。

（二）“網絡釣魚”的防范措施：

網民在網上沖浪，怎么樣才能避免“網絡釣魚”呢？我們可以采取的防范措施有四種。

1.針對電子郵件欺詐，不要輕易打開電子郵件和不要隨意接聽陌生的電話。

2.網絡釣魚中比較普遍的是假冒網上銀行、網上證券網站。這對這種情況，網民進行交易時，可以核對地址，對比真實的網址與看到的網址是否一致。另外對于自己的信息也要保管好，比如密碼的選取不能使用簡單的數字、字母、家庭電話、身份證號等等。還有要管理好自己的數字證書，對于異常情況進行監控。一旦發現異常信息馬上打電話給有關的客戶服務熱線。

3.對于虛假的商務信息，也要仔細分析。任何商務信息都要仔細的核對其合法身份，對于其資質、背景調查清楚，不可過于信任。

4.應用其它網絡安全措施。比如常用的防火墻以及防病毒軟件，注意要經常升級。也可以給系統打補丁，或者禁止運行瀏覽器的JavaScript和ActiveX代碼，最重要的是不要瀏覽不正式的網站和從網站下載文件在打開之前要進行殺毒。要有意識的保護自己的信息安全。

（三）網絡釣魚的種類

網絡釣魚的種類很多，根據其特征可以分為:

第一種，采用誘騙手段進行網絡釣魚。這種方式的釣魚欺詐最常采取電子郵件作為欺詐工具。基本過程是這樣的：網絡釣魚者會發出大量的誘騙電子郵件，這些電子郵件包換一些網頁表哥和一些要求客戶填寫表格的幌子，通過文字來誘使你相信電子郵件的內容，并寫下回信。通常郵件里會包含一個超級鏈接，表面上方便用戶連接網頁，實際上這個鏈接會導致用戶鏈接到一個偽造的網站上。

第二種，采用惡意軟件來進行釣魚欺詐。這種方式是指網絡上利用用戶的好奇、獵奇等心理下載惡意軟件到用戶的電腦上，惡意軟件運行在用戶的電腦上，或者利用客戶電腦的安全漏洞自動下載惡意軟件。

第三種，采取相仿域名進行釣魚欺詐。這個假的域名跟真的域名十分相似，如果不仔細區分，網民很容易被釣魚者魚目混珠，導致登陸了釣魚網站，并在釣魚網站上輸入敏感信息，比如身份證號碼、登陸賬號、密碼、信用卡密碼等等。

第四種，采取將惡意內容植入到合法網站內的釣魚欺詐。被植入惡意內容的網站會將連接到用于欺詐的網站上，或者會安裝木馬軟件到網民的電腦上，竊取用戶的資料。然后在用這些資料來進行誘騙。

第五種，采取中間人攻擊手段進行釣魚欺詐。這是網絡釣魚者在客戶與合法網站傳輸數據之間竊取數據，將本來是發送給合法網站的內容給竊取過來，反之，合法網站傳送給用戶的信息也被竊取。網絡釣魚者往往會篡改傳輸中的信息，比如，更改網頁鏈接地址。讓網站和用戶蒙在鼓里，用戶吃了虧還不知道。

第六種，利用搜索引擎進行釣魚欺詐。這也是網絡釣魚者常用的一種手段。銷售一些虛假的商品，作為誘餌，吸引買家。而買家通過搜索引擎搜索到這些產品。這些產品的特點就是物美價廉，甚至是低于平常正常價格，以此來吸引買家。一旦買家點擊購買此類商品，輸入交易相關信息，則輸入的信息會被網絡釣魚者取得。網絡釣魚者將會非法使用這些信息獲取利益。

第七種，利用私人電腦構建釣魚網站，統稱為分布式釣魚。這是一種新式釣魚欺詐。傳統的釣魚欺詐使用的主機是傳統的網絡提供商的主機，而分布式釣魚則使用私人電腦。這一改變使得網絡釣魚更難被偵查以及摧毀。

三、釣魚網站三大特點

(一)高偽裝性

(二)病毒式推廣

釣魚網制作成本很低，但推廣釣魚網站有一定難度和門檻，針對特定的釣魚網站會通過一些聊天工具、貼吧、論壇或網絡游戲內置的聊天頻道來推廣。

(三)技術含量提升

之前的釣魚網站幾乎沒有什么技術含量可言，釣魚者為了增加網絡釣魚的成功率，通過大量發送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號ID、ATMPIN碼或信用卡詳細信息）的一種攻擊方式。最典型的網絡釣魚攻擊將收信人引誘到一個通過精心設計與目標組織的網站非常相似的釣魚網站上，并獲取收信人在此網站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。這些個人信息對黑客們具有非常大的吸引力，因為這些信息使得他們可以假冒受害者進行欺詐性金融交易，從而獲得經濟利益。

四、網絡信息安全監管機構

我們國家設有專門的安全監管機構來監管網絡信息安全。在工信部、公安部等相關部委都設有專門的監管機構。但是由于網絡釣魚出現得過于頻繁，現在的處理機制是很難能夠及時阻止并且全部有效處理的。在網絡信息安全監管相關法律這方面，我國也還沒有針對性地法律法規，還需要進一步完善。

五、小結

在網絡信息化時代，網絡釣魚它并不是什么新技術，與掛馬網站、病毒、社會熱點以及網民購物習慣相結合后，超越了其他網絡威脅的發展速度，網絡釣魚成為互聯網第一威脅。網絡釣魚不但威脅網民利益，更從根本上動搖了網民對一些行業的信任，對社會造成了嚴重的危害。隨著網絡安全技術日趨完善，網絡安全得到保障。

參考文獻：

[1]胡光睿.網絡安全與網絡安全文化[J].電腦知識與技術，2008，(36)

[2]廖革元.探析網絡釣魚對電子商務的威脅與對策[J].商場現代化，2006年31期

[3]任傳倫，楊義先，馮朝輝.網絡釣魚攻擊的發展趨勢及法律對策考慮[J].網絡安全技術與應用.2007(6).第87頁