一、 瀏覽器后面的罪惡—— 釣魚網站與欺詐網站的巨大危害

目前，全球經濟形勢嚴峻，導致惡意線上活動變本加厲，網絡犯罪者活動日益猖獗，新型網絡釣魚犯罪綜合了間諜木馬、詐騙、偽裝等多種手段，造成的經濟損失遠遠超過以往單純的網絡攻擊，釣魚網站利用惡意軟件竊取密碼及其他敏感資料的活動直線上升，金融服務業、拍賣網站與付款服務都成為網絡釣魚攻擊的主要目標。

據國內相關部門統計，國內8成以上網民對于網上提供個人信息的安全性存在不同程度的擔憂，文件丟失、計算機癱瘓、網銀賬號被盜、信息資料被竊是當前網民最為擔心的四大安全隱患，近1/4的網民非常擔心個人信息安全，從不在網上填寫個人相關資料。這就是說，釣魚網站除了給網民帶來經濟損失，給企業帶來品牌形象損傷外，最重要的是，使得大批網民對互聯網不信任，導致網民減少甚至避免使用某些網絡應用，從而阻礙了我國互聯網的健康發展。

僅以“全國列車時刻表查詢（http://www.touba.cn）”這個假冒網站為例，近期該網站就侵襲了將近34萬網民。全球“釣魚”案件自2005年始，正在以每年高于200%的速度增長，受騙用戶高達5%。而在近日查到的釣魚網站中，淘寶、騰訊、百度等知名網站都曾被仿冒，屬于“重災區”。

更值得注意的是，這些從事詐騙的非法釣魚網站存活時間較短，通常僅維持一周甚至幾天，最長也僅為一個月。此外，欺詐類非法網站通常“打一槍換一個地方”，頻繁開設新網站，給打擊非法網站、事后監管帶來較大的難度。較低的破案率，讓欺詐釣魚網站實施詐騙更加變本加厲。

二、 欺詐網站其實就在我們身邊—— 細數釣魚網站的犯罪手段

綜合分析了大量釣魚網站后發現，欺詐釣魚網站具有一定的規律性，往往與社會熱點緊密結合。比如股市火爆時，假冒券商網站就會集中暴發;高校招生階段，假冒高校網站就會異常增多;春運時，假冒車票交易、查詢網就會分外活躍。網民登錄釣魚網站，則有可能被不法分子竊取銀行賬戶、密碼等個人私密信息;網民在釣魚網站可能進行網上交易，交納會員費、學費、中獎手續費等，因而蒙受經濟損失。

網絡安全專家介紹說，每當大型節日臨近，網民們會加大對網絡的使用量，如通過互聯網查詢列車車次和票價、查找自己感興趣的網游外掛等。同時，假日前后也是網上購物高峰期，各種各樣的網絡欺詐釣魚網站會通過論壇、貼吧和即時聊天工具等發送虛假中獎、打折、贈送信息，用戶一旦點擊該鏈接即刻中毒，網上銀行帳號、密碼隨時面臨被盜危險。

相對于其他欺詐方式，釣魚網站詐騙的成本和技術門檻相對較低，不法分子甚至不需要是技術一流的黑客，只要從網上花10元到數百元，即可輕松買到不同功能的釣魚網站和工具，實施犯罪活動。

不僅如此，部分釣魚網站還利用欺騙性的電子郵件和偽造的 Web 站點來進行網絡詐騙活動，詐騙者通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信品牌，騙取用戶私人信息。在這些帶有欺騙性的電子郵件中，內容通常會以“系統升級”為由，稱“如果不及時更新個人信息，個人賬戶將被終止”，后面附帶有一個網址鏈接。一旦打開這個鏈接進入該網站，網民往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內容。

三、 欺詐釣魚網站的利益鏈條—— 如出一轍的誘人騙局

欺詐釣魚站獲利的大致流程如下

(一)、 制作釣魚網站

直接復制釣魚攻擊的目標網站頁面。目前，支付寶、財付通等第三方支付平臺以及網銀支付平臺及購物平臺等是模仿重點對象。

(二)、 散布誘惑信息 誘使在釣魚網站上提交信息

散布誘惑你輸入個人隱私信息以及其它重要帳號和密碼重要信息的頁面。

(三)、 記錄隱私信息

后臺數據庫將記錄你的帳號和密碼。

(四)、 盜取利用數據

竊取賬戶資金或利用賬戶中的隱私信息從事一些犯罪活動。

四、 治本之道—— 如何從根本上解決釣魚網站和欺詐網站

目前“釣魚網站”已成為互聯網安全最大的隱患，嚴重阻礙電子商務、在線金融業務的正常發展。特別是2008年9月以來，金融海嘯在全球蔓延，許多不法分子趁機制造釣魚網站非法牟利，上升為國際性問題，企業為應付釣魚網站付出了大量的精力和成本。這時，如何有效遏制釣魚網站，降低處理成本，眾企業可謂“傷盡腦筋”

今年中央電視臺“3?15”晚會的重要話題之一是保護人們網上隱私的安全。這一話題非常引人關注，它提醒人們，在日常上網的過程中，盡量注意不要讓個人隱私在網上暴露；同時，也對ICP或電子商務網站，如網上銀行、網上證券、網上購物等網站提出了新的要求：網站能否采取有效的技術措施，一方面證明自己的網站是真實而非假冒的，另一方面保護用戶信息傳輸的安全。

從目前的技術來看， SSL證書作為成熟的國際標準，是目前證明網站的真實性、保護用戶隱私信息安全的唯一有效的技術手段。

互聯網所使用的 IP 技術是明文傳輸信息，這樣，如果您在網站上提交的所有機密信息不采用加密措施的話，其他人很可能能看到，因為從您的電腦到網站服務器要經過許多路徑，許多人能接觸到這些路徑，有可能非法截獲甚至篡改您的機密信息，比如銀行卡信息等。

由于SSL證書能高效地加密網上的信息，并能對網站的身份進行驗證，所以，自推出以來就在歐美地區獲得了大量部署。再加上，歐美各國有相應的個人隱私保護法律法規，幾乎100%的美國政府、電子商務等網站，凡需要用戶登錄的地方，都部署了 SSL證書。

反觀我國，SSL證書的應用情況卻糟糕得多，我國各種電子政務、電子商務、企業網站，絕大多數都沒有部署SSL證書，也就是說，網站根本沒有采取最基本的安全技術手段對網民的機密信息，如個人手機號碼、家庭地址等進行加密，其中重要的原因之一是中國相關法律的嚴重缺失。中國有關部門必須盡快立法來保護廣大網民的網絡隱私權。

假銀行網站更是將不少消費者們騙得團團轉，但在專家看來，這些黑客其實只是耍了三腳貓的伎倆。

實際上假網站這種欺騙手段十分低級，出現這類事件的主要原因是用戶對于網上銀行的正確使用還不是特別了解，對于網上銀行的安全沒有足夠的防范意識，缺少對于SSL等安全技術的認知。如果客戶能夠正確使用，提高安全意識，類似假網站騙錢的事件完全可以避免。

五、 SSL證書全線阻擊

SSL證書作為最為有效地安全技術，網站部署后，網民究竟如何通過數字證書識別欺詐釣魚網站？
網站通過部署SSL證書，瀏覽器需經過以下5個方面的檢查后，才會在頁面瀏覽器頁面顯示安全鎖標志，同時地址欄出現“https”字樣，提示頁面完成了SSL證書安全加密。

第一，檢查SSL 證書是否是由瀏覽器中“受信任的根證書頒發機構”頒發？

如果不是，則瀏覽器會有安全警告，為 IE7 瀏覽器的警告信息為“此網站出具的安全證書不是受信任的證書頒發機構頒發的，安全證書問題可能顯示試圖欺騙您或截獲您向服務器發送的數據，建議關閉此網頁，并且不要繼續瀏覽該網站?！盜E6瀏覽器會提示 “該安全證書由您沒有選定信任的公司頒發”。

第二，檢查SSL證書中的證書吊銷列表，檢查證書是否被證書頒發機構吊銷？

如果已經被吊銷，則會顯示警告信息：“此組織的證書已被吊銷。安全證書問題可能顯示試圖欺騙您或截獲您向服務器發送的數據。建議關閉此網頁，并且不要繼續瀏覽該網站?！?/P>

第三，檢查此SSL證書是否過期？

如果證書已經過了有效期，則會顯示警告信息：“此網站出具的安全證書已過期或還未生效。安全證書問題可能顯示試圖欺騙您或截獲您向服務器發送的數據。建議關閉此網頁，并且不要繼續瀏覽該網站?！?/P>

第四，檢查部署此SSL證書的網站的域名是否與證書中的域名一致？

如果不一致，則瀏覽器也會顯示警告信息：“此網站出具的安全證書是為其他網站地址頒發的。安全證書問題可能顯示試圖欺騙您或截獲您向服務器發送的數據。建議關閉此網頁，并且不要繼續瀏覽該網站。”

第五，IE7瀏覽器會到欺詐網站數據庫查詢此網站是否已經被列入欺詐網站黑名單？

如果是，則會顯示：“IE已發現一個已報告的仿冒網站。仿冒網站假冒其他網站并試圖欺騙您泄漏個人信息或財務信息。建議關閉此網頁，并且不要繼續瀏覽該網站。

除此之外，網民還可以注意網站的一些特殊站點標志，例如國際著名SSL證書品牌VeriSign還為部署SSL證書的網站提供了VeriSign站點簽章標志，通過點擊該標志可以查看網站的身份信息。目前VeriSign 站點簽章標志（VeriSign Secured? Seal），擁有龐大的用戶群，每天的瀏覽人次數超過1.5億次。

六、 假網站一目了然，教你幾招防身術—— EV SSL 成為未來網站安全的新趨勢

網站在部署了 SSL 證書后，除了可以顯示“鎖”標記，地址欄“https”字樣，“動態站點簽章標志”，是否有更為簡單的判斷方式？

當然有，目前SSL證書領域的大哥大EVSSL證書就有這樣的本事。EV SSL是一種新的安全證書。可以讓消費者更加輕松地辨識網站真偽。部署了高端VeriSign EV SSL證書的網站地址欄會自動變成綠色，地址欄上滾動出現網站身份信息及數字證書頒發機構的名稱，提示網站經過了高級別身份驗證。

而對于釣魚站點，紅色地址欄將自動進行提示網民注意自身安全。在國內，EVSSL技術實際已經在我們身邊，VeriSign EV SSL證書已通過其官方合作伙伴天威誠信數字認證中心開始頒發，目前招商銀行、工商銀行、中信銀行等銀行網站已先后換裝國際領先的EV SSL證書。如果你想親自嘗試，不妨登錄這些網站看看自己的地址欄是否也變成綠色。

（圖：招商銀行綠色地址欄）

（圖：欺詐釣魚網站，難逃火眼）