你的网络银行被“钓”了吗

　　很多喜欢使用网上银行或购物网站的人曾受到过钓鱼攻击，在不经意之间银行密码等个人信息就被别人盗取。网络这个虚拟世界在带给人们便利的同时，也带给人们无数的陷阱。要防止被“钓”，最根本的还是要从心理上进行防范。

　　你的网络银行被“钓”了吗？

　　小张一直是QQ网络聊天的忠实拥趸，2005年的夏天，看着周围的QQ玩家兴起挂Q养Q来提高等级，小张顿感不能错过这次潮流，准备找个网站，忠实地按点挂Q。

　　于是，小张找了一家提供挂Q服务的网站，没怎么细看，就输入了QQ账号和密码。到了晚上，小张突然发现自己的QQ号已经不能使用了。他不知道，自己登录的挂Q网站是一个虚假网站，盗号才是网站的真实目的。很明显，小张遭受了一次典型的“钓鱼攻击”。

　　小张的遭遇很多QQ玩家都遇到过，但“钓鱼攻击”的目标并不仅仅局限于偷盗QQ账号，还有受骗者的重要私人信息，例如银行账号、密码、身份证号、

　　现在，包括美国、英国在内的许多国家，都已经出现了反钓鱼的专业组织，许多大公司、网络安全组织都已加入到了反“钓鱼”的行列中，新一轮的网络攻防战愈演愈烈。

　　无隐患意识，就必然被盗

　　“钓鱼攻击”是一种形象的说法，它的英文名Phishing源于Phone(电话)+fishing(钓鱼)，最早因黑客利用电子邮件攻击美国在线(AOL)而得名。

　　套用中国一句歇后语来解释：姜太公钓鱼，愿者上钩。姜太公实施的就是一次钓鱼攻击，直钩垂钓于渭水，之所以能够成功，是因为有“愿者”的配合。

　　从攻防双方来看，姜太公就是攻方，愿者就是防守方，攻击方利用的是防守方的心理习惯，防守方如果下意识地遵循以往的心理习惯，而又没有进行适当的检查的话，就会成功被钓。

　　钓，还是被钓，往往取决于防守一方的意识。如果缺乏或者根本没有防范安全隐患的意识，而只是简单依靠技术防范，那么银行账号被盗，在当下这种广泛使用网络的环境下，只是时间问题。

　　而从实施“钓鱼攻击”的一方看，攻击目标并不是针对某个个体，而是针对一群具有相似心理特征的人群。只要具有某种心理特征的人访问过自己的网站，那么他们的关键信息很有可能就会被盗取，因而“钓鱼攻击”的攻击面很广，成功率非常高。

　　诈骗手段多种多样

　　网络钓鱼采用的手段十分多样，层出不穷。

　　最常见的是发送含有欺诈性信息的电子邮件，这类信息中常见如中奖、对账、威胁等字样，这些电子邮件往往会直接或提供链接要求邮件接收者输入用户名和密码。为了防止被很容易地识破，犯罪分子往往会在链接上做手脚，譬如常见的有超链接文字与指向的URL完全不吻合，隐藏超链接提示信息。

　　其次是下载真实的网站HTML源码，通过修改提交地址等信息，建立伪装的网银、证券网站，骗取客户的账号和密码。例如，将www.icbc.com.cn的网站URL修改为www.1cbc.com.cn，或将www.paypal.com修改为www.paypaI.com，利用大、小写字母i、I或l与数字1的相似性来麻痹混淆使用者，更有甚者，还会写出JavaScript程序设置无边框的弹出窗口将地址栏完全遮挡，并在弹出窗口中显示待伪装的URL，以掩盖自己真实的URL。

　　或者是利用木马等黑客技术盗取信息。植入用户机的木马会守候记录键盘按键序列，并将其返回，犯罪分子会过滤这些信息，将用户名密码等关键信息记录下来，进行尝试。还可以利用木马修改客户机HOSTS文件中域名与IP的对应关系，让客户以为自己访问的仍然是原先的真实网站，而实际访问的IP则是攻击者自己的服务器。

　　还有一种更高级的手段，就是攻破真实网站，植入自己的代码或链接。这时，黑客会使用端口重定向、跨站攻击等技术，而使用者以为自己访问的还是以前真实的网站，在输入用户名密码信息后，这些信息会首先路由到黑客的服务器上，然后再由黑客服务器路由给真实的网站。这种攻击需要专业软件才能破解。

　　“钓鱼攻击”的手段还有许多，往往令人防不胜防。

　　防止被“钓”

　　不过，如果我们小心应对，还是可以基本防止被“钓”的。

　　首先，我们要对电子邮件保持警惕心理，尤其是有中奖之类内容的邮件，对待邮件附件和邮件中的链接要特别留意。如有可能，以纯文本的方式阅读邮件。

　　第二，要注意IE地址栏中的URL地址，首先要辨识清楚是否真的是银行或者证券公司的网站，其次可以看使用F6或者ALT+D等快捷键能否直接进入地址栏，如果URL中有Unicode代码，就需要留意。

　　在使用网上银行时，要做好记录，并定期查看“历史交易明细”，打印银行对账单，要保管好自己的数字证书，尽量使用网盾等安全产品。如果遇到“系统正在维护”或“网站用户已满”等信息时，应立即电话确认。

　　当然，安装防火墙和防病毒软件是最必要的，并经常升级，要及时安装系统补丁，堵塞软件漏洞。如可通过MSN Search Toolbar给IE安装一个“Phishing Filter”的插件，或者可以使用上网助手的反钓鱼功能，或者安装可以识别钓鱼网站并给网站危险性进行评分的NetCraft Toolbar。

　　“钓鱼攻击”利用的是网络用户疏于防范和贪图便宜的心理，实际上，进行网络欺骗的手段远不止于此。譬如，可以伪装成近日洪水灾区的难民，随机向国外发送英文电子邮件，宣称自己因灾失学或者生病要就医，并提供银行账号，请求邮件接收者转入一美元或者更少的钱，相信很多人会愿意资助。

　　网络的世界本就是虚拟的世界，在虚拟的世界里，我们应当加倍小心，谨防被“钓”。

　　那些与“钓鱼”有关的名词

　　其实，网络上利用邮件或病毒等手段进行网络攻击或欺诈的远不止是“网络钓鱼”这一种手段。这些进行攻击的幕后黑手以及那些病毒往往都有个好听的名字，但是名字背后，却暗藏杀机。

　　挂Q养Q：多指经常在QQ上登陆与“挂靠”，即使不聊天，也通过QQ上的在线时间来增加积分，或通过各种游戏等手段“培养”Q币的行为。

　　骇客(cracker)：多指那些利用网络安全的脆弱性，把网上任何漏洞和缺陷作为攻击目标，在网上蓄意进行诸如修改网页、非法入侵主机、潜入银行网络盗取资金、窃取网络信息、进行电子邮件骚扰以及阻塞用户和窃取密码等行为，并引以为荣的人。

　　飞客(freaker)：指一些精通电话系统的玩家，他们往往可以避开电话公司的控制，在电话网络上自由自主地随意活动。

　　后门(backdoor)：后门程序又称特洛伊木马(Trojan horse)，指的是潜伏在计算机中，从事信息搜集或方便黑客侵入的软件。

　　蠕虫(worm)：与病毒相似，蠕虫是设计用来自动地将自身从一台计算机复制到另一台计算机的网络程序。蠕虫爆发时，传播速度非常快，经常会导致网络堵塞，带来巨大的经济损失。

　　还有一些拥有形象名字的病毒，如“网银间谍”、“魔域窃贼”和“新敲诈者”等，一看便知其性质。当然也有一些非常莫名其妙的病毒名称，比如“熊猫烧香”、“灰鸽子”等，就需要上网的人特别小心了。

　　(车皓阳)

　　环球杂志授权使用，其他媒体如需转载，请与本刊联系。