“你中了一臺PSX！請馬上登錄到以下網(wǎng)站，輸入你的居住地址”、“未交納系統(tǒng)使用費(fèi)。請在以下網(wǎng)頁上輸入用戶ID與口令察看詳細(xì)說明”。

通過類似的郵件將用戶誘導(dǎo)到假冒網(wǎng)站上輸入個人信息，日本國內(nèi)也開始面臨這樣的網(wǎng)絡(luò)欺詐問題了。這種網(wǎng)絡(luò)詐騙活動被稱作是“phishing”。

開頭的兩個郵件分別冒充索尼（http://www.sony.co.jp/SonyInfo/News/ServiceArea/040618/）與日本雅虎（http://docs.yahoo.co.jp/info/notice10.html），將用戶誘導(dǎo)到某個網(wǎng)站，都完全是冒牌的。郵件所鏈接的網(wǎng)站當(dāng)然也冒牌的，輸入的個人信息將落入不懷好意的人手里…。

通過假冒郵件“引誘”用戶

自2003年以來，phishing在美國已經(jīng)成為一項大問題。phishing的目的是盜取信用卡號碼和密碼等用戶個人信息。被盜的個人信息不可避免地遭到惡意使用。phishing的基本手法如下：

試圖進(jìn)行phishing的人（被稱作“phisher”）首先向大量非特定用戶發(fā)送看起來像是來自著名企業(yè)的郵件。郵件正文含有誘導(dǎo)用戶登錄到某一指定網(wǎng)站的內(nèi)容。在美國，phishing郵件大多采用“如果不立即登記，你的帳戶很快就會失效。失效后將無法利用在線服務(wù)”等威脅性詞句（見左下畫面）。

用戶趕忙點擊郵件中的鏈接，出現(xiàn)一個與著名企業(yè)非常相似的假冒網(wǎng)頁（見右下畫面）。為了讓用戶深信不疑，假冒網(wǎng)頁有時還利用真正網(wǎng)頁作掩護(hù)。如果把個人信息輸入到假冒網(wǎng)頁上，這些信息就被發(fā)送到phisher那里。

假冒美國城市銀行，試圖將用戶誘導(dǎo)至假冒網(wǎng)頁的郵件。寫有“為確認(rèn)帳戶，請點擊以下鏈接，按照要求輸入相應(yīng)信息。否則帳戶將會失效”的內(nèi)容。正文中的URL是正宗的，但由于對鏈接做了手腳，點擊后就會被鏈接到假冒網(wǎng)頁。

點擊左邊畫面后就被誘導(dǎo)到這個網(wǎng)頁上。利用了真正網(wǎng)頁上的畫面，看起來與真正網(wǎng)頁非常相似。另外，為了避免用戶看清URL，網(wǎng)頁不顯示地址欄

利用用戶輕信“郵件發(fā)件人名稱”與“網(wǎng)頁印象”

要想“成功”地進(jìn)行phishing，必須讓用戶覺得：（1）“認(rèn)為假冒郵件的發(fā)送者是著名企業(yè)”；（2）“以為假冒郵件中給出的鏈接可以鏈接到著名企業(yè)的網(wǎng)站”；（3）“以為鏈接到的網(wǎng)頁就是著名企業(yè)的網(wǎng)頁”。全部滿足這些條件似乎非常困難，但實際上并不是很難。因為他們利用了用戶過于輕信“自己的感覺印象”

首先是第（1）項，只要郵件發(fā)送者名稱“差不多”，許多用戶都會上當(dāng)。例如，當(dāng)顯示“Citibank Support”與“support@citibank.com”等名稱的時候，大都會以為是來自城市銀行（Citibank）的郵件。郵件發(fā)件人名稱（From地址）所顯示的信息不過是正文的一部分，發(fā)件人可以隨意編造。

關(guān)于第（2）項，如果使用的是HTML郵件，可以將實際鏈接對象（鏈接到假冒網(wǎng)頁）隱藏起來。例如，正文中顯示為“http://www.citibank.com/”的部分可以鏈接為一個與顯示內(nèi)容毫不相干的假冒網(wǎng)站的URL。同樣，對于第（3）項，只要將著名企業(yè)網(wǎng)頁的圖像數(shù)據(jù)搬過來，可以做得想有多像就有多像。再加上地址欄不顯示出來，用戶也就不會再懷疑是不是真正的URL了。

此外還出現(xiàn)了惡意利用郵件軟件的安全漏洞，偽裝狀態(tài)條的phishing（見下圖）。發(fā)到編輯部來的郵件中就有突破Outlook Express安全漏洞并做了手腳的郵件。因此，盡管在狀態(tài)條中顯示的是以“http://www.usbank.com/”開頭的URL（該URL實際上是美國城市銀行的URL），但用鼠標(biāo)點擊后卻進(jìn)入到與該公司毫不相干的假冒網(wǎng)頁上。

除此之外還有各種各樣的phishing。在當(dāng)前情況不能再相信“感覺印象”了。

突破郵件軟件Outlook Express安全漏洞的phishing郵件。在顯示鏈接對象的狀態(tài)條下（畫面最下方），顯示的是以“http://www.usbank.com/”開頭的URL，但點擊后卻鏈接到完全不同的另外一個網(wǎng)頁上。

防范對策是“懷疑一切”

面對這些挖空心思誘人上當(dāng)?shù)膒hishing，最重要的是不要輕信郵件，也不要輕易點擊郵件中的鏈接，盡量不在郵件鏈接的網(wǎng)頁上輸入個人信息。準(zhǔn)備輸入個人信息的網(wǎng)頁，最好是親自在地址欄中輸入URL。如果能做到這些，就不用擔(dān)心會被假冒網(wǎng)頁欺騙了。

首先不要理會來路不明的郵件。絕對不要對郵件內(nèi)容做出回應(yīng)而去點擊鏈接，更不能回復(fù)郵件。如果對郵件內(nèi)容實在是難以定奪的話，通過“直接向這家公司打電話”或“登錄該公司網(wǎng)頁”來進(jìn)行確認(rèn)。但此時絕對不要使用郵件上提供的電話號碼或URL。要使用自已查到的確鑿可靠的公司電話號碼或URL。

說起網(wǎng)絡(luò)詐騙，目前在日本國內(nèi)受害最多的還是“虛擬申請郵件”。實際上國民生活中心等已經(jīng)全力提請公眾注意（http://www.kokusen.go.jp/soudan_now/twoshotto.html）。但正如本文開頭所提到的那樣，日本國內(nèi)也開始出現(xiàn)phishing。何時流行只是一個時間問題。在開始流行之前，希望大家都能對phishing有一個充分的認(rèn)識。