网络钓鱼(Phishing)

网络钓鱼的名称来自使用精心布置的诱饵(如看起来很像来自一个真实公司或机构的E-mail)，这些诱饵是一些别有用心的人所设置，用于“钓取”用户的财政状况、信用卡详细情况和密码。钓鱼攻击使用的E-mail消息和网站看起来很像是来自一家合法的知名组织，其目的是骗取用户透露其个人、财政或计算机帐户信息。攻击者然后利用这些信息进行犯罪活动，如身分窃取、盗窃或欺诈。

　　网络钓鱼现状

钓鱼式攻击是一种普遍的网络欺诈方式，它利用虚假网站诱骗用户泄露自己的个人信息。它不但能够给在线商户或银行造成很大的损失，还会损害消费者对互联网的信任。面对层出不穷钓鱼网站，即使是高级的网络防火墙和强大的反病毒软件也无能为力。

　　常见钓鱼攻击技术：

复制图片和网页设计、相似的域名

攻击者会注册一个域名，它看起来同要假冒的网站域名相似。

例如：“paypai.com”可用来假冒“paypal.com”，“ta0ba0.com”可用来假冒“taobao.com”，

用“users-alipay.com”假冒“users.alipay.com”。

（1）URL隐藏

用户名和密码可包含在域名前，语法为：http://username:password@domain/。

攻击者将一个看起来合理的域名放在用户名位置，并将真实的域名隐藏起来或放在地址栏@符号的最后。目前浏览器的最近更新已经修复了这个漏洞。

（2）欺骗性的超链接

超链接 http://www.domain.com，当点击这个超链接时，实际指向的却是另外一个站点。

一个超链接的标题可以完全独立于它实际指向的URL。攻击者利用这种显示和运行间的内在差异，在链接标题中显示一个URL，而在背后使用了一个完全不同的URL。

（3）脚本

通过JavaScript在Internet Explorer的地址栏上创建的一个简单的小窗口，它显示的是一个完全无关的URL。完全替换地址栏或状态栏达到使其提供欺骗性提示信息的目的。

（4）弹窗

还可以使用弹窗攻击方式，使浏览器中显示的是真实的网站页面，但在页面上同时弹出了一个简单的窗口，要求用户在该窗口中输入个人信息。

（5）DNS欺骗

DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。

攻击者冒充域名服务器，然后把域名查询的IP地址设为攻击者的IP地址。用户上网只能看到攻击者的主页，而不是用户想要取得的网站的主页。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

（6）Hosts文件攻击

Hosts文件是一个用于存储计算机网络中节点信息的文件，它可以将主机名映射到相应的IP地址，实现DNS的功能，它可以由计算机的用户进行控制。

例如Windows XP下 C:windowssystem32driversetc

用户可以修改 hosts 文件中 IP 与域名的映射列表，将域名指向自由定义的IP地址。

例如：127.0.0.1 www.ert7com

（7）社会工程

钓鱼攻击还使用非技术手段使用户坠入陷阱，其中的一个策略就是急迫性，从而使用户急于采取行动，而较少花时间去核实消息的真实性。另一个策略是威胁用户，如果不按照所要求的去做就会造成可怕的后果，如终止服务或关闭帐户，少数攻击还许诺将获得巨额回报(如“你中了一个大奖!”)，但威胁攻击更为常见，用户往往会对不劳而获产生怀疑，这可能是人类的本能

（8）IP地址

隐藏一台服务器身份的最简单办法就是使它以IP地址的形式显示，如http://202.*.*.250。这种技术的有效性令人难以置信，由于许多合法URL也包含一些不透明且不易理解的数字，因此，只有懂得解析URL且足够警觉的用户才有可能产生怀疑。

　　钓鱼网站特点：

持续时间短

大多数钓鱼网站只存在很短的一段时间，其单位以天甚至小时计算。

憋脚的语言

许多钓鱼攻击所用的消息存在大量的拼写错误、语法错误或使人困惑的措词。

网上交易站点居多

大部分钓鱼网站带有网上交易的特性，对网上银行、网络商城之类站点的用户资料和资金进行盗窃、诈骗等非法活动。

负面影响大

无论是对于客户端的客户体验，还是对于提供服务的网络公司的企业形象，都造成了极坏的影响。

　　为什么选择扩展验证EV SSL证书

普通的用户无法识别快速SSL 证书和严格身份验证的EV SSL 证书有什么不同，两者都会在浏览器上显示安全锁标志。

扩展验证EV SSL证书需要经过最彻底的身份验证以确保该组织真实存在，扩展认证功能帮助挫败钓鱼网站。

绿色地址栏显示的组织名称和作为证书颁发机构的CA无法被恶意网站模仿。

强大的防止钓鱼网站的保护能力

醒目的指示，显示网站身份的可靠性

大大阻止网页钓鱼

恢复网站访问者的信心

可控的安全性，安全一目了然

　　绿色地址栏增加顾客信任，带来更多交易

以IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下，使用EV SSL证书的网站会浏览器地址栏会自动呈现绿色，从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称，例如VeriSign。所有的一切，均向客户传递同一信息，该网站身份可信，信息传递安全可靠，而非钓鱼网站。

　　EV Upgrader帮助更多客户轻松获得安全绿色地址栏

VeriSign提供EV Upgrader升级技术，该技术可帮助非VISTA的IE7的用户自动升级根证书，如客户在Windows XP版本下使用IE7，该技术可确保客户无缝升级展示绿色地址栏，实现EV SSL证书诸多安全特性。扩展验证功能帮助挫败钓鱼网站

EV SSL证书经过最彻底的身份验证客户确保证书持有组织的真实性。绿色地址栏将循环显示的组织名称和作为CA的VeriSign名称，两个的同时运用，从而最大限度上确保网站的安全性，树立网站可信形象的，不给钓鱼网站以可乘之机。

工欲善其事，必先利其器。电子商务、电子政务、网上支付的前景虽然美好，然而还有不少的技术障碍亟需解决，只有当安全与信任共同建立，互联网交易的屏障才会迎刃而解

目前来看，网络支付的安全手段主要基于电脑本身的防护，如让用户安装安全防护软件、独立的客户端、动态口令、USBKey等等。如何在如何将各大银行网银、支付平台、企业财务系统等各领域提供更多更有效的服务性产品,无需客户端来执行额外的操作，即可为客户带来方便易用的安全产品，从而构筑网上支付的安全防线，正是VeriSign可信网站服务在不断探寻的答案。