天空之城

前两篇关于网络钓鱼的帖子，主要讨论了钓鱼的手段和防范措施。那么，到底是谁在钓鱼呢？这个问题好像是不言自明的，当然是想借此牟利的坏人啦。且慢，今天看到国外的 一篇文章，竟然说银行也有钓鱼的嫌疑了，哈哈，假作真时真亦假，无为有处有还无。

作者说有一天他在外面想上网登录网上银行，但是忘了密码。于是他就给银行打了电话。银行问了他如下信息后就把密码告诉他了：1）姓名 2）账号和户名 3）住址 4）身份证号 5）生日。这些信息在某种程度上都是公开的，这样拿到密码也太容易了吧。

接下来发生的事更有意思。他回到家以后，有银行的人打来电话，说有个关于他账户的问题要和他商量，不过要先问他一些个人信息，以便“保护他”以及“确认他的身份”。这个场景是不是有点儿熟悉呀。好像网上钓鱼的人也是这么说的啊。先说你的账号有问题，让你回答一些私人信息，然后再激活账号。怎么银行也用同样的方式啊。因为有这个怀疑，作者又打了银行的客服电话，询问自己的账户是否有问题。银行职员又问了一遍他的个人信息，如姓名、社会安全号、生日、母亲的姓等等可以轻易获得的公开信息。然后告诉他，他的账户没有什么问题。他的疑心更重了，干脆到家附近常去的分行，在那里银行职员看了他带照片的身份证明后，告诉他账户是有个小问题。看来打到家里的电话确实是从银行打来的。

从这件事情看出来，银行在验证用户身份的流程上存在问题，给用户的感觉和网络钓鱼很相似，以至于引起了用户的误会。而且身份验证所要求的信息都是能够公开得到的，这也是一个安全漏洞。看来需要解决安全问题、优化工作流程。这个就不单是技术问题了。

有朋友看了钓鱼新法问我，那怎么样避免被钓鱼啊？于是我又解释了一遍。后来一想，干脆趁此机会把网上钓鱼的相关信息整理一下，作为信息安全意识系列的第一篇。希望能对看过的朋友有所帮助，避免成为下一个受害者。

其实，所有防范措施，归根结底一句话：看好你的钱包。

先看看钱包里有什么东西， 以及相应的网上信息：

1. 银行卡：银行账号、相应的密码、开户银行
2. 信用卡：信用卡号、验证码、发卡行
3. 身份证：身份证号、姓名、性别、生日
4. 家庭照片：个人及家庭信息，如电话号码，家庭住址
5. 钱：网上银行的存款、网上支付帐户的余额、网络游戏的装备、点卡
6. 各种会员卡： 你的社会关系、朋友圈、联系方式等

现在网络钓鱼的手法越来越多，但他们最终的目的，就是要窃取用户钱包里的以上各种信息，以非法获利。作为个人，我们要记住的就是，不管是在网上（网站、电子邮件、即时通信如QQ、MSN、POPO等）还是网下（电话、短信），不要轻易透露以上信息，一定要验证这些信息的接收方是否可信，信息传递的渠道是否安全。

常用的防范措施有：

1. 网上支付最好选用网银USB Key证书，这是目前最安全可靠的身份认证技术。只用网银账号和密码认证身份是不安全的。
2. 在判断真伪以及可信性之前，不要点击邮件或即时通信（QQ、MSN、POPO等）中的链接，以免被带到钓鱼网站，或者被注入病毒。判断的方式最好是拨打银行公开的客户服务电话， 而不是邮件或短信中提供的电话。
3. 安装正版的防病毒、防火墙、防钓鱼软件，并保持更新。
4. 经常检查自己的银行和信用卡帐户，核对交易记录以检查是否有异常交易。

更多的相关信息可以在这里找到：

[1]  中国金融认证中心代表15家银行郑重声明网银USB Key证书安全可靠

[2]  国家计算机病毒应急处理中心“网络钓鱼(Phishing)”专题

[3]  网络钓鱼作案手法

[4]  五种“网络钓鱼”实例解析及防范

[5]  国际上的“Anti-Phishing Working Group"