老謀深算的郵件騙局，成為互聯網世界潛伏的災難。

“‘網絡釣魚（ Phishing）’作為一種網絡詐騙手段，算不上新鮮事物，而且沒有太多技術含量，主要是利用人們的心理來實現詐騙”，一位國內的安全技術人員評論說。

盡管在安全技術人員眼里“網絡釣魚”只是小菜一碟，但它在過去一年中非常猖獗—Gartner公司最近一項調查表明，約萬名美國消費者收到過此類仿冒的電子郵件，有高達5%的人都會對這些騙局作出響應。由于”網絡釣魚”技術不斷升級，Gartner公司預測，這種詐騙會快速蔓延到通過電子郵件與客戶通信的所有商業領域，任何擁有在線業務的公司都將成為潛在的受害者。

7月20日的一則消息“一惡意網站偽裝成聯想主頁，散布‘和騰訊公司聯合贈送QQ幣’的虛假消息，誘使眾多用戶訪問該網站時造成感染”，讓國人警醒：小心被“釣”，“魚鉤”就在我們眼前晃動。

認識篇

手段：威逼利誘

“網絡釣魚”利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務數據，如信用卡號、賬戶用戶名、口令和編號等內容。

“網絡釣魚”的主要伎倆在于仿冒某些公司的網站或電子郵件，然后對其中的程序代碼動手腳，如果使用者信以為真地按其鏈接和要求填入個人重要資料，資料將被傳送到詐騙者手中。

“PhishTrap（反網絡釣魚陷阱）”成員 Richard_Cheng 解釋說：“當這些網絡詐騙者將餌 (電子郵件) 撒到互聯網之后，就靜待受騙者上鉤。”根據Gartner的統計，由于詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，所以在所有接觸詐騙信息的用戶中，有高達5%的人都會對這些騙局作出響應。

詐騙者通常采用“威逼利誘”手段制造出各種名目的“主題”。比如最早引起廣泛關注的“網絡釣魚”事件，是去年11月出現的Mimail.J病毒，偽裝成由Paypal網站寄出的信息，表示收件者的賬戶將在5個工作日后失效，要求用戶更新個人信息，才能重新啟動賬戶。再比如7月20日，一惡意網站（www.1enovo.）偽裝成聯想主頁（www.lenovo.com），前者將數字1取代英文字母L，利用多種IE漏洞種植木馬病毒，并散布“聯想集團和騰訊公司聯合贈送QQ幣”的虛假消息，誘使更多用戶訪問該網站時造成感染。

現狀：上鉤者眾

最近一年以來，“網絡釣魚”在美、英等國家變得非常猖獗,數量急劇攀升。據Gartner公司最近的一項調查表明，有5700萬美國消費者收到過此類仿冒的電子郵件，由此引起的ID欺詐盜竊給美國銀行與信用卡公司的用戶造成的直接損失在去年達到了12億美元。

過濾公司Brightmail的數據表明，過去9個月中，全球Phishing郵件總量增長迅猛，于今年4月達到31億封。據英國安全機構MI2G報告，去年，有250多起針對主要銀行、信用卡公司、電子商務站點以及政府機構的“網絡釣魚”攻擊。

根據反網絡釣魚組織 APWG（Anti-Phishing Working Group）最新統計指出，約有70.8％的網絡欺詐是針對金融機構而來，而最常被仿冒的前三家公司為：Citibank（花旗銀行）、eBay和Paypal。

后果：誠信危機

Gartner公司高級副總裁和研究董事Litan說：“金融機構、互聯網服務提供商和其他服務商必須嚴肅地解決‘網絡釣魚’問題，如果不能極大地減少這種誘餌攻擊，那么消費者對在線交易的信任感將會逐漸被侵蝕，最終所有網絡交易的參加者都會受到傷害。”

APWG主席David Jevans表示：“這些攻擊正在破壞整個電子商務系統—我們經營方式的信用。”的確，eBay和其他幾十家已遭“網絡釣魚”多次攻擊的公司擔心：它不僅損害了業務，而且對客戶、對電子商務的信心提出了極大挑戰。

“網絡釣魚”已經開始顯現出其巨大的破壞力。根據Pew Internet Life的調查，消費者對電子郵件的信心已經降到了有史以來的最低點。Cyota最近針對在線銀行賬戶持有者的一項調查表明，74%的被調查者表示，由于此項威脅，自己不太可能對來自銀行的電子郵件做出回復，而且進行在線購物的可能性降低了。這意味著，一些合法商業機構如果無法阻止其品牌被欺騙活動繼續利用，其在線渠道將可能部分或者徹底失去。

當然受損的還有商業機構的品牌。MI2G執行總裁DK Matai指出：“雖然在很多情況下，品牌所有者并沒有錯，但這些在線品牌應當具備足夠的能力，并用更多的心思來防止消費者犯錯誤。” APWG旗下一個企業成員因“網絡釣魚”遭到客戶起訴，理由是沒有履行相應責任。

除了信任，“網絡釣魚”也會給企業和個人帶來一些更直接的損失。如果詐騙者釣到用戶的信用卡賬戶信息，無論對于持卡者還是銷售商都面臨著風險。另外，為每個用戶發行新的信用卡、賬號和密碼大約需要50多美元，如果是大量客戶被釣，成本也是非常驚人的。

警惕：真偽難辨

這些欺騙性的電子郵件和Web站點，正看起來越來越“完美”，也越來越“可信”。

信息加密公司PostX首席技術官Cayce Ullman說：“我們遇到一個利用eBay品牌進行詐騙的‘網絡釣魚’者，我用了整整25分鐘才確定他是真正的騙子。連我們也很難分清，那我們的消費者又如何來區分呢？”其中最令安全專家憂心的是，“網絡釣魚”者使用 Javascript 將瀏覽器網址所顯示的地址換掉，讓呈現出來的網址與假冒公司的官方網址完全相同。

綠盟科技專業服務部總監王紅陽說：“瀏覽器自身的脆弱性也在一定程度上增加了迷惑性。”他建議，用戶可以使用其他的瀏覽器來降低風險。

趨勢科技中國區技術顧問齊軍的建議：如果是這種情況就一定要用反網絡釣魚（anti-phishing）工具來防范，因為眼睛看到的是正確網址，但工具看到的才是真正機器碼。他提供一個“一勞永逸的方法”，就是永遠不要從電子郵件的鏈接直接連出去。

令普通用戶頭疼的是，“網絡釣魚”要達到廣泛詐騙的目的，通常都伴隨著病毒和木馬，或者說病毒郵件、木馬也經常包含“網絡釣魚”的內容。

中國：一步之遙

值得慶幸的是，中國遭遇的“網絡釣魚”攻擊比較少，安全專家將主要原因歸結為：“網絡釣魚”主要攻擊的是網上銀行和電子商務，而國內的網上銀行與電子商務應用還不普及。

江民研發部總經理何公道還談到另外一方面原因：國內金融機構的防范工作比較到位，加上國家對金融犯罪的懲罰嚴厲，所以“網絡釣魚”目前威脅還不是很大。對比之下，他認為當前“網絡釣魚”對于虛擬財富的威脅程度是比較高的，比如QQ號碼、網游賬號及裝備等。

但是一些“網絡釣魚”案例已開始見諸報端：今年5月26日哈爾濱市某婦幼保健院麻醉醫生付志受審，其利用類似“網銀大盜”木馬病毒在網上傳播、盜取了各類密碼達7000多個，并已經成功盜取12000元; 6月，中國臺灣破獲一起網絡銀行入侵案，總計20萬名客戶資料外泄；中國香港金融管理局公布一“李鬼”銀行網站，其與港基國際銀行有限公司的正式網站非常相似; 7月20日，江民快速反病毒中心接到舉報，發現一個惡意網站偽裝成聯想官方網站隱藏病毒，伺機竊取用戶傳奇游戲賬號。

所以我們在慶幸之余，不能僥幸：互聯網無國界，“網絡釣魚”的危機其實一直潛伏在我們身邊。