杨明

中国人民公安大学 北京 100038

0 前言

网络钓鱼(Phishing)一词，是“Fishing”和“Phone”的综合体，由于最初黑客是用电话实施诈骗活动，所以用“Ph”来取代了“F”，变成了现在的“Phishing”。网络钓鱼的基本原理可以概述为网络犯罪分子综合利用社会工程学原理和互联网应用技术手段，以盗取个人敏感信息为重要途径实施网络诈骗的违法犯罪手段和行为方式。目前，网络钓鱼分两类，第一类主要是通过社会工程学的方法对网络用户进行诱骗，以获取网络用户金融信息和其他个人信息。钓鱼者搜集相关个人信息，引诱他人受骗。另一类主要是利用技术手段攻击计算机或网页可能存在的漏洞，影响其正常有效运行后，再对网络用户进行诱骗。

1 网络钓鱼的案例分析

2012 年春运，铁道部首次专门开通了网上购票系统，由于其方便快捷，许多旅客将网络购票作为首选方式。然而，一些“钓鱼”网站也相继浮出水面，通过设置各种购票“陷阱”骗取钱财。家住北京的苏女士打算春节带孩子回南方老家探亲，在铁路部门官方网站没买到火车票，就登录国内信誉较好的“去哪儿网”购票，却通过一个链接进入了一家名为“逍遥行上海营业部”的网站购票，这个网站看上去很规范，上面列着车次、价格、送票费等信息，还需要旅客填写姓名、身份证件号码、手机号码、送票地址等个人信息。苏女士没多想就填好这些信息，并按了“购买”按钮。苏女士按照建设网银付款，输入银行账号密码，核对无误后就点击“付款”。为了保险起见，苏女士拨打网站上的服务热线4006976678咨询。接电话的男子先告知那趟火车没票了，可退还票款，但必须到最近的建行ATM。苏女士来到建行ATM网点，对方问：有“申请退款”按键吗？——自然是没有。他解释说那台ATM系统没更新，所以就按“转账汇款”键，按他说的“交易代码”操作才行。苏女士因为着急退款，也就稀里糊涂地按他说的做了。结果收到银行扣款短信，被扣去了 1580 元。此时，苏女士才意识到已上当受骗。在百度上搜索关于“逍遥行上海营业部”的信息，发现与苏女士一样遭遇的人不在少数。

分析本案例中苏女士由于购票心切，相信网站中“还有火车票”的诱饵，通过一个链接进入了一家名为“逍遥行上海营业部”的钓鱼者精心设计的假冒网站，继而又拨打了所谓的热线电话，在得知可退款后，又盲目转账，最后造成了无法挽回的损失。网络钓鱼最基础也是最重要的是“鱼饵”，即利用社会工程学原理，利用人们好奇心、信任、贪婪等心理陷阱作为诱饵。本案例中苏女士因为买票心切，没有认真核对网址，只看到“中国建设银行版权所有”字样，就认为是该行官方网站www.ccb.com，却被链接到“ibsbjstar.ccb.com.cn”的网站，显然其为钓鱼网站。分析得知苏女士缺乏必要的电子商务的安全意识，结果只能是人财两空。目前，网络钓鱼开始变得猖獗，钓鱼手段也不断翻新，给蓬勃发展的电子商务活动带来极大的威胁，已成为全社会不得不重视的社会新问题。

2 网络钓鱼的手段分析

2.1 利用网络钓鱼邮件

根据美国微软研究院的分析显示，大约有95% 的“网络钓鱼”来自欺骗电子邮件或伪造电子邮件。用户在收到电子邮件后，一般情况下首先会查看邮件的来源，来源的可靠性会直接影响用户对邮件真实性的判断。一些垃圾邮件，将发件人的邮箱和称谓伪造成一些知名的电子商务网站或者银行，如“淘宝网”、“支付宝”、“中国工商银行”等。钓鱼者很善于将钓鱼邮件伪装得与真实机构发送的邮件非常相似，并且在整体风格上也抄袭官方的内容，比如商标或者网站的图标，使邮件与被仿冒的网站具有一定的相似性，使收信人放松警惕，从而一步一步走入钓鱼者的陷阱。普通用户很难识破这种伪造的身份。目前还有一种鱼叉式网络钓鱼，其锁定之对象并非一般个人，即向特定人群或机构发送电子邮件，是为了获取对方高度敏感性资料，如商业机密。

2.2 利用社会工程学原理

社会工程学是网络钓鱼者常用的一种手段，它是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。通过社会工程学技术愚弄用户，通常通过在知名电子商务网站发布虚假商品信息，以所谓“超低价”、“走私货”、“慈善义卖”、“免税”等名义出售，或在钓鱼邮件的内容中包含类似“您中奖了”、“需要验证您的账户，请快速处理，否则账户会被冻结”等迫切需要用户“更新”或“核实”的数据信息。收信人或网页浏览者看到此类信息后，通常都会因紧张、好奇或者贪婪等心理，对其提出的要求做出回复，从而将个人账号、口令等敏感信息轻易泄露。社会工程学的手法其实并不包含较高的技术，但因为其直接针对的是比较感性的网络用户本身，而网民往往是网络安全中较薄弱的一个环节，易受外界因素的影响，所以这种典型的欺骗手法仍然很容易得手。

2.3 网页包含虚假链接

网络钓鱼者通过发布诱惑信息，最终的目的就是千方百计地将用户通过链接方式引诱到他精心设计的虚假网上银行、虚假电子商务网站中，并获取网民个人敏感信息，实施网络欺诈。链接往往有一定的隐蔽性，以达到欺骗收信人的目的，这些虚假链接主要有以下几种形式：

(1) 相似域名

钓鱼者提供的链接地址，一般都是仿冒银行、购物等知名网站，人们对这些网站的网址都比较熟悉，所以钓鱼者会使用看起来非常相似的域名，以达到以假乱真的目的。例如：工商银行的真正网址是www.icbc.com，而www.1cbc.com或者www.lcbc.com 就是用数字1和小写字母l来仿冒小写字母i。网上还有用www.taobaoo.com仿冒淘宝网站www.taobao.com。总之，网民稍不注意，就会误认为这些链接指向的是合法网站，从而点击链接访问这些网站。

(2) DNS域名与实际链接中的DN S 域名不符

在网页的源代码中用a标记来表示超链接，格式为， 页 面 上 显 示 的 网 址 为show_link，而该超链接实际指向的地址为real_link。假如邮件中包含这样一段html代码：

https：//internetbanking.suncorpmetway.com.au/sml/logon.a sp

用户看到的地址是https：//internetbanking.suncorpmetway.com.au/sml/logon.asp，但是当用户点击该链接时，进入的确是钓鱼网站 http：//amdel.cl/archivos/suncorp.html，而对普通用户而言，却浑然不知自己已进入了钓鱼网站。

(3) 用编码策略伪装超级链接

常见的url一般是由ASCII字符，或者其他易于识别的字符组成，比如中文等。浏览器支持对这些字符的编码，编码的方式是将字符转换成十六进制，并在前面加上“%”，编码后的url由一串数字和%组成，用户识别起来非常困难。同时浏览器还支持对url的部分编码，例如www.icbc.com.cn%2E%61%62%63，看似是工商银行的网址，可实际指向的地址是www.icbc.com.cn.abc是一个钓鱼网站的网址。

2.4 利用恶意脚本和木马攻击

目前，出现了利用恶意脚本实施钓鱼式欺诈攻击，在发送的电子邮件中或在网站中隐藏“木马”程序，当嵌入脚本链接触发，用户点击链接后，会进入一个正常站点，而恶意脚本毫无觉察地在后台下载木马，在感染“木马”的计算机上进行网上交易时，“木马”程序即以键盘记录方式获取用户账号和密码。当用户下一次登录合法的银行网站时，自动地被引导到一个钓鱼网站。

当前“网络钓鱼”还呈现“假日”和“热点”和“境外域名为主、主动建网站为主、非法入侵挂马和假冒侵权网站冒头”等特点。网络钓鱼者经常采取以上几种手法交织与配合，欺骗性极强。

3 网络钓鱼的防范对策

通过案例的分析，深入剖析了当前网络钓鱼者的手段和技术，那么作为网民如何防范网络钓鱼欺骗行为，从而在网络钓鱼游戏中获取主动，使钓鱼者败兴而归。

3.1 针对网络钓鱼邮件，加强防范心理

针对网络钓鱼邮件要提高警惕，不要轻易打开和回复。一要检查邮件来源，确定邮件是否来自可信的单位或个人，自己不熟悉的不要打开。二认真检查邮件主题，切勿点击不明电子邮件，钓鱼邮件通常模仿被假冒单位的口吻和语气如“亲爱的客户”等。三钓鱼邮件内容多为“您中奖了“或“账户被冻结，请速激活”等，要求用户提供密码、账号等个人信息，切不可因贪心而上当，造成因小利失大的后果。总之，切勿点击不明电子邮件内提供的链接和打开附件，这些链接和附件中往往隐藏有木马程序、计算机病毒或引向一个钓鱼网站。

3.2 针对社会工程学原理，抵制诱惑

截至2011年12月底，中国网民规模突破5亿，全年新增网民5580万。互联网普及率达到38.3%。网络已经成为人们生活的一部分。网民要加强安全意识，网民不要进入一些不太了解的网站，不要执行从网上下载后未经杀毒处理的软件，不要打开QQ 或者MSN 等聊天软件中发过来的不明文件。当出现诸如：“您中奖了”、“超低价”、“需要验证您的账户，请快速处理”、“核实”数据的信息时，要提高警惕，抵制诱惑，切勿盲目登录或回复个人信息，以免因贪图小利，而轻易上了钓鱼者的当。

3.3 针对电子商务，谨慎交易

针对网上交易，一要做的是核对网址，看是否与真正网址一致，官方网站的网址一定要自己在地址栏输入，键入网站地址的时候要校对，以防输入错误，避免点击搜索引擎搜索出的链接或其他不明网站的链接进入。二网上支付需选择第三方支付平台，切忌向个人银行账户汇款或转账，正规的网站不可能把商品交易款汇到个人的账户上。对网上银行等平台办理的转账和支付等业务做好记录，定期查看“历史交易明细”，如发现异常交易或差错，立即与有关单位联系。三妥善保管密码，不要选诸如出生日期、电话号码等作为密码，要用大小写字母、数字混合密码，尽量避免在不同系统使用同一密码。四管理好自己的数字证书，避免在网吧等公用的计算机上使用网上交易系统，如果不小心在陌生的网址上输入了账户和密码，发觉资料被盗，应立即修改相关交易密码或进行挂失，拨打有关客服热线进行进一步确认。

3.4 针对木马和病毒，加强网络安全管理

一是注意经常给系统打补丁，堵塞软件漏洞。二是安装防火墙和杀毒软件，及时升级打补丁。三是不要上一些不太了解的网站，不要打开msn或者QQ上传送过来的不明文件等，加强对各类QQ病毒的防范和清除措施。四安装防范网络钓鱼安全专家之类的防护软件，这类软件拥有一个自创的“黑名单”，软件可以自动阻止“黑名单”上提供的钓鱼网站的进入，并向成员发布漏洞预警，以防备钓鱼或恶意病毒的侵入。五网民可购买金山毒霸增加网购的安全性，2011年，金山毒霸网购保镖日平均保护2000万次网购操作，而且金山毒霸推出了敢赔模式，用户在开启敢赔功能的情况下，由于钓鱼或者木马导致网购被骗，金山公司将进行赔付，增加了电子商务的安全性。

3.5 针对网络钓鱼犯罪，公安机关加强管控

公安机关作为虚拟社会管控的主要职能部门担负网络系统的安全管理工作、打击计算机违法犯罪活动的重要任务。钓鱼网站已经成为中国互联网安全的首要威胁。公安机关要加大对网络钓鱼诈骗案件的侦办力度，保证电子商务的安全与健康发展。一加速信息化建设，网络安全监察部门应当加快科技强警的步伐，完善网络规范，加快网侦新技术建设。二加强网安民警的业务技能培训，提高侦控能力，发现新问题及时掌控，迅速回应，做到及时发现迅速屏蔽，避免更多的人上当。三建立举报通道和全民监管环境，利用广大网民收集不安全信息资料，进行监督监管。四公安机关进一步加大对网络钓鱼的惩治力度，敦促相关部门针对网络钓鱼违法行为的特点，出台具有可操作性的专门性法律法规或司法解释，使得公安机关有法可依，从而遏制网络钓鱼等网络违法行为的发生。五在网络监管方面，加强部门间联动机制，多层面、立体式推进网络安全建设。

4 总结

随着电子商务的迅猛发展，网络钓鱼活动日益猖獗，网络钓鱼攻击防不胜防，成为互联网第一大安全威胁。网络钓鱼者究其根本就是利用了社会工程学的手段，引诱网民上钩。因此，只要网民上网时提高警惕，抵制诱惑，谨慎交易，加强电脑的安全管理，不打开来路不明的邮件，不轻易泄露个人信息，那么垂钓者的如意算盘就落空了。但伴随网络购物的普及，网络钓鱼技术手法不断地翻新，如何找到更有效的防范途径与技术手段来遏制网络钓鱼欺诈的发生，这将是需要我们为之共同努力和奋斗的一项艰巨任务。

[1] 杜彦辉.网络犯罪之“愿者上钩”.信息网络安全.2010.

[2] 杨明,杜彦辉等.网络钓鱼邮件分析系统的设计与实现.中国人民公安大学学报.2012.

[3] 金山网络.2011-2012中国互联网安全研究报告[R].2012.

[4] 中国互联网络信息中心.第29次中国互联网络发展状况统计报告[R].2011.

[5] http：//www.022net.com/2012/1-14/475960242224055.html.

[6] http：//www.100years.com.cn/Newsinfo/2007-12-1/20071210T4d qL.shtml.

[7] 李佟鸿,麦永浩.网络钓鱼犯罪技术分析与对策研究.信息网络安全.2011.

[8] 黎其武,武良军.网络钓鱼犯罪问题研究.信息网络安全.2011.

[9] 周国民,陶永红,吕钟炜.国外“网络钓鱼”技术原理与方法初探.信息网络安全.2009.