远离钓鱼网站侵袭

五峰

为了轻松骗取上网用户的重要隐私信息，例如，银行账号、身份证号码、网络游戏账号、电子邮件地址等，一些不法分子频频利用钓鱼网站，精心设下各种圈套和陷阱，引诱受害者上当受骗，并以此谋取不正当利益。据了解，每年国内的钓鱼网站都会给网民朋友带来直接经济损失达100亿左右，给社会带来的间接损失甚至超过了200亿元，而且这一数值还会逐步攀升。为此，我们需要擦亮双眼，认清钓鱼网站的本质，及时采取应对措施，加强安全防范，远离钓鱼网站侵袭！

认清钓鱼形式

为了想方设法使上网用户上当受骗，恶意用户会利用脚本欺骗、漏洞注入、黑客攻击等多种技术手段，在仿冒站点的特定页面中，潜藏恶意的网页代码内容，当用户不小心点击访问时，就能在不经意间骗取个人隐私信息，并利用隐私信息偷盗上网用户的银行资金。钓鱼网站其实就是通过模仿正规网站页面等欺诈形式，来引诱受害者上网访问，其常见的欺诈形式主要有下面几种：

模仿支付站点

很多用户为了图省事，往往会在网上进行充值、转账，而要顺利完成这样的任务，必须要输入银行账号、手机号码、交易密码等高度隐私的信息。恶意用户正是看准这一点，常常会将钓鱼网站页面，精心设置成与手机充值网站、各类网上银行站点、证券交易网站等完全一样的在线交易、支付页面，通过重置银行密码或进行银行转账等在线功能为诱饵，诱骗上网用户在站点页面中输入高度机密的隐私信息。当用户稀里糊涂地提交信息时，这些隐私信息就会被躲在暗处的不法分子轻易窃取了，到时利用偷窃过来的在线交易账号、密码等内容，就能随意划转受害用户的银行资金了。甚至有一些不法分子冒充支付站点工作人员，以升级支付程序为理由，假意退款给在线支付用户，要求用户进行指定操作，利用用户担心受损失的心理，将钓鱼网站链接发送给用户，诱骗用户点击访问，从而使其上网受骗，这种骗术成功率往往很高。

模仿中奖站点

现在，传真件上、手机短信上、网站首页面上等，随处可见“央视综艺频道星光大道晚会抽奖”、“快乐大本营栏目庆典抽奖”之类的中奖通知信息（如图1所示），这些信息都是钓鱼网站模仿腾讯、《快乐大本营》等抽奖站点页面，骗取上网用户的钱财。这类钓鱼网站无一例外地谎称网民朋友幸运中奖，欺骗上网用户提交个人银行账号信息、身份证号码信息以及手机号码信息，让他们对幸运中奖事件信以为真。之后，会利用已有信息进行更进一步的欺诈活动，例如，诱骗中奖用户在领取大奖之前，需要提前支付所谓的手续费、个人所得税、公证费等，如果上网用户被中奖喜悦冲昏头脑，轻易将资金转账给他们，那么将会给自己带来经济上的损失。其实，依照有关国家法律规定，为避免不正当竞争，规定抽奖最高奖金不能超过5000元，所有超过该标准的抽奖活动毫无疑问地被判断为诈骗行为。而且国家规定，抽奖活动主办方没有权利另外收取中奖者任何税费，即使需要公证处承办抽奖公证，也应该由抽奖主办单位负责承担公证费，无须中奖者交纳。同时，有关奖项设置及发放产生的类似手续费、邮寄费、银行转账费等，负责任、有实力的主办单位都应该自行承担。所以，对各种提前支付手续费、公证费等费用，才能兑奖的“抽奖”活动，均不要相信。

模仿购物站点

爱好网上购物的朋友，经常会光顾淘宝、票务、旅游、团购、商城之类的站点。为了引诱这些网民朋友前来访问，不法分子会将钓鱼网站精心装扮设计成上述一些站点，充分利用团购、秒杀、限时购买等噱头，以所谓的“走私货”、“免税产品”、“跳楼价格”等令人心动方式销售物品，使得购物者毫无防范地填写支付宝账号密码、个人详细联系信息、网上银行账号等，一旦骗取到这些重要的信息，那么购物者就等着被任意宰割吧！

模仿广告站点

一些钓鱼网站很干脆，往往会直接推出让人砰然心动的广告宣传或假冒产品，骗取上网朋友的信任，用户在点击访问虚假产品或广告内容时，潜藏在对应页面背后的恶意代码，能在神不知、鬼不觉的情况下，获取到网民朋友的隐私信息。利用这些收集到的个人信息，不法分子可以假冒用户本人进行欺骗性的在线交易活动，或者冒充用户本人与其他好友交流、行骗，从而牟取不正当的经济利益。

精心设计好钓鱼网站后，不法分子就会以各种途径传播钓鱼网站，诱使上网用户前来点击访问。一般来说，不法分子经常使用的传播途径，就是利用群发短信的方式，欺骗上网用户进行点击访问操作。稍微有点经济实力的不法分子，可能会在搜索引擎页面中投放广告，诱惑网民朋友点击访问钓鱼网站。除此而外，使用MSN、QQ、阿里旺旺等即时聊天工具传播钓鱼站点链接，在推特、微博、论坛中散布钓鱼网站地址，通过SNS网站、电子信箱大量发送钓鱼链接地址，伪装成网民光顾率很高且地址很容易输错的网站等，也是不法分子频繁使用的传播途径。

识别钓鱼方法

在上网冲浪之前，如果能够掌握一些基本的钓鱼网站识别方法，那么就可以在一定程度上远离钓鱼网站的侵袭。现在，本文就将经常使用的识别钓鱼方法总结出来，希望能对大家有所帮助。

地址分析法

在浏览特定站点时，除了要认真观察网页打开之前的地址内容，还要观察网页打开后显示在浏览器窗口地址框中的地址内容，看看它们有没有发生变化跳转。倘若在表单提交页面，出现了地址变化或跳转现象，特别是地址指向了非官方域名时，那么几乎能够肯定的是，当前访问的站点就是钓鱼网站，在网站页面中自然就不能提交任何个人信息和银行账号信息了。

精明的网民朋友很少会访问地址为非官方域名的网站，那么如何才能使这些网民访问钓鱼网站呢？不法分子充分利用IP地址可读性差、不容易理解、不透明等特性，将原本应用域名形式显示的网站地址通过IP地址表达出来，而不少正规网站的地址中也经常含有IP地址。所以，当用户看到显示在浏览窗口地址栏中的内容包含IP地址时，不妨利用搜索引擎弄清楚IP地址所在的详细地理位置，只要经过地址查询或仔细比较，才能判断当前访问的网站是否属于钓鱼网站。

倘若不法分子利用网页或Word文档传播钓鱼网站地址，传播的地址可能和它实际指向的地址是不一致的。钓鱼网站常常通过这种传播和指向的不一致性，来欺骗受害者。即使是经常上网冲浪的朋友，他在看到网页或Word文档中直观明了的URL地址后，很少会去核查它背后使用的实际地址。实际上，对于这种欺骗形式，用户只要简单地将鼠标指针移动到超级链接上，其真实的访问路径往往会显示在浏览器状态栏中，这时可以仔细比对，看看传播的地址和真实链接地址是否相同。当然，有的不法分子可能十分交换，他们会利用URL隐藏技术，将真实链接地址不显示出来，让用户无从比对。

内容审查法

认真查看，用户或许会看到钓鱼网站在网页显示样式和内容字体的颜色上，与安全健康网站相比有明显的差异性。比方说，有的字体或图像看上去比较模糊，有的在网页上没有超级链接或链接很少。当怀疑某个登录页面就是钓鱼网站页面时，不妨对该登录页面进行反复刷新，每次刷新后记下登录验证码，倘若发现当前网页只有很少几个验证码在循环显示时，基本就能判断该站点页面就是钓鱼网站，因为正规官方站点的验证码绝对不会出现重复和循环现象的。当要进行在线支付时，用户不妨尝试利用支付宝余额付款，看看当前在线支付网页能否将余额内容显示出来（如图2所示），一般正规的支付宝收银台支持账户余额显示功能，而钓鱼网站几乎都不会支持该功能。倘若上网用户能够读懂html源代码时，不妨通过查看当前站点页面源文件方式，来从源代码中寻找钓鱼网站的蛛丝马迹，看看个人隐私信息有没有被提交到自己不熟悉的地址中去了。

标志检验法

网民在进行在线购物等涉及到银行资金等操作时，一定要养成及时检验网站身份标志的良好习惯，这种习惯有助于大家远离各种钓鱼网站的侵袭。检验站点是否可信，主要是利用CNNIC（中国互联网信息中心）提供的验证服务来进行的，所有通过真实性认证的站点，都会被CNNIC运行的可信网站数据库收录，用户只要点击收录页面中的“可信网站”检验标志，在如图3所示页面中，就能判断特定站点是否真实可信了，同时能了解到目标站点详细的安全信息和验证信息。正常来说，可信认的站点无论在木马病毒监控方面，还是网站运行监护方面，甚至是数据加密传输、站点身份证明方面，都有相应的安全措施给予保护。

当用户使用腾讯浏览器、360浏览器、IE浏览器上网冲浪时，浏览窗口地址框右侧区域，一般都会将当前访问站点的身份标志铭牌信息显示出来。站点的身份标志，是以常用浏览器的设计开发厂商为主要认证机构，经过对有安全认证要求的官方站点或民间站点进行安全审查，之后对其安全状态和身份信息予以确认的一种特殊服务。只有经过安全认证的站点，才能获取身份认证标志，用户日后看到这样的标志铭牌，自然就能安全访问了。相反，如果在浏览器地址框右侧看不到当前站点的铭牌信息时，那就需要十分小心了，谨防落入钓鱼网站设下的陷阱。

现在也有一些在线支付平台，开始使用VeriSign天威诚信标志，这种标志是Internet中可信度最高的安全站点标志，它通过128位强制加密技术，让浏览器自动显示安全锁标志（如图4所示），同时使用“https”协议在Web服务器端和客户端之间搭建一条安全加密的数据传输通道，这个时候在网站中提交的个人隐私信息，在网络中传输时是不会被不法分子暗中截取的。所以，日后进行在线支付时，一定要看看支付页面的地址是否以“https”开头，如果发现支付页面地址没有以“https”开头，那请不要在当前页面中进行支付操作。

传输查验法

这种方法主要是利用QQ聊天工具自带的安全审查功能，来对各种可疑的网站链接地址进行检查验证。当发现QQ聊天窗口中网站链接地址前面存在绿色盾牌标志，同时该标志上存在钓勾，那就意味这站点地址是QQ程序认可的安全网站地址，点击访问该站点，往往是不会上当受骗的。如果看到某个链接地址前面有蓝色盾牌，盾牌上还出现了问号标志时，那就表示对应站点可能是不安全站点，浏览该站点页面时要相当小心谨慎。

倘若可疑站点地址出现在QQ消息中，用户只要将鼠标指针移动到网站地址前面的图标上，QQ程序会自动依照系统记录状况，弹出不同的安全提示，当弹出“绿色勾号”图标或者“腾讯网”图标提示时（如图5所示），那就说明目标站点为可信任站点，这些站点多半是每日浏览量很高的正规门户网站，访问它们时不要担心安全攻击。如果出现了“蓝色问号”图标提示时，那就表示目标站点的安全性还不能确定，它们的安全性必须依靠用户自身去判断，对待这类网站地址，用户应该保持谨慎态度，即使网站地址来自QQ好友，也要仔细检查对方好友的QQ号码是否被他人偷盗使用了。倘若是陌生用户发给自己的网站地址，尽量就不要点击访问它了，防止遭遇不可预料的安全攻击。当QQ程序弹出“红色叉号”图标提示时，这就说明该网站地址不安全，用户千万不能打开它。当然，对于明显的恶意站点地址，QQ程序的安全中心会自动对其拦截，不让其利用QQ聊天程序进行非法传播。

此外，其他一些聊天工具，多少也具有查验陌生网站地址安全的功能，只不过是功能强弱不同而已。比方说，利用阿里旺旺传播的陌生站点地址，如果看到网站地址前面存在绿色勾号标志，那就表示目标站点页面是淘宝官方链接页面，它的安全性是不要怀疑的，如果网站地址前面不存在绿色勾号标志，那就说明指定站点页面不是淘宝官方链接页面，它的安全性处于未知状态，用户点击访问它时需要十分小心。

除了上面几种主要的识别钓鱼方法外，还有一些简单的方法，也能帮助用户识别陌生网站是否为钓鱼网站。例如，仔细分析网站地址的结构，就能快速识别钓鱼网站。正规网站的域名地址一般很简洁，很少会出现类似“http：//item.taobao.com.ucrotin.co.cc”这样的多级域名，每一级域名使用“.”分隔开，而不是使用横线或下划线来分隔开。对于自己不能确认安全的陌生站点，可以尝试输入错误信息进行验证，如果连错误的登录信息也能登录成功，那基本就能断定陌生站点为钓鱼站点。

防范钓鱼措施

为了尽可能地骗取更大利益，不法分子可谓动足脑筋，各种兵法策略，已经被骗子十分娴熟地运用到很多网络钓鱼欺诈骗局中，让安全防范意识不足的上网用户难以招架。为了远离钓鱼网站侵袭，用户可以采取下面的措施进行防范。

养成良好习惯

Internet网络的复杂化与多元化，在给网民朋友的生活带来丰富和便利的同时，也可能会带来危害，为了保证安全上网，养成良好习惯是很有必要的。首先妥善保护好个人隐私信息，包括网银账号、身份证号码、支付宝密码、电子邮件账户、出生日期等等，不能在网站论坛、聊天窗口中轻易将重要隐私内容暴露给他人，在陌生站点中注册会员的时候，不能贸然地提交真实的个人材料，在利用共享方式传输机密信息时，必须严格使用复杂的访问密码。其次尽量访问那些正规、信誉好的网站，因为这些网站背后往往不会潜藏病毒、木马或恶意程序代码，最多也就是链接了一些让人不胜其烦的广告动画或宣传软件，不过它们不会对本地系统的安全造成威胁，也不会影响系统的运行稳定性。对于自己不熟悉的站点，尽量不要浏览访问。输入网址后要注重检查，避免不小心输入错误意外进入钓鱼网站，如果怕输错网址，也可以从一些知名的网站导航页面进入特定站点，例如，通过“http：//www.hao123.com”导航页面（如图6所示），几乎能进入各大常见门户网站。在进入网上银行页面之前，要注意观察浏览窗口地址框，倘若看到地址内容无法编辑，执行窗口最小化操作后网页地址仍然正常显示时，那这样的站点页面就十分可疑，此时最好将对应窗口关闭，以防止银行账号与密码发生丢失。第三不点击聊天窗口中出现的任何网站地址，哪怕是自己好友发送过来的，也不能在电子邮件或别人发送过来的网页中输入敏感内容，不能下载打开陌生的邮件附件，以防止进入陷阱。对于访问过程中意外出现的插件安装提示或下载程序提示，正常应该予以拒绝。

提高安全意识

尽管在专业技术人员眼里，网络钓鱼几乎不值一提，不过，现在钓鱼网站在全世界范围内疯狂肆虐，有关银行密码信息被钓鱼窃取，给上网用户带来巨大损失的报道，经常见诸报端。钓鱼网站作为一种普通的网络欺骗形式，根本没有多少技术含量，但为什么总会有人屡屡上当受骗呢？主要有下面几种原因：一是缺少对站点真实性与合法性进行认证的知识和办法。所以，要想远离钓鱼网站侵袭，首先要做的就是提高个人安全防范意识，特别是进行在线购物或在线交易时，千万不能有侥幸心理，认为眼下没有发生账号泄密事件，或者没有给自己造成较大经济损失，就是安全。其实有时候，风平浪静并不等于安全无忧，很可能就是“暴风雨前的宁静”。要提前做好防护措施，防患于未然，及早识破钓鱼网站设下的陷阱，早发现，早当心，远离金钱和时间的损失。例如，为了预防商品“秒杀”活动中，潜藏在网页背后的钓鱼木马，不妨安装使用360安全卫士的“网购保镖”程序，通过该程序为网银和网上交易保驾护航。二是自己的戒备心不强，总相信天上会凭空掉下馅饼，在受到突然的物质奖励或幸运大奖诱惑时，往往不能把持住自己。所以，遇到不期而至的中大奖活动时，必须静下心来好好想想，自己有没有参加这样的抽奖活动，如果压根就没有参加过任何活动，那么幸运大奖十有八九就是骗局。三是缺乏安全防范意识。为此，平时要擦亮自己的双眼，在网上填写个人隐私信息，特别是填写网上银行和电子商务信息时，一定要认真检查网站相关地址信息。比方说，中国工商银行网站的地址应该为http：//www.icbc.com.cn，而模仿中国工商银行的钓鱼网站地址很可能为http：//www.1cbc.com.cn，它们的差别很小，如果用户麻痹大意的话，很可能就会被钓鱼上钩。

加强安全设置

首先定期查杀病毒。经常上网冲浪，遇到病毒袭击是不可避免的，在没有安装杀毒软件的情况下，贸然地访问可疑网站，显然是十分危险的。为了避免钓鱼网站攻击，一定要在自己的计算机中及时安装正版的杀毒软件，并定期更新网络病毒库，在系统空闲的时候，启动运行杀毒软件，确保将躲藏在系统角落中的所有病毒清除干净。其次增强木马扫描力度。之所以频繁发生隐私信息泄密事件，很多时候都是木马程序在暗中“捣乱”，为此，我们要定期扫描系统，拒绝各种木马程序入侵。例如，要使用360安全卫士扫描木马程序时，开启该程序的运行状态，依次选择主菜单中的“设置”、“体检设置”选项，切换到如图7所示的设置对话框，选中“手动进行体检”选项，确认后保存设置操作，这样每次使用完系统时，点击主扫描界面中的“木马查杀”按钮，就能扫描查杀系统中的木马程序。第三使用防火墙保护。防火墙程序可以根据事先的设定，来自动识别来自网络信息的安全，并依照识别出来的安全结果，判断网络信息是否可以进入本地系统。由于Windows系统自带的安全防火墙工具，只能拦截一些预知的攻击行为，而无法拦截不可预知的非法攻击，所以，我们可以将类似天网、瑞星、360这样的第三方专业防火墙工具安装到本地计算机中，使用它们保护系统安全，能获得更好的效果。第四要及时更新漏洞补丁程序。现在有不少木马程序，都是通过系统漏洞实现非法攻击的，只有让系统处于自动更新状态，才能及时堵住计算机中的各种漏洞。以Windows 7系统为例，在开启自动更新功能时，可以依次点击“开始”|“运行”命令，弹出系统运行对话框，输入“services.msc”命令，点击“确定”按钮后，进入系统服务列表界面，从中找到“Windows Update”服务选项，并用鼠标双击该选项，打开如图8所示的选项设置界面，按下“启动”按钮，同时将启动类型参数设置为“启动”，确认后即可。

采取专业保护

钓鱼网站攻击用户的目的，主要是为了攫取钱财，要是涉及到在线交易或网络支付时，必须使用专业保护，确保能守住最后的安全防线。首先应该启用网银U盾保护。当办理网上银行业务时，一定要同时选购网银U盾这样的安全保护锁。日后，在使用网上银行功能时，一定要将安全保护锁插入到本地计算机的对应端口中，同时正确输入合适密码。当意外泄露了自己的银行账号与密码时，其他人在没有安全锁的情况下，是不能登录自己的网上银行并进行恶意交易的。其次使用数字证书保护网上支付安全。申请获得数字证书后，上网用户即使不小心丢失了网银账户，对应账户上的资金也不会有任何风险。