263企业邮箱创新推出反钓鱼功能

   网络钓鱼（Phishing‎，与钓鱼的英语fishing‎发音相近，又名钓鱼法或钓鱼式攻击）是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。

    网络钓鱼（Phishing），并不是一种新的入侵方法，但是它的危害范围却在逐渐扩大，成为近期最严重的网络威胁之一。Phishing就是指入侵者通过处心积虑的技术手段伪造出一些以假乱真的网站和诱惑受害者根据指定方法操作的email等方法，使得受害者“自愿”交出重要信息或被窃取重要信息（例如银行账户密码）的手段。入侵者并不需要主动攻击，他只需要静静等候这些钓竿的反应并提起一条又一条鱼就可以了，就好像是“姜太公钓鱼，愿者上钩”。

    网络钓鱼（Phishing）的背景

    早期的案例主要在美国发生，但随着亚洲地区的因特网服务日渐普遍，有关攻击亦开始在亚洲各地出现。从外观看，与真正的银行网站无异，但却在用户以为是真正的银行网站而使用网络银行等服务时将用户的账号及密码窃取，从而使用户蒙受损失。防止在这类网站受害的最好办法就是记住正宗网站的网址，并当链接到一个银行网站时，对网址进行仔细对比。在2003年，于香港亦有多宗案例，指有网站假冒并尚未开设网上银行服务的银行，利用虚假的网站引诱客户在网上进行转帐，但其实把资金转往网站开设者的户口内。而从2004年开始，有关诈骗亦开始在中国大陆出现，曾出现过多起假冒银行网站，比如假冒的中国工商银行网站。

    典型的网络钓鱼（Phishing）案例

    南方的早春总是伴着绵绵细雨，难得今天是个晴朗天，某服装公司的张经理带着十几个重要员工来到郊外一个鱼塘进行垂钓活动。张经理放置好钓具后，便打开了随身携带的笔记本电脑并连上网络，他想利用这点时间处理一下最近的一笔生意。秘书见他在这种时候还离不开工作，便劝他：“经理，今天是游玩的日子，难得放松一下，今天还是不要处理公司业务了吧……您不怕钓竿被鱼叼走了？”张经理对秘书笑了笑，看着身前的钓竿缓缓说道：“都说姜太公钓鱼，愿者上钩，但是如果不知道提竿的时机，即将到手的鱼也会溜走的。等这笔生意谈妥，我再休息也不迟。”说罢又继续低头敲键盘。

    生意终于谈妥，客户把货款转入张经理的银行账户，张经理笑了：“这条大鱼终于被我钓到了。”然后他登上网络银行账户查看转账情况。当页面上显示出账户剩余金额时，张经理心里一紧，接着有了晕眩的感觉：账户里原来的存款不翼而飞，页面里惟有客户刚刚转入的货款，仿佛在嘲笑着张经理。张经理做梦也没想到，这一次，他成了别人钓上的鱼，而且是大鱼。

    视觉陷阱：网页背后的钓竿

    警察正在分析张经理那台笔记本电脑硬盘里的数据，张经理本人在报案时因心脏病发作而住进了医院。由于无法得知张经理最后一次登录网络银行的时间，而且系统里也没有感染任何偷盗账号的后门程序，案件变得有点扑朔迷离起来。一个分析员无意中打开了Foxmail，发现最后一封信件是银行发送的，主题为“XX网络银行关于加强账户安全的通告”，分析员预测案件与这封信件有重大关系，马上打开阅读。这是一封HTML网页模板的信件，内容大意为银行为了加强账户安全而升级了系统，请各位客户尽快重新设置账户密码，末尾还给出了设置密码的URL链接。

    幕后黑手果然在这里！分析员马上查看信件源代码，很快就找出了其中的猫腻：正如常说的 “说的一套，做的一套”，这个邮件的作者采用了“看的一套，进的一套”这种简单的欺骗手法，入侵者利用HTML语言里URL标记的特性，把它写成了这样：“〈A HREF="http://www.xxxbank.com.cn/account/index.asp"〉http://www.xxbank.com.cn/account/index.asp〈/A〉”，由于心理作用，受害者潜意识里都会直接点击那个写着“http://www.xxbank.com.cn/account/index.asp”的URL链接，然而他们并不知道，这个点击实际上是把他们引向“http://www.xxxbank.com.cn/account/index.asp”这条钓竿！而这个所谓的更改密码页面，当然伪造得与真正的银行页面完全一致，但是它的“更改密码”功能却是把账号和密码发送到了幕后的“垂钓者”手上，然后“垂钓者”登录上真正的网络银行改了受害者设置的密码，并顺手牵羊把银行账户里的存款转移掉。这样钓来的鱼，即使是小鱼也会让“垂钓者”在梦里发出笑声来了，即使一条太小，积累起来的数目也会变得相当可观了。在金钱的诱惑下，“垂钓者”一次又一次提竿，殊不知，他自己也是被金钱钓竿钓上的一条鱼。

    263企业邮箱国内首家推出反网络钓鱼（Anti Phishing)机制

    263企业邮箱先进的欺诈保护程序有效地保护您免受网络钓鱼计划的侦查和拦截钓鱼计划和其他欺诈性的电子邮件之前就您的收件箱。

    263企业邮箱主要从两个方面来有效屏蔽网络钓鱼邮件。

    第一，这里提一下那封email，为什么张经理会上当呢？如果那封email的发件人地址不是银行网站的，那么白痴都看得出来这是伪造的邮件。但是问题就出在这里，这封email的发件人地址清清楚楚写着该银行网站的技术支持信箱地址！“垂钓者”是怎么做到的呢？很简单，并不是所有的邮件服务器都会验证用户信息是否真实，于是骗子用这样的邮件服务器发送一封伪造了发件人地址的信件简直是易如反掌。263针对每一封邮件，都会验证该用户信息是否真实。如果不真实，坚决不让其进入收件箱。

    第二，与微软进行数据库共享。反钓鱼攻击是微软的IE 7在安全方面的一个重要更新。每次打开新页面，为了检测该页面是否存在钓鱼攻击，我们可以看到在IE窗口的右下会显示一个警报的标志。 看到这个警报的提示，我们可以手动进行反钓鱼攻击的检测程序，或者打开自动检测检测功能。另外，还可以向微软汇报一个带有钓鱼攻击的站点URL，微软的网上数据库会将此地址收入，并提供给其他用户作为参考。采用这种群策群力对抗系统威胁的方式，使得遭受攻击的可能性大大降低。 263企业邮箱就是根据此数据库来进行网络钓鱼邮件屏蔽的，在邮件进入收件箱前会自动检测该邮件是否是网络钓鱼邮件，通过审查的邮件才能进入收件箱。