钓鱼网站的危害及防范策略研究

随着互联网技术及应用的飞速发展和日益普及，我国网民的数量急剧增长。 根据《第29次中国互联网络发展状况统计报告》 和《2011- 2012年度中国互联网安全报告》 ， 中国网民规模已经达到5. 13亿， 网络规模稳居世界第一。 同时， 我们必须看到以下严峻现实， 截至2012年3月， 中国反钓鱼网站联盟累计认定并处理钓鱼网站81916个， 占实际网站数的3. 57%， 每天约有超过1 . 2%网民遭遇网络钓鱼， 且70%的钓鱼网站并未被目前已有的安全工具识别。 根据国家计算机网络应急中心估算， 国内网络钓鱼去年让网民损失了76亿元， 给社会带来的间接损失可能超过200亿元。

与此同时， 钓鱼网站的数量呈逐步上升的趋势， 每天增加到800至900个。 金山网络发布的《2011- 2012中国互联网安全研究报告》 表明， 今年每月拦截网民访问次数比去年激增100倍。 因此， 打击网络钓鱼、 应对钓鱼网站已迫在眉睫。

1 钓鱼网站的本质特征

“钓鱼网 站” 是不法分子利用各种技术手段，精心设计与目标组织网站非常相似的仿冒网站， 或者利用网络服务器上的漏洞， 在网站的关键页面中插入危险的网页代码， 以此来骗取用户姓名、 手机号、 通信地址、 身份证号、 银行账号、 网络游戏账号和密码等重要私密信息， 进而盗取受害者银行资金， 假冒受害者进行欺诈性在线交易活动， 假冒受害者向好友发送信息进行行骗， 从而获得非法经济利益。 “钓鱼网站” 实质是一种网络欺诈行为。

2钓鱼网站的识别方法

2.1 安全标志查验法

用户在进行网络交易等重要操作时应养成查看网站身份标识信息的使用习惯。 在使用微软IE 9浏览器、 360安全浏览器、 腾讯浏览器、 阿云浏览器和115浏览器时， 浏览器地址栏右边显示网站身份标识铭牌。 网站身份标识是以浏览器公司作为第三方认证机构， 经过对有认证需求的企业网站进行全面审核并对其身份和安全状态给予确认的服务。

认证通过的企业

网站能得到认证标识， 网民只要看到此标识， 便可放心访问该网站。

2.2 域名结构分析法

对域名结构进行分析是识别钓鱼网站最基本的方法。 域名最前面的http:/ / 或https: / / 是超文本传输协议， 域名的htt*:/ / ……到第一个单斜杠“/ ” 之间，这是域名所在的位置。 在此从后往前倒数的第二个点“. ” 后面的部分才是真正的主域名， 前面的部分是三级、 四级……多级域名， 不要理会， 无论域名前面有多长， 也不管第一个单斜杠以后有多长。 这是识别当前页面网址的主域名属于哪一个网站的唯一必杀技。

2.3 网站地址对比法

当访问某一网站时， 要仔细查看所打开页面后的具体网址， 而不是只看打开网页前的网址。 如果在登陆页面和个人信息填写页面网址出现了跳转， 不是官方域名， 哪怕页面再相似， 都可以断定为钓鱼网站。钓鱼网站一般用外观字形容易混淆的字符来代替使用， 达到迷惑用户的目的。 用户在使用敏感信息和进行电子交易时， 要仔细辨别其不同之处， 比如c和o、 O和0、 a和e、 I和L、 I和1、 L和1等字母和数字从外形看非常相近。

2.4QQ传输验证法

如果是QQ聊天中发来的链接， 要注意链接前的标识， 如果是绿色盾牌并且上面有钓勾标志， 说明此网站为QQ信任的网站， 在大多数情况下访问是安全的；如果是蓝色盾牌并且上面是问号标志， 说明此网站可能存在安全隐患， 访问时要提高警惕。

如果QQ消息中包含网站链接， QQ将根据系统记录为其添加四种不同类型的安全提示图标： “腾讯网图标” 、 “绿色√号图标” 、 “蓝色？ 号图标” 和“红色×号图标” 。 当鼠标移到链接前面图标时， 系统会自动弹出相应提示。

前两类为信任网站， 一般都是日访问量较高的大型正规网站， 可放心访问。 第三类属安全性未知的网站， 第四类属于危险网站。

2.5 信息尝试输入法

当收到他人发来的一个网址， 或正在访问一个不太了解的网站， 在不能确定这个网页是否安全时， 可以打开这个网站， 一旦提示需要登录或者输入个人信息时， 您可以采用“信息尝试输入法” ， 也就是在登录框内连续多次输入错误的用户名和密码， 此时如果居然还可以登录成功， 那么您就可以断定这个网站为套取用户密码的钓鱼网站了。

2.6网站内容比较法

仔细辨认， 会发现钓鱼网站在字体的颜色和样式上， 与正规网站还是存在一定差异的。 有的图片和字体模糊不清， 有的在网页上没有或很少链接。 用户可以点击栏目或图片中的各个链接， 测试是否能顺利打开。 出现登录界面要求输入验证码时， 可多次刷新更换验证码， 如果只有少量的验证码在循环显示， 完全可断定该网站就是钓鱼网站。 正规的网站验证码是不可能循环和重复的。

2.7 网站备案查询法

通过工信部IC P备案管理网站(ht t p: / / w w w.miibeian. gov. cn/ )可以查询网站拥有者、 网站的基本情况、 ICP经营性许可证和合法备案， 查询网站名称、经营内容是否与备案相符。

3钓鱼网站的防范策略

为了抵制钓鱼网站， 作为被钓鱼网站方可采取如H TT PS协议、 多重密码保护、 动态口令牌、 数字证书认证、 预留验证信息、 短信提醒和用户端安全保护措施等多种方法， 增加被假冒的难度。 作为普通的网络用户， 应对钓鱼网站主要有以下七种防范策略。

3.1 增强安全防范意识

钓鱼网站是利用人们的心理弱点来进行的一种诈骗行为， 之所以有不少人上当受骗， 一是缺乏安全防范意识， 在网上填写有关个人信息， 特别是电子商务和网上银行等重要信息时， 缺乏安全防范意识， 根本没有注意到验证网页的合法性与真实性； 二是相信有天上掉馅饼的好事， 在中“大奖” 或其他物质奖励诱惑下兴奋不已， 放松了戒备； 三是缺乏对网站合法性与真实性进行验证的知识和方法。 要防患于未然， 认识骗局、 认识钓鱼网站， 早发现、 早拒绝， 免受时间和财物的损失。 网上交易时要选择具有良好信誉的知名公司网站， 其中最安全的方法就是手工输入网址，并添加到浏览器的收藏夹中， 以便下次使用。

3.2 使用安全的个人电脑

防火墙能够检查来自网络的信息， 并根据信息的安全性确定这些信息是否能够进入计算机。 Windows操作系统的防火墙只能抵御一些可以预知的外来入侵行为， 而无法预防一些可疑的对外连接。 如要提高防火墙的防御效果， 可以关闭Windows防火墙， 安装瑞星、 360、 天网等第三方防火墙， 有效地应对来自网络的安全威胁。

同时， 要及时安装和更新杀毒软件， 定期进行木马扫描， 谨慎使用网上银行， 设置系统登录密码， 防止非法用户登录本机。

3.3 安装安全的正版软件

尽量使用正版软件， 对从网上下载的共享软件，在安装前后都要经过杀毒软件扫描检测方可使用。 要开启操作系统及其他软件的自动更新设置， 及时修复系统及第三方软件漏洞。 要定期进行全盘病毒和木马扫描， 定期清理可疑插件和临时文件。

Windows操作系统及应用软件的漏洞很容易被恶意程序利用， 非常容易感染盗号木马。 要定期使用系统漏洞修复工具(如QQ医生、 360安全卫士)扫描系统漏洞， 并根据自己的设置进行修复。 对于Windows操作系统， 要确保系统处在“自动更新(推荐)” 状态， 或者经常进行手工更新。

3.4提高安全的浏览等级

360浏览器、 傲游浏览器、 谷歌浏览器和IE 8浏览器等都具备识别钓鱼网站的功能， 并能对其进行有效的屏蔽。 当被屏蔽过的网站地址出现在浏览器地址栏时， 浏览器就会弹出“不安全网站” 提示框， 并显示该钓鱼网站类别， 以及强行访问会后产生什么样的严重后果， 或者根本就不可能访问这样的网站。 以360安全浏览器为例， 当用户在地址栏输入一个已知的钓鱼网站域名时（如： http: / / www. hnkmoo. com/ ） ，浏览器地址栏背景变为红色， 在右侧显示明显的红色“危险” 标志， 并自动弹出危险提示窗口， 提示该钓鱼网站的类别， 包括虚假的购物网站、 假冒淘宝网的网站、 假冒QQ的网站、 假冒C CT V 的网站、 虚假的彩票网站等提示， 点击“关闭当前页面” 即可避开访问钓鱼网站。 这对不具备域名识别能力的用户非常方便。

3.5 访问安全的大型网站

尽量访问安全的大型网站， 不要访问包含黄色、暴力和反动言论等不良信息的网站， 不要访问包含大量弹出式、 流动式广告内容的网站； 对于浏览过程中意外弹出的下载文件或安装插件等提示， 一般应予拒绝； 登录个人网上银行和电子商务网站时， 一定要注意网站地址； 不要轻信诸如“中奖” 、 “退税” 等信息， 更不要轻易向陌生账户汇款； 对来历不明的电子邮件， 不要轻易打开附件或内容中的网址； 对来自网络的不确定信息， 要及时咨询专业人士； 网 上购物时， 应尽可能使用“支付宝” 或“财付通” 等网上支付平台， 或者采用货到付款形式； 发现钓鱼网站， 应及时举报。

3.6养成安全的操作习惯

(1 )不登录不熟悉的网 站， 键入网 站地址的时候要认真校对， 以防输入错误的钓鱼网站； 通过知名的网址导航站(如： http: / / site. baidu. com/ 、 http: / /ww w. h ao123. com/ )进入网站； 登录网上银行前，要留意浏览器地址栏， 如果发现网页地址不能修改，最小化IE窗口后仍可看到浮在桌面上的网页地址等现象， 请立即关闭IE窗口， 以免账号密码被盗。

(2)不在任何人发来的网页或电子邮件中输入账号和密码； 不使用即时通讯工具上传来的链接， 不要点击来历不明的电子邮件中的任何链接， 其内容很可能是陷阱。 即使是朋友或熟悉的人发来的链接也要注意， 因为其链接也可能是转发来的， 也可能是被盗用的， 其内容也可能存在安全隐患。

(3)妥善保管好诸如身份证号码、 银行帐号等个人信息； 不在聊天以及论坛留言中轻易泄露姓名、 身份证号码、 个人照片、 家庭地址、 联系电话等任何能够识别身份的信息； 不在不知底细的网站注册会员， 不向其提供个人资料； 对包含隐私内容的个人空间（如QQ个人空间） 设置访问密码； 谨慎使用计算机共享资源和共享文件。

(4)不在多个网站使用相同的用户名和密码进行注册。 很多网络用户为了方便快捷， 防止密码遗忘， 总是在多个不同的网站使用相同的用户名和密码， 殊不知， 这会带来严重的安全隐患。 不法分子就利用人们用户名和密码重复使用的习惯， 窃取用户信息， 他们采用横向思维， 通过在预先制作的一般网站或进入防御性较弱的网站轻松获取用户的账号和密码， 然后用同样的账号和密码去登录用户在银行、 金融机构和电子商务网站的账户， 这样的问题将会使看似完备的安全系统形同虚设。 一处疏忽， 处处泄密。

建议网络用户创建三个以上独立的登录账号和密码， 一个用来登陆金融网站， 另一个用来登陆拥有敏感信息的网站， 最后一个用来登陆不含任何个人价值信息的网站。

3.7 构建安全的保护措施

钓鱼网站的最终目的是为了获取非法经济利益，如果涉及网 上购物或者网 银交易， 网络用户最后的防线就是管好自己的网上银行。 在银行开通网上银行时， 同时购买安全锁(如： 建行网银盾、 工行U盾等)， 申请动态口令牌、 预留验证信息和短信提醒多种保护措施。 要管好数字证书， 尽量避免在公用的计算机上使用网上银行。

4结论

整治钓鱼网站是一场持久战、 技术战和攻坚战。网络安全机构要加强对钓鱼网 站的拦截与控制， 健全“钓鱼网站” 事前防范和事后处理相结合的综合机制； 政府监管部门要加强监管与打击力度， 对钓鱼网站的查处保持高压态势； 网民自身要加强安全防范意识， 提高自我防范能力。 只有多方联动， 共同努力，才能彻底消灭钓鱼网站， 还网民一个安全、 可信的网络空间。