网络钓鱼 (Phishing)一词是Phreak(偷接电话线的人)的前两个字母ph取代fishing(钓鱼)的f之后的结合体，属于以“社会工程学”结合电脑科技的犯罪手法。其实Phishing并不算是一种新的入侵方法，入侵者通过技术手段伪造出一些以假乱真的网站，诱惑受害者在伪造湾站上“自愿”交出重要信息或被窃取重要信息的手段。

　　经近一段时间的“315”打假，网站打假也正在如火如荼的进行中。打假过程中，用户反应最为强烈的依然是网上银行的安全系统。近日，通过上海金融报的调查结果显示，排列前四名的银行诈骗事件分别是下面四种，而网络钓鱼“荣获冠军”：

　　一、通过“冒牌网上银行”(钓鱼网站)进行诈骗。

　　二、用手机短信、媒体广告抛出“贷款诱饵”诈骗。

　　三、冒充国家公职人员或银行专业人士进行诈骗。

　　四、利用朋友等亲密关系，套取客户资料后盗取资金。

　　在春节过后的这段时间里，钓鱼攻击的电子邮件的数量没有明显增长，但不代表那些不法之徒已经开始退缩，而是在选择和研究更有效地击中目标的方法。自从今年开始以来，网络钓鱼攻击已经具有了攻击性更强和技术更隐蔽的特点。

　　微软IE7带来的安全感

　　网络钓鱼与其它攻击行为的主要取被是入侵者并不需要主动攻击，他们摆出一幅“姜太公钓鱼，愿者上钩”的姿态。在诈骗手段上，最主要方式是使用“垃圾邮件”，在电子邮件成为当今主要联系方式的同时，即使是大海捞针的行为，也能捞起一两根针的。这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页，例如：我最近常收到一些“ADSL交费邮件“，或者提示“朋友赠送礼品”邮件等，大量“忽悠”的邮件充满了我的公开邮箱。有个朋友告诉我，他为了一探究竟，在充分准备防毒软件和加固系统后，登录了这些网站，不过他们都要求提交用户名、密码、身份证号、信用卡号等信息，他实在不敢在拿包里的钞票做游戏了。另外，最近还听说有些假冒慈善机构名义募款的网站出现，真可谓丧尽天良。

　　Internet Explorer 7正式版推出后，给了我们很大的希望。它与以往任何一个版本的IE有了显著的变化和改进，尤其增加用户保护状态，即使黑客入侵了IE也不能全面控制机器，从而提高了操作系统的整体安全性。我们应该承认，IE7在广告拦截能力上有了很大提高，而且除去加密网页的警告方式改变之外，新增的反钓鱼检测功能，让我们在一段时间里拥有了一丝安全感。

　　与病毒感染一样，普通用户只会在浏览器遭到修改和欺骗之后才发现问题。他们的IE主页和网络搜索已被设置为其它网站，到处都是弹出的窗口，收藏夹里尽是色情网站地址，而且要想完全修复这些问题，既费时又费力。随着时间的推移，很多用户根据实际应用后，感到IE 7这些新增的安全性的并不能代替其他安全产品，单独的依靠IE7的安全性去挑战数不胜数的钓鱼攻击，显得势单力薄。

\IE7 防钓鱼的弱点

　　第一，公众参与程度低

　　拿大家谈论较多的垃圾邮件防范来说，我们都清楚“可变陌生访问限制(Variable Strange Visiting Limit)”是最为有效的一种控制垃圾邮件技术，它的核心思想表现为：“根据邮件接收人对垃圾邮件的投诉，计算发信人的信用，以此控制垃圾邮件的发送，采用邮件服务器与邮件地址两级白名单控制垃圾邮件的接收。” 这种信用机制的有效性由VSVL邮件用户对垃圾邮件的投诉率决定，如果投诉率太低会使信用控制失灵，Spammer可以不断地使用限额发送垃圾邮件，如投诉率太低就会累积更多的限额而发送更多的垃圾邮件。但这种防治方式，长期无法普及，这与公众的参与程度是分不开的。微软除了与安全厂商合作之外，最主要的以IE7人工举报为例：“如果你怀疑某网站是一个仿冒网站，可以单击 ‘报告此网站’的功能，这将有助于微软对此网站进行评估”。但从国内用户来看，这种方法很难避免“钓鱼事件”的减少，IE7的在防钓鱼功能的无助也暴露无疑。