網絡金融釣魚防范的實用技巧

云夢澤

1 采用誤導網絡域名地址引誘受害者

網絡域名地址（DNS）的發展提高了人們的上網體驗，避免了記憶枯燥而無意義的網絡IP地址，但是同樣卻給釣魚攻擊者提供了便利的偽裝條件。人們一般較少的了解DNS域名解析服務的工作原理。攻擊者正式利用了這一點來偽造相似的DNS域名地址，來欺騙網銀和網購用戶進入釣魚網站。例如，wap.ccb.com是真實的建設銀行的手機客戶端的域名地址，他的上一級域名是ccb.com，而頂端的域名是com。因此，形如wap.ccb.cc和wap.ccb.info這樣的網絡地址就是建設銀行的手機客戶端域名地址。他們是網絡釣魚攻擊者利用受害者DNS知識的缺乏與不理解而精心制作并利用的虛假建設銀行的手機客戶端網絡域名地址。

2 仔細辨認銀行郵件或消息的網絡鏈接地址

當查收聲稱是來自于銀行或者可信的購物網站的電子郵件或者有支付鏈接信息情況下，首要關注嵌入在html文檔中的銀行或支付鏈接的可靠性。通常情況下網絡釣魚郵件中的銀行網址和支付鏈接會采用正常的官方郵件格式。然而，如果在點擊鏈接之前通過把鼠標停留在這個網址上仔細查看真實的網絡地址，你會看到真實的跳轉地址，這是一般網絡瀏覽器的會在窗口的左下角顯示跳轉鏈接的真實地址。如果超鏈接的地址與顯示的地址不一樣，那么該消息就可能是欺詐或者惡意的。

3 被要求提供敏感信息

當正在訪問的網站要求提供個人的敏感信息的時候，比如，用戶賬戶、銀行卡號、信用卡安全號碼、密碼、密碼問題答案、身份證號碼、手機號碼和驗證碼等，一定要格外小心注意。一般情況下，銀行或者支付機構不會要求用戶提供他們掌握的資料，除非他們需要核實你的身份，但是沒有金融機構會在網絡上面核實用戶的身份信息。當他們確實需要核實某些個人信息的時候，他們一般會要求客服前往柜臺當面處理，而不再在網絡上草草了事。

4 從來沒有發生過的交易

很多人經常在收到的郵件中被提到曾經發生的網絡交易存在問題，比如，金額錯誤、交易取消、收件地址問題。但真實的問題是，受害者怎么都無法回憶起曾近有過這么一次交易。很大的可能這封郵件發自釣魚攻擊者，這種情況下要小心應對，多方核對。

5 天上不會掉餡餅

假如收到的郵件中承諾提供較大的經濟利益時，要額外小心。這些網絡郵件有時聲稱有大量積分需要兌換誘人的禮物。因此，遇到這種郵件要知道天上不會掉餡餅，美好的誘餌背后是罪惡的魚鉤。

6 釣魚消息包含語法錯誤

一般的釣魚郵件是由釣魚攻擊者自己制作和負責校對審核的，他們并不像網絡銀行這樣的大企業一樣，內部有多重審核的機制。在銀行發布正式的通知或者公告之前，往往會有多個部門，很多員工審核校對同一份通知文件，因此在正式文檔中出現語法錯誤或者病句的情況較少。因此，一旦在聲稱是來自網絡銀行的信息中發現有低級的語法錯誤時，要提高警惕，綜合其他的方面的特征來判斷收到的消息是否來自于釣魚攻擊者。

7 警惕釣魚郵件中的另一種手段

目前，網絡金融釣魚中同樣存在另外方式，他們不同于常規的釣魚郵件。在一般的金融釣魚郵件中，攻擊者總是通過仿冒官方網站和渠道，并采用引誘的辦法來促使受害者上當。但是，人們有時又會收到另外一種釣魚郵件，他們聲稱自己來自于公權力機構，比如法院、公安局，通過冒稱受害者違反了相關法律而導致賬戶凍結或者收到法院的傳喚，要求受害者將資金轉入指定賬戶以配合調查，一旦受害者點擊郵件中的地址，就會進入攻擊者事先準備的釣魚網站中。這種釣魚手段利用人的恐懼心理進行犯罪活動，因此在收到類似的釣魚郵件時，一定要沉重冷靜，不要被突如其來的壓力所擊倒，而要積極多方核對，不要給騙子留下詐騙的機會。

8 網絡金融釣魚的最終目的

所有網絡釣魚郵件的最終目的都是通過從受害者身上欺騙來獲得金融財產。所以這就是釣魚郵件區別于其他正常郵件的根本點，因此，每當郵件中涉及到要進行網絡支付轉賬、進行購物充值或者要求支付勞務費等與金錢相關的要求時，就需要擦亮雙眼，仔細辨認，以防落入騙子精心布下的騙局之中。

在個人平時使用網絡銀行和網上購物的過程中，可以做到以下幾點來防范網絡釣魚：（1）在登陸不是經常訪問的銀行網站時，要注意核對最終的跳轉頁面與原始鏈接的區別，觀察是否存在多級跳躍。當發生這種情況的時候，容易進入釣魚網站。（2）在收到其他朋友或者陌生人傳來的即時在線消息的時候，要注意查看跳轉地址是否與真實地址一致。有時候這些消息還有可能是由聊天bot發出的。這時候與朋友取得其他途徑的聯系來核對時最有效的辦法。（3）收到陌生人發送的電子郵件時，并察覺到任何異常時，比如鎖定的網頁地址，透明的窗口等異常時，一定要及時停止操作，這樣就不會被攻擊者利用，從而避免經濟損失。

總之，雖然利用釣魚手段的網絡銀行騙局在不斷翻新花樣，但是在釣魚行騙的過程中難免又會漏出一些破綻。在細心的用戶面前，這些馬腳可以被識別，并最終避免上當受騙。