什麼是網絡釣魚

　　小傑酷愛網絡技術，對“網絡釣魚”早有耳聞，一次偶然的機會，他在某游戲平台進行游戲時收到了一條“網絡釣魚”信息，為了找出真相，他扮演了“上鉤者”，對這次“釣魚攻擊”進行刺探，直到完全揭穿“釣魚者”的陰謀。
收到“幸運”信息 引誘用戶上鉤
　　小傑在某游戲平台進行游戲時，平台信息窗口中出現了一條“誘人”的信息：“尊敬的××游戲平台用戶，您好，您已被系統選中，成為了當日的幸運大玩家，請聯系客服QQ：(××××××××)咨詢領取您的獎品”（圖1）。這是一條很明顯的“網絡釣魚”信息，小傑在其他地方多次收到過類似的信息，所以並不會相信所謂的中獎信息，而且從中也可以找到“釣魚者”的破綻，為找出“釣魚者”的真實目的，小傑隨著“釣魚者”的思路扮演了一次“上鉤者”。　　高手支招：在很多類似的游戲平台或游戲中，對用戶發出通知消息的系統賬戶通常顯示為“客服”、“系統”等詞匯，因此當用戶看到帶有以上詞匯的用戶發布消息時，往往會以為是系統發出的消息，其實要注冊一個這樣的賬戶是很容易的。使用這樣的賬戶進行釣魚攻擊更容易使用戶上鉤。其實我們平時只要多注意一下真正的系統客服賬戶和偽造的賬戶之間的區別，就可以很容易地識破“釣魚者”的騙局。如果還不能確認，可以查詢一下對方的賬戶資料，一般都有漏洞可尋。
精美“釣魚”頁面 破綻降到最低
　　收到的“釣魚”信息沒有直接給出領獎地址，而是提供了一個所謂的“客服”QQ號碼，這很明顯是“釣魚者”的QQ號碼。Tw.wINGwIT.Com加該QQ為好友後，“客服”提供了一個領獎地址，打開該頁面後出現一個活動頁面——戰隊賽基金，頁面做得很漂亮也很整齊，不像一般“釣魚”頁面粗制濫造。內容無非是為了感謝廣大玩家的支持，將進行抽獎活動，而獎品也十分誘人“人民幣5888元和價值4577元的諾基亞手機一部”。
　　高手支招：“網絡釣魚”頁面的地址往往很長，這也是一眼就可以識破的破綻。例如“戰隊賽”基金的頁面地址為“http://free6.savalo.com/woqq/***.htm”（圖2），將網址子域名和後面的部分去掉，只剩下“http://savalo.com/”，打開後出現的是一個其他的網站。很明顯，頁面是放在免費空間上的。試想一下，諾大的騰訊公司舉辦活動怎會把網頁放在免費空間上？如果“釣魚者”的目的不在於獲取你的重要信息，而是在頁面中加入網頁木馬，那麼危害性將更為巨大。　　其二，上文中提到的“客服”QQ號碼是一個9位數的普通QQ，作為一個騰訊公司舉辦的活動，其客服QQ應該是10000才對。
填寫無關個人資料 減少用戶警惕
　　如果沒有從上面的現象中得知這是一次釣魚攻擊，那麼“釣魚者”就已經成功了一半。點擊頁面最下方的“點擊進入專區”，會出現一個填寫個人資料的頁面，填寫正確後才能進入到下一步，如果填寫錯誤則會彈出“您填寫的資料有誤，請正確填寫”的對話框。在這個頁面中沒有要求填寫密碼類的資料，由此可見“釣魚者”為了降低“上鉤者”的警惕度，故意設置了這樣的一個頁面。可見“釣魚者”的真實目的並不在於獲取“上鉤者”者的信用卡密碼等信息。
　　高手支招：一般的“釣魚攻擊”在這一步就會露出真面目，會要求你填寫自己的信用卡密碼或其他的重要信息。但是隨著網友安全意識的普遍提高，對於填寫信用卡之類的信息比較謹慎，因此想用“釣魚”攻擊來獲取信用卡資料比較困難，反而容易引起懷疑。
獎品郵寄要郵費 真實目的顯現
　　填寫完所有的資料後進入下一步，這時會彈出一個對話框“恭喜您，您填寫的資料已被系統記錄在電腦裡”（圖3），然後就跳轉到一個獲獎界面，提示已經獲得了上面提到的兩項獎品。接下去就出現了“釣魚者”的真實目的。頁面中提示獎品的郵寄和獎品的稅費共需要488元，而必須先交清這筆所謂的“郵費”才能得到以上獎品。因此小傑找到了“客服”，對郵寄費用進行了咨詢，提出郵費可否從獎品中扣除的要求，結果被告知如果想要得到以上獎品，必須先付清郵費。　　高手支招：至此，“釣魚者”的真實目的已經完全暴露，利用人們喜歡貪小便宜的心理，從而騙取所謂的“郵費”。而獎品只是一個誘餌，使“上鉤者”者真的以為自己中了大獎，從而心甘情願地付出這488元的郵費，獎品在這裡扮演了一個“魚餌”的角色。如果對“網絡釣魚”稍有認識，就應該在這一步中了解到“釣魚者”的目的，中獎後需要你交納不菲的郵費這一點是相當不合理的，也極少有正規公司舉辦活動會這樣做。
簡單防范 把“網絡釣魚”拒之門外
　　通過網絡傳播看似權威或者官方的信息，騙取上網者的敏感資料如銀行賬號、密碼等行為稱之為“網絡釣魚”。
　　“網絡釣魚”雖然是最近幾年才出現的一種新的攻擊方式，但是使用的技術並不深奧，只是使用了社會工程學原理，利用人們的心理弱點進行欺騙。因此只要了解了這方面的知識，提高自己的安全意識，就可以完全避免“釣魚攻擊”。
　　“網絡釣魚”的目的已經不再注重獲取敏感信息，而是向著騙取現金的方向發展，或者在“釣魚”頁面插入網頁木馬，使“上鉤者”的電腦成為 “肉雞”。因此，防范“網絡釣魚”攻擊可以從以下幾點入手：
　　一、中大獎的概率是很小的，如果真中了獎，應該多查詢一下該活動的資料，確認無誤後再進行下一步操作。
　　二、域名是不可信的，因為“釣魚者”很可能使用域名劫持技術，當你在著名門戶網站填下自己的重要密碼信息時，你的信息已經落在了“釣魚者”的手中。因此盡量在浏覽器中直接輸入該網站地址，而不要點擊別處的鏈接。
　　三、在不能完全確認網站安全的情況下，應該多查看一下網站的源文件，也許會在其中找到破綻。同時千萬不能將自己的信用卡密碼和其他密碼填在網站上，因為很少有網站需要你的密碼信息。

 
From:http://tw.wingwit.com/Article/Network/201309/992.html