小心"网络钓鱼"邮件

今天打开 Gmail ,收到一封标题显示来自 eBay 的邮件[立此存照]，要我更新的帐户信息，我在 eBay 的国际站没有帐户的，毫无疑问这是一封"钓鱼(Phishing)邮件"。Gmail 也给出了相关的警告。提醒我地址可能是伪造的。这还是我用 Gmail 第一次收到类似的"钓鱼邮件"。前不久，公司的邮件也收到一封"钓鱼"的邮件，伪造成公司的安全技术人员发出，要大家更改密码。虽然很逼真，但是稍加留意，还是能看出来那个 URL 其实是一幅图片。

随着这一两年国内电子商务如火如荼的展开，"网络钓客"们也活跃了起来，几乎是无孔不入。

什么是网络钓鱼(Phishing)? 根据 Anti-Phishing Working Group 的定义，网络钓鱼攻击者把社会工程和技术手段兼而用之，偷取消费者个人身份信息和财务帐户信息。

如何有效的防范呢 ?

1. 提高安全意识，不要随意点击邮件中的一些不明的 URL ,尽量不要在公用电脑上进行安全性要求比较高的操作。苍蝇不叮无缝的蛋：前一段公司厕所内居然贴了一幅宣传文章，说的就是这个事情。还真的能在人"聚精会神"的时候给以警醒 :)

2. 选用高可靠的的邮件服务。如我用的 Gmail 和 Outlook 都可以给出足以令用户注意的警告信息。而国内的一些免费邮件提供商似乎没有这样的服务。如果申请 支付宝 这样的电子支付工具帐户，还是尽量用可靠的邮件服务。

3. 可以考虑安装一些具有防"网络钓鱼"功能的工具条。找到的一些(不够完全):

• Yahoo! 助手,能够自动识别"钓鱼"网站，这是国内的第一款具备此功能的工具条。
• NetCraft 工具条 这是业界第一款专门防"钓鱼"的工具条。也支持 Firefox.
• 微软工具条插件
• EarthLink Toolbar 在国内名不见经传.

这些工具大部分都是针对 IE 浏览器的。小声的说，Firefox 曾经发现过一个钓鱼漏洞。其实，浏览器安全上，Firefox 也不是那么完美的。

更新：2009 年3月，支付宝携手雅虎推出电子邮件信任计划，相信从第一程度上能有效阻止钓鱼邮件的泛滥。