這是一類能夠產生數十億美元金錢的騙局，甚至只要有百分之五的命中率就可以做到，它嚴重地威脅到客戶與電子商鋪之間的在線交易。而在那些犯罪者和安全防御人士之間的角逐就如同一場持續的貓鼠游戲——釣魚攻擊、信用卡、名牌欺騙攻擊、電子欺騙攻擊——總之無論你稱它什么都好，無法避免的事實就是這類型的欺詐手段所帶給我們的危險性是與日俱增的。

　　這些侵犯者有著他們自己可以支配的裝備——包含在電子郵件內改寫后的冒牌站點的看似無害的鏈接，誘使你輸入敏感信息的彈出窗口，突然出現真實網址的偽裝后的URL，還有那些當你輸入用戶名和密碼時進行監視和捕獲的裝置。你并不是一定要成為一個技術精通者才能夠保護自己免受釣魚攻擊，只要你能夠對自己保持清醒的判斷力，意識到并非互聯網上所有的站點都是真實可靠的，那就足夠了。下面我們就一起來看看44條關于反釣魚攻擊，保護自己的小貼士。

網絡釣魚示意圖

    簡單，但卻非常有效的幾個方法

    1、不要相信陌生人：這條你在孩童時代就已經被教授過的規則在此也同樣起作用；絕對不要打開來自你不認識的人所發的電子郵件。將你的垃圾郵件過濾器設置好，讓它只能夠將那些來自存在于你地址簿中的郵件投遞給你。

    2、回避這些鏈接：如果你的垃圾郵件過濾器犯傻了，將一些垃圾郵件投入到了你的收件箱中，而你又碰巧將它們打開了怎么辦呢？非常簡單——永遠不要點擊這些郵件中的鏈接！

    3、保護你的隱私：你的鼠標有可能會不小心移到某個鏈接上，你瞧！你就被輸送到了另一個要求你提供例如用戶名、銀行賬戶號碼、密碼、信用卡密碼和社會安全號碼這樣敏感信息的網站。只有一個詞送給你——不要！

    4、不要害怕：通常，這些欺騙性的網站都伴隨著一些威脅和警示，告知如果你不確認你的用戶信息你的賬戶將存在被撤銷的危險，或是如果你不遵從這個頁面上所寫的內容，稅務局將隨時會找你的麻煩。對于這些，你只需要忽略它們。

    5、拿起你的電話并撥打：如果你心存疑問，這些可能會是一個合法的請求，而你的銀行又確實有要求你在網上輸入一些敏感信息的話，那么請在你有勇無謀地做任何事之前先打電話給你的客戶代表向他咨詢。

    6、使用你的鍵盤，而不要總是用鼠標：用鍵盤輸入URL地址，而不要通過點擊鏈接進入網上商店或是銀行站點這些通常會要求你輸入信用卡號和賬戶號碼的地方。

    7、尋找一把鎖：合法的站點通常會使用加密手段以保證你的敏感信息能夠安全地傳達，會以一把鎖為特征出現在你瀏覽器窗口的右下角，而不是在網頁上。它們的地址通常也都是以https://開頭，而不是平常所見的http://。

    8、探明不同之處：有時，只是單獨地出現鎖頭標志就足以證明這個站點的可靠。而如果要證明它是名副其實的，則可以雙擊這個鎖頭來顯示這個站點的安全認證書，再核對一下在認證書上的這個名稱是否與地址欄中的相匹配。如果不是的話，你就處在一個有問題的站點，那么趕緊擺脫這個糟糕的境地吧。

    9：第二次就會是正確的：如果你擔心自己進入了一個模仿成你的銀行頁面的釣魚網站，有些時候，最簡單的檢查方法就是輸入一個錯誤的密碼。偽裝的站點就會接受這個錯誤的密碼，接著你通常會被帶到一個頁面，被告知他們正遇到一些技術問題，因此要求你是否能夠稍后再試。而真正的銀行網站是不會允許你進入的。

    10、在此，“不同的”是一個關鍵詞：對不同的站點使用不同的密碼；我明白，這是一個有些令你感到有些棘手的要求，好一段時間你的大腦中某些技能總是要經歷一些技術性的鍛煉，但這確實是一個好的方法，能夠防止自己免受釣魚者獲得你所有的敏感事務，即使在他們成功獲取了其中一處的情況下。

    11、睜大你的雙眼：垃圾郵件都充滿了語法錯誤，且通常都不是很個性化，常常是帶有一些鏈接或是值得懷疑的附件。及時地辨認出它們，并揭示出它們是垃圾郵件。

    12、熟知詳情你就能蔑視他們：你并不能確保當收到電子郵件時能從中辨認出哪些是釣魚者所發送的？也許你也看到一些例子能夠讓你知道他們通常都是怎樣進行欺騙的。不久后，你就能熟知如何認出偽造的站點。
 
    13、貪婪是不會有好結果的：永遠不要參加那些要求你的敏感信息而能夠提供金錢的調查。這些通常都是詐騙的攻擊行為，以試圖掌握你的個人詳情。也許你能夠獲得所承諾的20美元，但更可能的是，你會發現你的賬戶被扣除了更高的代價。

    14、不要離開：千萬不要在你登錄你的銀行賬戶或在購物網站提供完信用卡信息后讓你的計算機無人伴隨左右。

    15、適時地關閉賬戶：一旦你完成了你的業務，請適時地登出，而不要僅僅是關閉瀏覽器窗口，特別是如果你使用的是公共的電腦終端。

    16、再仔細認真，也不算過分：定期地登錄你的銀行賬戶并密切關注你的資金情況。你也不想哪個美好的日子一早醒來就發現某個釣魚者正在時不時地榨取了你幾百美元。

    17、多了解知識沒有壞處：保持自己能知曉關于釣魚的最新的新聞和信息。

    18、硬件中留下跡象：當你處理舊計算機或硬盤時要格外留心�；厥盏挠嬎銠C曾有過被找出保留的有關網上銀行的機密信息的例子。請使用軟件刪除并對你硬盤上的數據進行反復讀寫，以確保它無法恢復。

    像往常一樣經營你的業務

    19、我到底認不認識他呢？當心魚叉式網路釣魚——當你的公司賬戶被泄露，那些請求私密信息的電子郵件就會根據新聞報道從你的同行或一些大人物那里發出，此時最好要打電話給這個人讓其關注，并證實電子郵件的可信賴性。

    20、仔細研究這些記錄：作為企業組織的一部分，你可以做很多事來防止釣魚者泄露你公司的安全。設置好你的防火墻，并確保你妥善地處于反病毒軟件的保護之下。定期監控來自你的DNS和代理服務器、防火墻以及其它入侵偵測系統的記錄，以檢查你是否受到過感染。

    21、政策就是最好的手段：制定嚴密的政策，關于創建你的客戶端、服務器、路由器的密碼，并確保你的員工都切實地貫徹執行。

    22、不要任何入侵：設立入侵偵測和保護系統能夠保護你的網絡內容，并阻止收發釣魚電子郵件。使用反釣魚和反病毒工具和防火墻來保護你的網關。
 
    23、關注你所經營的公司：維護更新一份關于證實可靠的設備的清單，它們是能夠被允許連接到你的公司的網絡的。

    讓技術伴你左右

    24、這是一個關于信任的問題：一個重要的問題就是，你能夠信任那些網站的認證書所證實的它的可靠性嗎？并不是很久以前，Verisign對于他們所發布的聲稱是微軟的一部分的安全認證表示愧疚。最新版本的瀏覽器，IE 7和Opera 9很快將能夠提供給用戶EV SSL（擴展認證SSL）認證書來確保它們正處在一個非偽造的站點下。地址欄若是綠色則是正常的網站，若是紅色則是有疑問的網站。

    25、釣魚者總是貪得無厭的：電子郵件也能夠具有欺騙性。唯一能確保它們并非含有釣魚攻擊的方式就是使用支持S/MIME（安全版本的多用途網際郵件擴充協議）的數字簽名。第一道檢查工序是，如果這個發件人的地址是沒有問題的，接著就檢查它的數字簽名。由于這個簽名是在客戶端打開郵件并鑒定之后而生成的，因此這是一個相當有效的反釣魚的策略，同時也因為它是基于強大的密碼技術。

    26、保持更新：確保你的操作系統和瀏覽器都規律地進行升級。隨時檢查是否有最新的補丁，并立即將它們安裝上。

    27、建立柵欄：用一些有效的殺毒軟件和反垃圾郵件軟件來保護你的計算機，并設置起防火墻以防那些鬼祟的木馬趁機進入。它們可能是最差勁的釣魚方式——秘密地在你的系統上安裝一些監視鍵盤輸入的軟件，捕獲你所有敲擊鍵盤的信息并將它們輸送給不知道躲在什么地方的騙子們。更糟糕的的是，這很可能會迅速蔓延，并通過你的計算機感染你整個網絡中的其它系統，直到所有的計算機都被攻陷。

    28、兩個比一個好：使用雙重認證來登錄敏感的網站。使用一個像密碼這樣的軟件令牌和一個像ATM卡這樣的硬件設施的聯合能夠讓你打開賬戶時候加倍安全，這比起只有一種認證或是兩種都沒有要來得令人放心得多。

    29、一步接一步：如果你將登錄過程分成兩個階段，那么釣魚者就很難獲取你進入賬戶的密碼——先輸入你的用戶ID，再使用其它的證書。當你在第二階段輸入身份詳情，而輸入的窗口僅是以你個人定制的某種方式顯示時，這個過程會格外的安全。例如，如果有某個圖像是你明確指定對你顯示的。

    30、不要僅擁有一個令牌：可以考慮使用一個ID保管的USB令牌，將你所有的ID和密碼儲存在一個閃存盤里面，這就能更加安全地登錄到網站上。大多數的令牌伴隨了一個有著合法站點的清單，也能夠防止鍵盤監視軟件有效地工作。這個設施本身就是一個收保護了的密碼，因此那些竊賊們有多了一層要應付的解密難關。

    31、用“打亂”來迷惑釣魚者：軟件插件也加入到了反釣魚的斗爭中，其中一個例子就是PwdHash，或是叫一個由兩個斯坦福大學的教授開發的密碼打亂（hash）工具，它能夠打亂你輸入的任意密碼，再創建一個對你訪問的每個站點都獨一無二的登錄結果。這樣，即使釣魚者獲得了你的密碼，那也是無法使用的。

    32、監測：另一個應用程序是與PwdHash同一線的產品，也是由同樣的兩位斯坦福大學的教授開發，名叫SPYBLOCK，這個工具能夠防止木馬鍵盤監視程序盜竊你的密碼。

    33、插件保護：瀏覽器的插件，例如Mozilla的Firefox使用的Antiphish，通過維護你的密碼清單和其它敏感信息用來防止釣魚攻擊，并能在用戶處在釣魚網站并輸入這些信息時發出警告。

    34、框架結構的措施：銀行和在線商鋪最好應該使用開源的SPF標準，這樣就能防治電子郵件地址通過那些允許發送郵件的列表服務器遭到騙取。

    35、承擔誠信：作為一個可選擇的方案，他們可以使用像GeoTrust的True Site認證這樣的受信服務，這樣就能讓用戶可以證實網站的可靠性。

    即將到來的反對釣魚的保護

    36、發送真實可靠的信號：例如通過證實每封電子郵件的來源的發信人身份識別框架（SIDF）這樣的新技術已經投入到與詐騙網站的斗爭中。這也是微軟和CipherTrust要走的路線。

    37、沒有什么能夠封鎖誠信：TrustBar（誠信條）是瀏覽器中安全的、且是“撕毀無效”的組件，它們能夠讓有關站點的信息可視化。當在這些可視化的誠信條中有一些不符之處，用戶們就會得到明確的警告。

    38、放緩這些攻擊的腳步：另一項技術，密碼延遲公開（DPD）能夠防止那些詢問敏感信息的彈出窗口（很貼切地稱為幽靈窗口攻擊），當用戶逐字輸入密碼，僅要在一致的圖像得到識別后才能一個接一個地顯示出，通過這樣的方式來防止釣魚攻擊。

    39、校對真實：希望被認證為可靠的網站可以使用名叫PROOFLETS的HTML插件來擴展一個服務器的內容。這些能夠通過使用特定的網絡服務項目，由瀏覽器得到證實。

    其它的途徑

    40、移動的詐騙：由于用戶們都知曉了他們的欺騙手段，釣魚者就要尋求新的介質來進行他們的欺騙活動。作為當今世界必不可少的移動電話，也就成為了最新的目標。那些稱作是你的銀行提出的警告的文本短訊，要求你確認你的賬戶信息，警告才能被撤銷。請忽略這些短訊，它們都是帶有欺騙性的。

    41、來自聲音的疑慮：另一個很活躍的熱門領域，就是VoIP技術，已經被作為調與工具通過規律性的警示來使用。騙子們發現它非常開銷適當，大量的電話卻可以賺回更高的那些不幸受難的人所付出的代價。這實在是加倍的危險，因為人們通常會帶著懷疑去看一封電子郵件，卻通常很容易輕信打來的電話。

    做出改變

    42、加入戰斗：如果你碰到釣魚詐騙，請馬上報告給反釣魚工作組，通過美國聯邦貿易委員會（FTC）和FBI共同成立的網絡犯罪舉報中心，他們都會去關閉這些釣魚網站并逮捕相關的負責人。

    43、說再見：如果你的賬戶中任何一個被泄露，請馬上將它們注銷。

    44、改變是良好的習慣：如果你懷疑你的人和一個密碼可能落入他人之手，請立即將你所有的密碼和在線賬戶的識別碼都更改。

    釣魚攻擊就是這樣的猖獗，無知決不會是福。只要還有易受騙的人們存在，就會有騙子會去利用人們的弱點，像粗心、懶惰、貪婪以及無知。用技術來拯救和幫助自己吧，這些攻擊已經與日俱增。只要多一些警覺就能讓我們在于這些計算機犯罪的斗爭中走得更長更遠一些！

    （文章來源：networksecurityjournal）