網(wǎng)釣技術(shù)
　　
　　
　　
    （2）安全瀏覽的保全模型基礎(chǔ)漏洞
    點擊通過綜合癥：然而，瀏覽器對設(shè)置錯誤站點的警告繼續(xù)，它并未被降低等級。如果證書本身有錯(像域名匹配錯誤、過期等等)，則瀏覽器一般都會彈出窗口警告用戶。就是因為設(shè)置錯誤太過尋常，用戶學(xué)會繞過警告。目前，用戶習(xí)慣同樣的忽略所有警告，導(dǎo)致點擊通過綜合癥。例如， Firefox 3 有個點擊4次以加入例外網(wǎng)站的程序，但是研究顯示老練的用戶會忽略有中間人攻擊(Man-In-The-Middle，簡稱MITM) 的真正情況。即使在今天，因為絕大多數(shù)的警告是錯誤設(shè)置而非真正的中間人攻擊，要避免點擊通過綜合癥是相當困難。
　　
　　
    美國銀行的網(wǎng)站是眾多要求用戶選擇的個人圖像、并在任何要求輸入密碼的場合顯示該用戶選定圖片的網(wǎng)站之一。該銀行在線服務(wù)的用戶被指示在只有當他們看到他們選擇的圖像才輸入密碼。然而，最近的一項研究表明僅有少數(shù)用戶在圖像不出現(xiàn)時不會鍵入他們的密碼。此外，此功能（像其他形式的雙因素認證）對其他攻擊較脆弱，企業(yè)網(wǎng)站建設(shè)，如2005年年底斯堪的納維亞諾爾迪亞銀行案，與2006年的花旗銀行案。
    近來網(wǎng)釣的攻擊
　　
　　
    打擊網(wǎng)釣攻擊有許多不同的技術(shù)，包括設(shè)立專門的技術(shù)和立法以防范網(wǎng)釣。
    大多數(shù)網(wǎng)釣盯上的網(wǎng)站都是保全站點，這意味著的SSL強加密用于服務(wù)器身份驗證，并用來標示在該網(wǎng)站的網(wǎng)址。理論上，利用SSL認證來保證網(wǎng)站到用戶端是可能的，并且這個過去是SSL第二版設(shè)計要求之一以及能在認證后保證保密瀏覽。不過實際上，這點很容易欺騙。
    據(jù)估計，從2004年5月和2005年5月，大約120萬計算機用戶在美國遭受網(wǎng)釣所造成的損失，總計約92900萬美元。隨著為美國企業(yè)的客戶成為受害者，該國企業(yè)估計每年損失20億美元。 2007年網(wǎng)釣攻擊升級。截至2007年8月前在美國360萬成年人于12個月內(nèi)失去32億美元。在英國，網(wǎng)絡(luò)銀行詐騙的損失 — 大多來自網(wǎng)釣 — 幾乎增加了一倍從2004年1220萬英鎊到2005年2320英鎊，而在2005年，每20個計算機用戶中就有一個聲稱因網(wǎng)釣造成的財務(wù)損失。
　　
    鑒別一個RapidShare網(wǎng)釣網(wǎng)頁的最簡單方式是使用 Mozilla Firefox，右擊別名頁，并選擇“This Frame” > “Show only this frame”。這將揭露真正的網(wǎng)頁，您可以看到網(wǎng)址將不是rapidshare.com。

    網(wǎng)釣的歷史與現(xiàn)狀
　　
　　
    幾乎所有從公司到其客戶的合法電子郵件都起碼包含一項信息是網(wǎng)釣者手頭沒有的。有些公司，例如 PayPal，總是在其電子郵件中以客戶使用者名稱稱呼其客戶，依此類推，如果一封電郵的收件人是以通用格式稱呼（如 “親愛的 PayPal 客戶” ）很可能是企圖在網(wǎng)釣。從銀行和信用卡公司來的電子郵件往往包括賬戶號碼的部分。然而，最近的研究顯 示，大眾通常不區(qū)分帳號頭幾個數(shù)字和尾幾個數(shù)字，這是一個很嚴重的問題，因為頭幾個數(shù)字通常一個金融機構(gòu)的所有客戶都相同。人們可以接受訓(xùn)練來當如果郵件 不包含任何具體的個人信息時提高他們的懷疑。不過，在2006年年初，網(wǎng)釣企圖利用個人化的信息，這使得列明個人信息保證郵件是合法的假設(shè)不安全。 此外，另一項最近的研究報告推斷列明個人信息并不顯著的影響網(wǎng)釣攻擊的成功率，這表明大多數(shù)人并不注意這些細節(jié)。
　　
    為了避免被反網(wǎng)釣技術(shù)掃描到網(wǎng)釣有關(guān)的文本，網(wǎng)釣者已經(jīng)開始利用 Flash 構(gòu)建網(wǎng)站。 這些看起來很像真正的網(wǎng)站，但把文本隱藏在多媒體對象中。
    網(wǎng)釣報告的圖表顯示網(wǎng)釣有增加的趨勢網(wǎng)釣者目標是針對銀行和在線支付服務(wù)的客戶。理應(yīng)來自于美國國內(nèi)稅收服務(wù)(Internal Revenue service)電子郵件，已被用來收集來自美國納稅人的敏感數(shù)據(jù)。雖然第一次這樣的例子被不分青皂白的寄送，其目的是期望某些收到的客戶會泄漏其銀行或者服務(wù)數(shù)據(jù)，而最近的研究表明網(wǎng)釣攻擊可能會基本上確定潛在受害者會使用哪些銀行，并根據(jù)結(jié)果遞送假冒電子郵件。有針對性的網(wǎng)釣版本已被稱為魚叉網(wǎng)釣(spear phishing)。最近幾個網(wǎng)釣攻擊已經(jīng)具體指向高層管理人員，以及其他企業(yè)大戶，而術(shù)語“鯨釣”(whaling)一辭被創(chuàng)造出來描述這類型的攻擊。
    （1）協(xié)助辨識合法網(wǎng)站
    PayPal網(wǎng)釣
　　
    一個行業(yè)和執(zhí)法機構(gòu)組成的反網(wǎng)釣工作組(Anti-Phishing Working Group，簡稱APWG)建議，隨著人們越來越認識到網(wǎng)釣者所使用的社會工程學(xué)技倆，傳統(tǒng)的網(wǎng)釣欺詐技術(shù)可能在未來過時。他們預(yù)測，網(wǎng)址嫁接和其他利用流氓軟件將變成竊取信息的常見工具。
    安全連接：從1990年代中期到2000年代中期安全瀏覽的標準顯示是個鎖頭，而這很容易被用戶忽略。Mozilla于2005年使 用黃底的網(wǎng)址欄使得安全連接較容易辨認。不幸的是，這個發(fā)明后來被撤銷，導(dǎo)因于EV證書：它代以對某些高價的證書顯示綠色，而其他的證書顯示藍色 (譯按：Mozilla Firefox 3.x版非EV證書的安全瀏覽網(wǎng)站皆顯示藍色)。
　　
    請注意，許多網(wǎng)絡(luò)網(wǎng)釣電子郵件會如同來自PayPal的一封真正的電子郵件般包括一則永不將您的密碼泄漏以防網(wǎng)釣攻擊的重大警告。這些警告用戶網(wǎng)釣 攻擊的可能性，并提供鏈接到說明如何避免或辨識此種攻擊的網(wǎng)站的種種，是使得該網(wǎng)釣電子郵件如此虛偽以便欺騙。在這個例子里，網(wǎng)釣電子郵件警告用 戶，PayPal絕對不會要求您提供敏感信息。該信件言而有信不問您敏感信息，反而邀請用戶點擊一個鏈接，以“確認”其帳戶;這一步將導(dǎo)引這些受害人進一 步造訪網(wǎng)釣網(wǎng)站，其設(shè)計看起來與PayPal網(wǎng)站很像。而在那里會問這些受害人的個人機密信息。
    1997年年后，AOL 注意到網(wǎng)釣與 Warez 并更加緊縮其政策施行，以強迫盜版軟件與AOL服務(wù)器絕緣。AOL另一方面開發(fā)一種可迅速停用與網(wǎng)釣掛勾帳號的系統(tǒng)，這常常在受害人可回應(yīng)之前就達成了。 在AOL的warez后臺關(guān)閉導(dǎo)致大部分網(wǎng)釣者離開該服務(wù)，許多網(wǎng)釣者 — 通常是年輕十幾歲的青少年 — 長大后就戒除了這種壞習(xí)慣。
　　
    網(wǎng)釣者可能喬裝成AOL的工作人員，并對可能的受害者發(fā)送即時通訊，詢問此人揭露其密碼。為 了引誘受害者讓出其個人敏感數(shù)據(jù)，通信內(nèi)容不可避免的有類似“確認您的帳號”(verify your account)或者“核對您的帳單地址”(confirm billing information)。一旦發(fā)現(xiàn)受害人的密碼，攻擊者可以獲取并利用受害人的帳戶進行詐欺之用或發(fā)送垃圾郵件。網(wǎng)釣和 warez 兩者在AOL一般需要自行開發(fā)應(yīng)用程序，像AOHell即 是一例。由于在AOL上網(wǎng)釣變得如此普遍，該公司在其所有即時通訊上加了一行聲明：“不會有任何AOL員工會詢問您的密碼或者帳單信息。(No one working at AOL will ask for your password or billing information)”。
    在2004年1月26日，美國聯(lián)邦貿(mào)易委員會提交了涉嫌網(wǎng)釣者的第一次起訴。被告是個美國加州少年，據(jù)說他設(shè)計建造了一個網(wǎng)頁看起來像美國在線網(wǎng)站，并用它來竊取信用卡數(shù)據(jù)。其他國家援引了這一判例追蹤并逮捕了網(wǎng)釣者。網(wǎng)釣大戶瓦爾迪爾•保羅•迪•阿爾梅達在巴西被捕。他領(lǐng)導(dǎo)一個最大的網(wǎng)釣犯罪幫派，在兩年之間做案估計偷走約1800萬美元到3700萬美元之間。英國當局在2005年6月收押兩名男子以其在一項網(wǎng)釣欺詐活動扮演的腳色，而這宗案子與美國特勤處《防火墻行動》 (Operation Firewall，目標是當時最大最惡名昭彰的信用卡盜竊網(wǎng)站)有關(guān)。2006年8人在日本被逮捕，日本警方懷疑他們通過假造雅虎日本網(wǎng)站網(wǎng)釣進行欺詐，保釋賠款1億日元（87萬美元）。2006年美國聯(lián)邦調(diào)查局逮捕行動繼續(xù)，以代號《?？ㄈ诵袆印?(CardKeeper) 在美國與歐洲扣押了一個16人的幫派。
　　
　　
　　
    誰是管理機構(gòu)：瀏覽器需要指出用戶要求連到對象的管理機構(gòu)是誰。在保全等級最低的階段，不指名管理機構(gòu)，因此就用戶而言瀏覽器就是管理機構(gòu)。瀏覽器供應(yīng)商通過控制可接受的授權(quán)證書(Certification Authorities，簡稱/下稱 CA)根名單來承擔這個責任。這是目前的標準做法。
　　
    保全外殼是 一種相關(guān)的技術(shù)，涉及到使用用戶選定的圖片覆蓋上注冊表窗體作為一種視覺提示以表明該窗體是否合法。然而，不像以網(wǎng)站為主的圖像體系，圖像本身是只在用戶 和瀏覽器之間共享，而不是用戶和網(wǎng)站間共享。該體系還依賴于相互認證協(xié)議，這使得它更不容易受到來自侵襲只認證用戶體系的攻擊。
　　
　　
    RapidShare網(wǎng)釣
#p#分頁標題#e#

網(wǎng)釣造成的損失
　　
    有幾家公司提供銀行和其他可能受到網(wǎng)釣詐騙的組織全天候的服務(wù)、監(jiān)測、分析和協(xié)助關(guān)閉網(wǎng)釣網(wǎng)站。個人可以通過檢舉網(wǎng)釣到志愿者和產(chǎn)業(yè)集團，如 PhishTank 以做出貢獻。
　　
　　
     許多公司也加入全力打擊網(wǎng)釣的行列。2005年3月31日，微軟向美國華盛頓西部地方法院提交 117 起官司。這起訴訟指控“無名氏”的被告非法取得的密碼信息和機密信息。2005年3月微軟和澳大利亞政府間合作，向執(zhí)法人員教學(xué)如何打擊各種網(wǎng)絡(luò)犯罪，包括網(wǎng)釣。在2006年3月，微軟宣布計劃進一步在美國境外地區(qū)起訴100案件，隨后該公司信守承諾，截至2006年11月之前，共起訴了129件混合刑事和民事行動的犯罪案件。美國在線亦加強其打擊網(wǎng)釣的努力，在2006年早期根據(jù)維吉尼亞計算機犯罪法2005年修訂版起訴三起共求償1800萬美元，而 Earthlink 已加入幫助確定6名男子在康涅狄格州的案子，這6名人士稍后被控以網(wǎng)釣欺詐。

在計算機安全領(lǐng)域里，釣魚式攻擊（Phishing，與釣魚的英語fishing發(fā)音一樣，又名“網(wǎng)釣法”或“網(wǎng)絡(luò)網(wǎng)釣”，以下簡稱網(wǎng)釣）是一種企圖從電子通訊中，通過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。  
    過濾器規(guī)避
    2007年1月，杰弗瑞•布雷特•高汀被陪審團援引的2003年反垃圾郵件法(CAN-SPAM Act of 2003)將其定罪為加州第一位依此法被定罪的被告。他被判犯下對美國在線的用戶發(fā)送成千上萬的電子郵件，并喬裝成AOL的會計部門以催促客戶提交個人和 信用卡數(shù)據(jù)的罪行。面對反垃圾郵件法的101年關(guān)押以及其他數(shù)十個包括詐欺、未經(jīng)授權(quán)使用信用卡、濫用AOL的商標，這部分他被判處70個月監(jiān)禁。因為沒 有出席較早的聽證會，高汀已被拘留，并立即開始入監(jiān)服刑。