釣魚網(wǎng)站及其防范定義：釣魚網(wǎng)站通常是指偽裝成銀行及電子商務(wù)等網(wǎng)站，主要危害是竊取用戶提交的銀行帳號、密碼等私密信息。網(wǎng)站定義所謂“釣魚網(wǎng)站”是一種網(wǎng)絡(luò)欺詐行為，指不法分子利用各種手段，仿冒真實(shí)網(wǎng)站的U

釣魚網(wǎng)站及其防范

定義：釣魚網(wǎng)站通常是指偽裝成銀行及電子商務(wù)等網(wǎng)站，主要危害是竊取用戶提交的銀行帳號、密碼等私密信息。

網(wǎng)站定義

所謂“釣魚網(wǎng)站”是一種網(wǎng)絡(luò)欺詐行為，指不法分子利用各種手段，仿冒真實(shí)網(wǎng)站的URL 地址以及頁面內(nèi)容，或者利用真實(shí)網(wǎng)站服務(wù)器程序上的漏洞在站點(diǎn)的某些網(wǎng)頁中插入危險(xiǎn)的HTML 代碼，以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。 “釣魚網(wǎng)站”近來在全球頻繁出現(xiàn)，嚴(yán)重地影響了在線金融服務(wù)、電子商務(wù)的發(fā)展，危害公眾利益，影響公眾應(yīng)用互聯(lián)網(wǎng)的信心。釣魚網(wǎng)站通常偽裝成為銀行網(wǎng)站，竊取訪問者提交的賬號和密碼信息。它一般通過電子郵件傳播，此類郵件中一個經(jīng)過偽裝的鏈接將收件人聯(lián)到釣魚網(wǎng)站。釣魚網(wǎng)站的頁面與真實(shí)網(wǎng)站界面完全一致，要求訪問者提交賬號和密碼。一般來說釣魚網(wǎng)站結(jié)構(gòu)很簡單，只有一個或幾個頁面，URL 和真實(shí)網(wǎng)站有細(xì)微差別。

專家提醒，網(wǎng)民在查找信息時，應(yīng)該特別小心由不規(guī)范的字母數(shù)字組成的CN 類網(wǎng)址，最好禁止瀏覽器運(yùn)行JavaScript 和ActiveX 代碼，不要上一些不太了解的網(wǎng)站。

危害方式 最典型的網(wǎng)絡(luò)釣魚攻擊將收信人引誘到一個通過精心設(shè)計(jì)與目標(biāo)組織的網(wǎng)站非常相似的釣魚網(wǎng)站上，并獲取收信人在此網(wǎng)站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。這些個人信息對黑客們具有非常大的吸引力，因?yàn)檫@些信息使得他們可以假冒受害者進(jìn)行欺詐性金融交易，從而獲得經(jīng)濟(jì)利益。受害者經(jīng)常遭受顯著的經(jīng)濟(jì)損失或全部個人信息被竊取并用于犯罪的目的。

網(wǎng)絡(luò)釣魚其實(shí)就是網(wǎng)絡(luò)上眾多誘騙手法之中的一種，由于它的手段基本就是通過網(wǎng)絡(luò)用一些誘餌（比如假冒的網(wǎng)站）等使用者上當(dāng)，很像現(xiàn)實(shí)生活中的釣魚過程，所以就被稱之為“網(wǎng)絡(luò)上的釣魚”。它的最大危害就是會竊取用戶銀行卡的帳號、密碼等重要信息，使用戶受到經(jīng)濟(jì)上的損失。 網(wǎng)絡(luò)釣魚是通過大量發(fā)送聲稱來自于銀行或其他知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號ID 、ATMPIN 碼或信用卡詳細(xì)信息）的一種攻擊方式。最典型的網(wǎng)絡(luò)釣魚攻擊將收信人引誘到一個通過精心設(shè)計(jì)與目標(biāo)組織的網(wǎng)站非常相似的釣魚網(wǎng)站上，并獲取收信人在此網(wǎng)站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。這些個人信息對黑客們具有非常大的吸引力，因?yàn)檫@些信息使得他們可以假冒受害者進(jìn)行欺詐性金融交易，從而獲得經(jīng)濟(jì)利益。

國內(nèi)現(xiàn)有處理機(jī)制都難以有效制止。對“網(wǎng)絡(luò)釣魚”的詐騙行為，工信部和公安部都設(shè)有專門的監(jiān)管機(jī)構(gòu)。其他各大部委也都有專門的監(jiān)管機(jī)構(gòu)負(fù)責(zé)行業(yè)內(nèi)的網(wǎng)絡(luò)安全管理。但由于“釣魚網(wǎng)站”頻繁出現(xiàn)，現(xiàn)有的處理機(jī)制很難及時有效制止“釣魚網(wǎng)站”，在“中國反釣魚網(wǎng)站聯(lián)盟”成立前，國內(nèi)還沒有建立專門協(xié)調(diào)此問題的組織。

“中國反釣魚網(wǎng)站聯(lián)盟”成員單位包括：工商銀行、農(nóng)業(yè)銀行、中國銀行、建設(shè)銀行、華夏銀行、光大銀行、銀河證券、騰訊、淘寶、支付寶等幾十家金融機(jī)構(gòu)和電子商務(wù)網(wǎng)站，以及中國萬網(wǎng)、中企動力、廈門中資源、廈門華商盛世、阿里巴巴、ChinaSpringboardInc. 等國內(nèi)主要的域名注冊服務(wù)機(jī)構(gòu)?！爸袊瘁烎~網(wǎng)站聯(lián)盟”并非官方機(jī)構(gòu)，它的成員包括了域名管理機(jī)構(gòu)、注冊服務(wù)機(jī)構(gòu)，以及銀行證券類、電子商務(wù)類、網(wǎng)絡(luò)安全類等企業(yè)，目的就是為了發(fā)現(xiàn)和治理“釣魚網(wǎng)站”，主要是針對假冒其成員單位的“釣魚網(wǎng)站”。該聯(lián)盟在接到涉及聯(lián)盟成員的投訴后，權(quán)威技術(shù)鑒定機(jī)構(gòu)會立即對其進(jìn)行判定，一經(jīng)認(rèn)定，兩個小時內(nèi)暫停其域名解析，終止欺詐行為。從處理的及時性上大大降低了“釣魚網(wǎng)站”所造成的危害。聯(lián)盟的成員單位目前還是有限，對于層出不窮的“釣魚網(wǎng)站”，國內(nèi)反釣魚網(wǎng)站協(xié)調(diào)機(jī)制和反釣魚網(wǎng)站綜合治理體系的建設(shè)還需進(jìn)一步推進(jìn)。另外，國家有關(guān)的法律法規(guī)也有待進(jìn)一步完善。

鑒別方法 釣魚在大多數(shù)情況下是關(guān)于你的銀行賬號、密碼、信用卡資料、社會保障卡號以及你的電子貨幣帳戶信息。關(guān)于用戶的paypal 、yahoo 郵件、gmail 及其他免費(fèi)郵件服務(wù)。只要記住上述那些正式公司絕不會通過電子郵件讓你提供任何信息。如果你收到類似要求，讓你提供資料，或者在郵件中帶有指向網(wǎng)站的鏈接，那么它一定是網(wǎng)絡(luò)釣魚詐騙。

專家提醒，網(wǎng)民在查找信息時，應(yīng)該特別小心由不規(guī)范的字母數(shù)字組成的CN 類網(wǎng)址，最好禁止瀏覽器運(yùn)行JavaScript 和ActiveX 代碼，不要上一些不太了解的網(wǎng)站。

手段方法 像垃圾郵件一樣，釣魚 ( 英語叫做 phishing) 是一種未經(jīng)允許的電子郵件形式。盡管一些垃圾郵件可能只不過是討厭的廣告，而釣魚則是試圖從用戶手中進(jìn)行詐騙。不幸的是，人們落入了它的圈套。釣魚是指用電子郵件作“魚餌”，從而騙取訪問金融賬戶必需信息的一種手段。通常，電子郵件會看起來像來自一家合法公司。它試圖誘惑用戶把賬號和相關(guān)密碼給他們。電子郵件經(jīng)常解釋說，公司記錄需要更新，或者正在修改一個安全程序，要求用戶確認(rèn)你的賬戶，以便繼續(xù)使用。

從表面上看很難辨別這封電子郵件是否是詐騙。像垃圾郵件一樣，來自釣魚黑客的電子郵件通常在電子郵件地址中包含偽造的“發(fā)件人”或者“回復(fù)”標(biāo)題，使電子郵件看起來像來自一家合法公司。除了欺騙的“發(fā)件人”或者“回復(fù)”地址之外，偽造子郵件通?；贖TML 。第一眼可能看起來像真的一樣。電子郵件經(jīng)常包含真正的商標(biāo)，看起來擁有真正公司的網(wǎng)站地址。建議用戶“小心”保管密碼。電子郵件的所有的表象和措詞都用來使它看起來是真的。

然而，當(dāng)用戶查看HTML(電子郵件內(nèi)的電腦代碼) 時，用戶可以看到網(wǎng)站地址是偽造的，點(diǎn)擊鏈接實(shí)際上會把你帶到另一個位置。它經(jīng)常會把你帶到一個看起來一樣的外國網(wǎng)站。這些網(wǎng)站只是暫時開放，設(shè)計(jì)得跟真的一模一樣，從而誘惑你輸入你的登錄信息和密碼。一旦他們獲得信息，就會試圖從用戶的帳戶中匯錢出去，或者收取費(fèi)用。

釣魚的一種常見做法是在電子郵件中包含一個表格，供收件人填寫自己的姓名、賬號、密碼或者PIN 號。

釣魚網(wǎng)站4招騙客斂財(cái)

1. 群發(fā)短信“善意”提醒，誘使網(wǎng)名上網(wǎng)操作；

2. 境外注冊域名，逃避網(wǎng)絡(luò)監(jiān)管；

3. 高仿真網(wǎng)站制作， 欺騙網(wǎng)名透露戶口密碼；

4. 連貫轉(zhuǎn)賬操作，迅速轉(zhuǎn)移網(wǎng)銀款項(xiàng)。

技術(shù)分析 網(wǎng)絡(luò)安全技術(shù)人員認(rèn)為釣魚網(wǎng)站技術(shù)含量不高，個人要會防范。目前，“釣魚網(wǎng)站”主要集中在兩方面：一種是模仿央視、騰訊等假冒抽獎網(wǎng)站，如多地出現(xiàn)的仿冒“非常6 1”節(jié)目中獎信息騙取網(wǎng)民錢財(cái)?shù)木W(wǎng)絡(luò)詐騙事件，主要特征是以中獎為誘餌，欺騙網(wǎng)民填寫身份信息、銀行賬戶等信息；另一種是模仿淘寶、工行等在線支付網(wǎng)頁，騙取網(wǎng)民銀行卡信息或支付寶賬戶。

在安全技術(shù)人員眼里，“網(wǎng)絡(luò)釣魚”沒有太多技術(shù)含量，主要是利用人們的心理來實(shí)現(xiàn)詐騙。 中國互聯(lián)網(wǎng)絡(luò)信息中心的專家認(rèn)為，一是人們受中獎或其他物質(zhì)獎勵誘惑而放松戒備；二是人們?nèi)狈W(wǎng)站真?zhèn)涡则?yàn)證的知識和方法。另外，多數(shù)受騙用戶在網(wǎng)上填報(bào)個人信息，特別是財(cái)務(wù)信息時缺乏防范意識，沒有仔細(xì)驗(yàn)證網(wǎng)頁的真實(shí)性。

專家說，“釣魚網(wǎng)站”其實(shí)不難判別，一般假網(wǎng)站只有一個頁面，沒有任何鏈接。真的網(wǎng)站，首頁不僅內(nèi)容豐富，而且還能提供詳細(xì)的聯(lián)系方式。驗(yàn)證一個網(wǎng)站的真?zhèn)?，還可以通過中國互聯(lián)網(wǎng)絡(luò)信息中心官方網(wǎng)站查詢真實(shí)域名，也可以通過登錄工信部ICP/IP地址/域名信息備案管理系統(tǒng)，獲得網(wǎng)站的真實(shí)信息。

因?yàn)椤熬W(wǎng)絡(luò)釣魚”都是以大獎?wù)T惑消費(fèi)者，因此消費(fèi)者要對網(wǎng)絡(luò)中獎活動提高防范意識；而在網(wǎng)絡(luò)支付時也要小心謹(jǐn)慎，通過域名注冊信息、第三方權(quán)威認(rèn)證服務(wù)等多種手法驗(yàn)證網(wǎng)站真實(shí)性，同時，網(wǎng)民一定要重視個人信息的保護(hù)，包括個人聯(lián)系方式、身份證號碼、銀行卡信息等。 牟利模式

1、黑客通過釣魚網(wǎng)站設(shè)下陷阱，大量收集用戶個人隱私信息，通過販賣個人信息或敲詐用戶；

2、黑客通過釣魚網(wǎng)站收集、記錄用戶網(wǎng)上銀行賬號、密碼，盜取用戶的網(wǎng)銀資金；

3、黑客假冒網(wǎng)上購物、在線支付網(wǎng)站，欺騙用戶直接將錢打入黑客賬戶；

4、通過假冒產(chǎn)品和廣告宣傳獲取用戶信任，騙取用戶金錢；

5、惡意團(tuán)購網(wǎng)站或購物網(wǎng)站，假借“限時搶購”、“秒殺”、“團(tuán)購”等噱頭，讓用戶不假思索地提供個人信息和銀行賬號，這些黑心網(wǎng)站主可直接獲取用戶輸入的個人資料和網(wǎng)銀賬號密碼信息，進(jìn)而獲利。

傳播途徑

目前互聯(lián)網(wǎng)上活躍的釣魚網(wǎng)站傳播途徑主要有八種：

1、通過QQ 、MSN 、阿里旺旺等客戶端聊天工具發(fā)送傳播釣魚網(wǎng)站鏈接；

2、在搜索引擎、中小網(wǎng)站投放廣告，吸引用戶點(diǎn)擊釣魚網(wǎng)站鏈接，此種手段被假醫(yī)藥網(wǎng)站、假機(jī)票網(wǎng)站常用；

3、通過Email 、論壇、博客、SNS 網(wǎng)站批量發(fā)布釣魚網(wǎng)站鏈接；

4、通過微博、Twitter 中的短連接散布釣魚網(wǎng)站鏈接；

5、通過仿冒郵件，例如冒充“銀行密碼重置郵件”，來欺騙用戶進(jìn)入釣魚網(wǎng)站；

6、感染病毒后彈出模仿QQ 、阿里旺旺等聊天工具窗口，用戶點(diǎn)擊后進(jìn)入釣魚網(wǎng)站；

7、惡意導(dǎo)航網(wǎng)站、惡意下載網(wǎng)站彈出仿真懸浮窗口，點(diǎn)擊后進(jìn)入釣魚網(wǎng)站；

8、偽裝成用戶輸入網(wǎng)址時易發(fā)生的錯誤，如gogle. com、sinz. com等，一旦用戶寫錯，就誤入釣魚網(wǎng)站。

防范方法 第一、查驗(yàn)“可信網(wǎng)站”

通過第三方網(wǎng)站身份誠信認(rèn)證辨別網(wǎng)站真實(shí)性。目前不少網(wǎng)站已在網(wǎng)站首頁安裝了第三方網(wǎng)站身份誠信認(rèn)證——“可信網(wǎng)站”，可幫助網(wǎng)民判斷網(wǎng)站的真實(shí)性。 “可信網(wǎng)站”驗(yàn)證服務(wù)，通過對企業(yè)域名注冊信息、網(wǎng)站信息和企業(yè)工商登記信息進(jìn)行嚴(yán)格交互審核來驗(yàn)證網(wǎng)站真實(shí)身份，通過認(rèn)證后，企業(yè)網(wǎng)站就進(jìn)入中國互聯(lián)網(wǎng)絡(luò)信息中心（ＣＮＮＩＣ）運(yùn)行的國家最高目錄數(shù)據(jù)庫中的“可信網(wǎng)站”子數(shù)據(jù)庫中，從而全面提升企業(yè)網(wǎng)站的誠信級別，網(wǎng)民可通過點(diǎn)擊網(wǎng)站頁面底部的“可信網(wǎng)站”標(biāo)識確認(rèn)網(wǎng)站的真實(shí)身份。網(wǎng)民在網(wǎng)絡(luò)交易時應(yīng)養(yǎng)成查看網(wǎng)站身份信息的使用習(xí)慣，企業(yè)也要安裝第三方身份誠信標(biāo)識，加強(qiáng)對消費(fèi)者的保護(hù)。

第二、核對網(wǎng)站域名

假冒網(wǎng)站一般和真實(shí)網(wǎng)站有細(xì)微區(qū)別，有疑問時要仔細(xì)辨別其不同之處，比如在域名方面，假冒網(wǎng)站通常將英文字母Ｉ被替換為數(shù)字１，ＣＣＴＶ被換成ＣＣＹＶ或者ＣＣＴＶ－ＶＩＰ這樣的仿造域名。

第三、比較網(wǎng)站內(nèi)容

假冒網(wǎng)站上的字體樣式不一致，并且模糊不清。仿冒網(wǎng)站上沒有鏈接，用戶可點(diǎn)擊欄目或圖片中的各個鏈接看是否能打開。

第四、查詢網(wǎng)站備案

通過ＩＣＰ備案可以查詢網(wǎng)站的基本情況、網(wǎng)站擁有者的情況，對于沒有合法備案的非經(jīng)營性網(wǎng)站或沒有取得ＩＣＰ許可證的經(jīng)營性網(wǎng)站，根據(jù)網(wǎng)站性質(zhì)，將予以罰款，嚴(yán)重的關(guān)閉網(wǎng)站。

第五、查看安全證書

目前大型的電子商務(wù)網(wǎng)站都應(yīng)用了可信證書類產(chǎn)品，這類的網(wǎng)站網(wǎng)址都是“ｈｔｔｐｓ”打頭的，如果發(fā)現(xiàn)不是“ｈｔｔｐｓ”開頭，應(yīng)謹(jǐn)慎對待。

影響危害

最典型的網(wǎng)絡(luò)釣魚攻擊將收信人引誘到一個通過精心設(shè)計(jì)與目標(biāo)組織的網(wǎng)站非常相似的釣魚網(wǎng)站上，并獲取收信人在此網(wǎng)站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。這

些個人信息對黑客們具有非常大的吸引力，因?yàn)檫@些信息使得他們可以假冒受害者進(jìn)行欺詐性金融交易，從而獲得經(jīng)濟(jì)利益。受害者經(jīng)常遭受顯著的經(jīng)濟(jì)損失或全部個人信息被竊取并用于犯罪的目的。

網(wǎng)絡(luò)釣魚其實(shí)就是網(wǎng)絡(luò)上眾多誘騙手法之中的一種，由于它的手段基本就是通過網(wǎng)絡(luò)用一些誘餌（比如假冒的網(wǎng)站）等使用者上當(dāng)，很像現(xiàn)實(shí)生活中的釣魚過程，所以就被稱之為“網(wǎng)絡(luò)上的釣魚”。它的最大危害就是會竊取用戶銀行卡的帳號、密碼等重要信息，使用戶受到經(jīng)濟(jì)上的損失。

網(wǎng)絡(luò)釣魚是通過大量發(fā)送聲稱來自于銀行或其他知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號ID 、ATMPIN 碼或信用卡詳細(xì)信息）的一種攻擊方式。最典型的網(wǎng)絡(luò)釣魚攻擊將收信人引誘到一個通過精心設(shè)計(jì)與目標(biāo)組織的網(wǎng)站非常相似的釣魚網(wǎng)站上，并獲取收信人在此網(wǎng)站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。這些個人信息對黑客們具有非常大的吸引力，因?yàn)檫@些信息使得他們可以假冒受害者進(jìn)行欺詐性金融交易，從而獲得經(jīng)濟(jì)利益。

專家建議 釣魚在大多數(shù)情況下是關(guān)于你的銀行賬號、密碼、信用卡資料、社會保障卡號以及你的電子貨幣帳戶信息。關(guān)于用戶的paypal 、yahoo 郵件、gmail 及其他免費(fèi)郵件服務(wù)。只要記住上述那些正式公司絕不會通過電子郵件讓你提供任何信息。如果你收到類似要求，讓你提供資料，或者在郵件中帶有指向網(wǎng)站的鏈接，那么它一定是網(wǎng)絡(luò)釣魚詐騙。

專家提醒，網(wǎng)民在查找信息時，應(yīng)該特別小心由不規(guī)范的字母數(shù)字組成的CN 類網(wǎng)址，最好禁止瀏覽器運(yùn)行JavaScript 和ActiveX 代碼，不要上一些不太了解的網(wǎng)站。

專家為此提出以下建議：

從不點(diǎn)擊電子郵件中的鏈接來輸入你的登錄信息或者密碼。相反，如果你認(rèn)為電子郵件可能是合法的，那么用你的Internet 瀏覽器或者Netscape 瀏覽器直接訪問公司網(wǎng)站。(不要從一封可疑的電子郵件中復(fù)制粘貼url 地址。)

總是使用公司的官方網(wǎng)站來提交個人信息。如果在線發(fā)送信息，那么應(yīng)該使用一個安全服務(wù)器在公司的官方網(wǎng)站上操作。

如果還是懷疑電子郵件所說的，就給公司打個電話。

總是在你的手機(jī)或者筆記本中保存你經(jīng)常打交道的公司的正確聯(lián)系電話號碼，并且只使用你保存的那個號碼。例如，如果你在匯豐銀行有一個賬戶，那么保存正確聯(lián)系號碼，并且只使用那個號碼。永遠(yuǎn)也不要相信郵件中的電話號碼。

像電話號碼一樣，總是在你的收藏夾中保存正確的網(wǎng)站地址，并且使用他們做與那個公司有關(guān)的任何事情，永遠(yuǎn)也不要相信電子郵件中的網(wǎng)站鏈接。