云夢澤

1 采用誤導網(wǎng)絡域名地址引誘受害者

網(wǎng)絡域名地址（DNS）的發(fā)展提高了人們的上網(wǎng)體驗，避免了記憶枯燥而無意義的網(wǎng)絡IP地址，但是同樣卻給釣魚攻擊者提供了便利的偽裝條件。人們一般較少的了解DNS域名解析服務的工作原理。攻擊者正式利用了這一點來偽造相似的DNS域名地址，來欺騙網(wǎng)銀和網(wǎng)購用戶進入釣魚網(wǎng)站。例如，wap.ccb.com是真實的建設銀行的手機客戶端的域名地址，他的上一級域名是ccb.com，而頂端的域名是com。因此，形如wap.ccb.cc和wap.ccb.info這樣的網(wǎng)絡地址就是建設銀行的手機客戶端域名地址。他們是網(wǎng)絡釣魚攻擊者利用受害者DNS知識的缺乏與不理解而精心制作并利用的虛假建設銀行的手機客戶端網(wǎng)絡域名地址。

2 仔細辨認銀行郵件或消息的網(wǎng)絡鏈接地址

當查收聲稱是來自于銀行或者可信的購物網(wǎng)站的電子郵件或者有支付鏈接信息情況下，首要關(guān)注嵌入在html文檔中的銀行或支付鏈接的可靠性。通常情況下網(wǎng)絡釣魚郵件中的銀行網(wǎng)址和支付鏈接會采用正常的官方郵件格式。然而，如果在點擊鏈接之前通過把鼠標停留在這個網(wǎng)址上仔細查看真實的網(wǎng)絡地址，你會看到真實的跳轉(zhuǎn)地址，這是一般網(wǎng)絡瀏覽器的會在窗口的左下角顯示跳轉(zhuǎn)鏈接的真實地址。如果超鏈接的地址與顯示的地址不一樣，那么該消息就可能是欺詐或者惡意的。

3 被要求提供敏感信息

當正在訪問的網(wǎng)站要求提供個人的敏感信息的時候，比如，用戶賬戶、銀行卡號、信用卡安全號碼、密碼、密碼問題答案、身份證號碼、手機號碼和驗證碼等，一定要格外小心注意。一般情況下，銀行或者支付機構(gòu)不會要求用戶提供他們掌握的資料，除非他們需要核實你的身份，但是沒有金融機構(gòu)會在網(wǎng)絡上面核實用戶的身份信息。當他們確實需要核實某些個人信息的時候，他們一般會要求客服前往柜臺當面處理，而不再在網(wǎng)絡上草草了事。

4 從來沒有發(fā)生過的交易

很多人經(jīng)常在收到的郵件中被提到曾經(jīng)發(fā)生的網(wǎng)絡交易存在問題，比如，金額錯誤、交易取消、收件地址問題。但真實的問題是，受害者怎么都無法回憶起曾近有過這么一次交易。很大的可能這封郵件發(fā)自釣魚攻擊者，這種情況下要小心應對，多方核對。

5 天上不會掉餡餅

假如收到的郵件中承諾提供較大的經(jīng)濟利益時，要額外小心。這些網(wǎng)絡郵件有時聲稱有大量積分需要兌換誘人的禮物。因此，遇到這種郵件要知道天上不會掉餡餅，美好的誘餌背后是罪惡的魚鉤。

6 釣魚消息包含語法錯誤

一般的釣魚郵件是由釣魚攻擊者自己制作和負責校對審核的，他們并不像網(wǎng)絡銀行這樣的大企業(yè)一樣，內(nèi)部有多重審核的機制。在銀行發(fā)布正式的通知或者公告之前，往往會有多個部門，很多員工審核校對同一份通知文件，因此在正式文檔中出現(xiàn)語法錯誤或者病句的情況較少。因此，一旦在聲稱是來自網(wǎng)絡銀行的信息中發(fā)現(xiàn)有低級的語法錯誤時，要提高警惕，綜合其他的方面的特征來判斷收到的消息是否來自于釣魚攻擊者。

7 警惕釣魚郵件中的另一種手段

目前，網(wǎng)絡金融釣魚中同樣存在另外方式，他們不同于常規(guī)的釣魚郵件。在一般的金融釣魚郵件中，攻擊者總是通過仿冒官方網(wǎng)站和渠道，并采用引誘的辦法來促使受害者上當。但是，人們有時又會收到另外一種釣魚郵件，他們聲稱自己來自于公權(quán)力機構(gòu)，比如法院、公安局，通過冒稱受害者違反了相關(guān)法律而導致賬戶凍結(jié)或者收到法院的傳喚，要求受害者將資金轉(zhuǎn)入指定賬戶以配合調(diào)查，一旦受害者點擊郵件中的地址，就會進入攻擊者事先準備的釣魚網(wǎng)站中。這種釣魚手段利用人的恐懼心理進行犯罪活動，因此在收到類似的釣魚郵件時，一定要沉重冷靜，不要被突如其來的壓力所擊倒，而要積極多方核對，不要給騙子留下詐騙的機會。

8 網(wǎng)絡金融釣魚的最終目的

所有網(wǎng)絡釣魚郵件的最終目的都是通過從受害者身上欺騙來獲得金融財產(chǎn)。所以這就是釣魚郵件區(qū)別于其他正常郵件的根本點，因此，每當郵件中涉及到要進行網(wǎng)絡支付轉(zhuǎn)賬、進行購物充值或者要求支付勞務費等與金錢相關(guān)的要求時，就需要擦亮雙眼，仔細辨認，以防落入騙子精心布下的騙局之中。

在個人平時使用網(wǎng)絡銀行和網(wǎng)上購物的過程中，可以做到以下幾點來防范網(wǎng)絡釣魚：（1）在登陸不是經(jīng)常訪問的銀行網(wǎng)站時，要注意核對最終的跳轉(zhuǎn)頁面與原始鏈接的區(qū)別，觀察是否存在多級跳躍。當發(fā)生這種情況的時候，容易進入釣魚網(wǎng)站。（2）在收到其他朋友或者陌生人傳來的即時在線消息的時候，要注意查看跳轉(zhuǎn)地址是否與真實地址一致。有時候這些消息還有可能是由聊天bot發(fā)出的。這時候與朋友取得其他途徑的聯(lián)系來核對時最有效的辦法。（3）收到陌生人發(fā)送的電子郵件時，并察覺到任何異常時，比如鎖定的網(wǎng)頁地址，透明的窗口等異常時，一定要及時停止操作，這樣就不會被攻擊者利用，從而避免經(jīng)濟損失。

總之，雖然利用釣魚手段的網(wǎng)絡銀行騙局在不斷翻新花樣，但是在釣魚行騙的過程中難免又會漏出一些破綻。在細心的用戶面前，這些馬腳可以被識別，并最終避免上當受騙。