第二，微软产品漏洞，再次引爆“信任危机”

　　近日爆料，以色列安全研究人员 Aviv Raff 称，微软 IE7 中存在一个缺陷，可以让钓鱼欺诈网站伪装成正常网站，诱导用户上当受骗。Aviv Raff 指出，问题出现在 IE7 处理本地 HTML 错误信息页面的过程中，比如如果用户临时取消网页的载入，就会出现熟悉的“已取消到该网页的导航”页面，并提供“刷新该网页”的链接。一旦用户点击这个“刷新”链接，就可能陷入虚假网页的欺骗。Raff 已经发布了概念验证型代码，并且演示IE7如何被骗的过程。点击下面的网址，观看演示

　　Aviv Raff指出，这是 IE 里常见的跨网站脚本缺陷，Windows XP 和 Windows Vista 下都无法幸免。IE7 此前暴露的几个漏洞也属于此类。微软宣称已经开始就此展开调查。虽然尚未发现任何实际攻击，但在微软发布补丁前，安全专家奉劝用户最好不要轻信 IE 的错误页面。唉!刚刚积攒起来的信任感，又被这个可怕消息抹杀了。

　　有效防范钓鱼的建议

　　研发应用新技术，为网络信息安全保驾护航的同时，我们呼吁用户更要在通过互连网进行金融业务的同时坚强自我防范的意识。并且呼吁有关机关，对与危害社会稳定和国家金融安全、煽动和诱导犯罪、损毁他人名誉、网络欺诈侵权、黑客攻击、传播色情信息等违法行为加以严惩，让“钓鱼者”成为整个社会捕杀的对象。具体的讲，防止钓鱼事件的发生要从以下几个方面入手：

　　个人安全意识的提高

　　对于个人用户来讲，提高警惕是第一位的。不登录不熟悉的网站，键入网站地址的时候要校对，如果发现网址中出现“@”等特殊字符一定要小心，以防误入狼窝。另外在陌生邮件和即时通讯工具上的传来的消息，一定不要抱着“试一试”的心态，天上即使掉馅饼也不会砸到你的。最后，安装杀毒软件并及时升级病毒知识库和操作系统补丁、安装个人防火墙等，都能提高电脑的安全性。

　　安全技术的推广

　　很多厂商和也提出了一系列的反网络钓鱼对策，如：改善网页应用程序的存取技术，使用硬件式的单次密码系统;强化网站登入认证机制，使用安全证书等。很多措施应该是可以有效避免用户被钓行为的发生，比如：单次密码系统，用户操作界面网页个人化等等，但很多普通用户根本不了解这些知识，所以普及和推广不但要在金融行业的用户，对于个人用户也应加强。

　　严惩“钓鱼者”

　　由于钓鱼欺诈行动隐秘，因此一般很难抓到犯罪嫌疑人，不过法网恢恢疏而不漏，根据美国媒体报道，一名加利福尼亚男子因此可能被判入狱101年。Jeffrey Brett Goodin现年45岁，来自美国加州Azusa市，两周前被洛杉矶联邦地方法院判定有罪，他成为美国2003年《反垃圾邮件法》(Can-Spam Act of 2003)确定后的第一个个人犯罪案例，罪名包括：网络欺诈、盗用信用卡、滥用AOL商标、阻拦证人作证等等。众罪并罚，要想出狱，Goodin就必须等到2108年。虽然是国外的法律案例，但我想，这可能对国内的犯罪分子和立法机构都是一个刺激。我们呼吁有关机关，对与危害社会稳定和国家金融安全、煽动和诱导犯罪、损毁他人名誉、网络欺诈侵权、黑客攻击、传播色情信息等违法行为加以严惩，让“钓鱼者”成为整个社会捕杀的对象。