卡巴斯基解密网络钓鱼

来源：天极软件频道

　　曾几何时，人们认为互联网是相当安全的，美国著名杂志《纽约人》以“在互联网上，没有人知道你是一条狗”这句话对互联网特点进行了十分恰当的总结，当彼此知之甚少的时候，我们便都是安全的。而如今，随着网络经济的发展，犯罪分子开始将目光投向互联网，现在，即使真的是一只狗坐在网络的另一边，犯罪分子也会想方设法骗取非法利益，而且他们的诈骗方法多种多样，令人防不胜防，我们通常将这种行为称作“网络钓鱼”。

　　作为欧洲最大的信息安全厂商，卡巴斯基实验室多年来一直致力于对抗网络威胁，针对网络钓鱼，他们也有着相当多的经验总结。近日，卡巴斯基实验室发布了一篇解密网络诈骗的报告，详细阐述了如何防范各类型网络诈骗的方法，接下来就让我们一同深入了解。

　　电子邮件钓鱼

　　钓鱼邮件中包括假冒银行、电子支付系统、电子邮件服务提供商、社交网站以及在线游戏等机构发送的虚假信息。这些邮件的目的是为了获取用户的机密数据(如用户名和密码等)。其中，冒充银行进行网络钓鱼诈骗的现象最为普遍，其目的是获取和控制用户的在线银行账户或电子支付系统账户。一旦网络罪犯掌握了用户的登录名和密码，就可以直接访问用户账号。

　　

 

　　网络钓鱼者很善于将钓鱼邮件伪装得与真实机构发送的邮件非常相似，并且在整体风格上也抄袭官方的内容。通常，这些邮件会提示收件人点击邮件中的链接，从而访问其网站，输入自己的个人信息，之后这些信息会被发送给实施网络钓鱼的网络罪犯。不仅如此，很多时候这些假冒的网站还包含漏洞利用程序，即使用户没有输入自己的用户名和密码，而仅仅只是出于好奇，点击了链接，也能够在用户计算机上安装间谍软件。这些恶意程序会在用户不知情的情况下偷偷安装，最后导致用户的个人数据被盗。

　　那么，该如何识别钓鱼邮件呢?你接收到一封来自银行、电子支付系统或邮箱服务商的电子邮件。如果你并没有使用上述银行、电子支付系统或电子邮件服务商，那这封邮件肯定是具有欺诈性质的垃圾邮件，请尽快将其删除;如果你确实在使用上述银行、电子支付系统或邮件服务，并且收到了声称是这些机构发送的电子邮件，那么一定要仔细阅读邮件，如果邮件中要求用户输入登录名和密码，那这封邮件绝对是诈骗类邮件，因为合法公司和组织从来不会用这种方式获取用户的登录信息和密码。除此以外，还需警惕带有附件的电子邮件。有些电子邮件可能本身并不是钓鱼邮件，无法获取你的个人信息，但是其中携带的附件很可能是恶意的，因此务必要三思而行。

　社交网络钓鱼

　　社交网络现在愈加流行，很多人都有Facebook、Twitter等等社交网站的账号。有时，我们会在其中发现一些假冒的提醒邮件，而这些假冒邮件的目的是窃取用户的个人数据，获取对用户社交网络账号的访问权，这与针对银行的钓鱼诈骗非常相似。首先用户会收到一封自称是来自某个社交网站的提醒邮件，邮件中声称有人给你留言或者希望加你为好友，或者你需要更新账户信息。如果你点击其中的链接，将会被引导到一个假冒的网站，用户如果在此网站输入了用户名和密码，就会被发送给网络诈骗者。

　　当然，也有些伪造的社交网站的提示邮件并不会要求用户输入用户名和密码，并且这些邮件看上去除了其中的链接外，其他均同真实的邮件100% 相似。但是如果用户仔细看一下其中链接的地址，就会看到其将用户定向到的地址并非该社交网站的官方地址。网络诈骗者经常将这些假冒的诈骗网站做得同真实网站非常相似，如假冒的网站会使用http://fasebook.com/，而真实的地址则是http://facebook.com/。

　　网络游戏钓鱼

　　网络钓鱼可以说无孔不入，对于深受广大青少年喜爱的网络游戏自然也不例外。目前针对在线游戏的诈骗越来越多，而且还呈现出标准化，即，将游戏玩家引诱到假冒的网站。所以我们务必要牢记一件事，真正来自官方的邮件从来不会让用户在点开的链接中输入用户名和密码。

　　除了假冒网站之外，网络诈骗者还会采用一些其他手段。例如邀请用户参加某款新游戏的beta测试，或者免费得到礼品等，用户需要做的仅仅是点击某个链接。但是，如果用户点击了链接，就可能会落入他们的圈套，被定向到假冒网站上。从而被网络诈骗者窃取个人数据。还有可能被指向被感染的网站，从而造成用户计算机被下载和安装多种恶意软件。

　其他传统诈骗

　　“知识就是力量”这一谚语对于保护自己免遭在线诈骗侵害非常实用。有时候，你需要了解网络罪犯会使用多种不同的欺诈手段，了解这些手段后你就可以判断谁在试图欺骗你。最常见的诈骗种类如下所示：

　　(1)彩票中奖的假冒提示

　　有一些邮件会告知用户赢得了某个彩票大奖。网络诈骗者的目的是欺骗用户支付一笔费用，用于将用户的奖金转移到其账户。

　　(2)419电子邮件，或被称为尼日利亚诈骗邮件

　　有些邮件会要求收件人向某个边远的国家汇钱，而很多时候都是位于非洲的某个国家。作为报答，诈骗者会许诺高额的报酬。之后，诈骗者会询问用户的银行账号，声称要将用户应得的那部分钱转到账上。但是事实上他们根本不会转钱到该账户，而是会从该账户上取钱。这类骗局还会有其他各种变化，例如诈骗者可能会要求你寄一笔钱，声称是用于支付法律服务或运输费用。在钱汇出之后，他们就会切断同受害者的联系。

　　(3)金字塔传销和快速赚钱

　　在这类骗局中，诈骗者会要求潜在的受害人投资一小笔钱，之后就能收到高额回报。但是事实上，受害者根本不会收到任何回报。

　　(4)在线乞讨

　　这类诈骗所采用的电子邮件看上去非常像来自慈善机构或其他需要帮助的机构。但是，这些邮件其实是完全伪造的。或者虽然包含指向真实慈善组织的链接，但其中的支付详情则会确保所有收到的钱财最终落入诈骗者的腰包。

　　(5)采用垃圾邮件的短信诈骗

　　这类诈骗会涉及电子邮件，诈骗者会使用多种方式和手段劝说用户向某个付费号码发送一条短信。这类诈骗邮件中有时会包含链接，指向某个网站，用户访问时会提示用户发送短信为某个服务付费。

　　避免“被钓鱼” 卡巴来支招

　　在我们“解密“了各类型网络钓鱼的手段后，相信大家已经对花样繁多的骗局已经有了一个较为深入的了解，那么我们该怎样做出防范呢?对此，卡巴斯基实验室的这份报告中也给出了十分中肯的实用的建议。

　　(1)使用反病毒软件：

　　当今的反病毒软件可以定期进行更新，从而提供针对多种互联网威胁的可靠保护。

　　(2)定期下载和安装系统和软件更新：

　　系统和软件漏洞能够被网络罪犯所利用，从而造成用户计算机被感染。通过下载和安装更新，可以修补这些漏洞。

　　(3)不要将自己的个人信息发布到公共资源上：

　　发布到互联网上的信息和数据会被自动机器人所收集，最后交给网络罪犯。网络罪犯就可以有针对性地利用这些数据(例如向用户的邮箱地址发送大量垃圾邮件)。

　　(4)不要从不明网站下载任何东西：

　　不管你是从不明网站下载程序、书籍或是电影，都有可能同时会下载恶意软件。

　　(5)不要轻易点击电子邮件中的链接：

　　因为这些链接经常会将用户定向到诈骗网站或已经被恶意程序感染的网站。

　　(6)如果你对邮件发件人存在怀疑，千万不要打开邮件所带的附件：

　　因为很可能附件中就包含恶意程序(即使附件仅仅是一个Word文档)

　　(7)不要试图“退订”垃圾邮件(尤其是如果垃圾邮件中有“退订”链接)：

　　这样做并不会使你摆脱垃圾邮件。恰恰相反，事实上你会收到更多垃圾邮件。造成这一现象的原因可能有两种：首先，你的地址可能被加入到的确会去阅读这些邮件的人的数据库中，之后你接收到的垃圾邮件会越来越多。或者，你点击了“退订”链接后，将会被定向到某个被感染的网站，最终造成自己计算机被感染。

　　(8)不要相信任何看上去非常有诱惑力的投资建议，尤其注意那些承诺能够轻松赚钱的：

　　这些投资建议事实上都是骗局。网络罪犯会骗取你的钱财，或者操纵受害者从事非法行为，最终受害者还要承担法律责任。

　　虽然目前的信息安全解决方案都十分强大，但可以肯定的是，花样繁多的网络诈骗并不会因此而消失，网络罪犯还会想出更多的伎俩来获取不正当的利益。所以，想要保护个人财产的安全，远离网络威胁，除了借助优秀的反病毒软件，还需要我们时刻提高警惕，才能够保护自己在虚拟世界中的安全。