钓鱼网站通常是指伪装成银行及电子商务等网站，主要危害是窃取用户提交的银行帐号、密码等私密信息。

网站定义
　　所谓“钓鱼网站”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。

　　“钓鱼网站”近来在全球频繁出现，严重地影响了在线金融服务、电子商务的发展，危害公众利益，影响公众应用互联网的信心。钓鱼网站通常伪装成为银行网站，窃取访问者提交的账号和密码信息。它一般通过电子邮件传播，此类邮件中一个经过伪装的链接将收件人联到钓鱼网站。钓鱼网站的页面与真实网站界面完全一致，要求访问者提交账号和密码。一般来说钓鱼网站结构很简单，只有一个或几个页面，URL和真实网站有细微差别。

　　专家提醒，网民在查找信息时，应该特别小心由不规范的字母数字组成的CN类网址，最好禁止浏览器运行JavaScript和ActiveX代码，不要上一些不太了解的网站。

危害方式
　　最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。

　　网络钓鱼其实就是网络上众多诱骗手法之中的一种，由于它的手段基本就是通过网络用一些诱饵（比如假冒的网站）等使用者上当，很像现实生活中的钓鱼过程，所以就被称之为“网络上的钓鱼”。它的最大危害就是会窃取用户银行卡的帐号、密码等重要信息，使用户受到经济上的损失。

　　网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。

　　国内现有处理机制都难以有效制止。对“网络钓鱼”的诈骗行为，工信部和公安部都设有专门的监管机构。其他各大部委也都有专门的监管机构负责行业内的网络安全管理。但由于“钓鱼网站”频繁出现，现有的处理机制很难及时有效制止“钓鱼网站”，在“中国反钓鱼网站联盟”成立前，国内还没有建立专门协调此问题的组织。

　　“中国反钓鱼网站联盟”成员单位包括：工商银行、农业银行、中国银行、建设银行、华夏银行、光大银行、银河证券、腾讯、淘宝、支付宝等几十家金融机构和电子商务网站，以及中国万网、中企动力、厦门中资源、厦门华商盛世、阿里巴巴、ChinaSpringboardInc.等国内主要的域名注册服务机构。“中国反钓鱼网站联盟”并非官方机构，它的成员包括了域名管理机构、注册服务机构，以及银行证券类、电子商务类、网络安全类等企业，目的就是为了发现和治理“钓鱼网站”，主要是针对假冒其成员单位的“钓鱼网站”。该联盟在接到涉及联盟成员的投诉后，权威技术鉴定机构会立即对其进行判定，一经认定，两个小时内暂停其域名解析，终止欺诈行为。从处理的及时性上大大降低了“钓鱼网站”所造成的危害。联盟的成员单位目前还是有限，对于层出不穷的“钓鱼网站”，国内反钓鱼网站协调机制和反钓鱼网站综合治理体系的建设还需进一步推进。另外，国家有关的法律法规也有待进一步完善。

手段方法
　　像垃圾邮件一样，钓鱼 ( 英语叫做 fishing) 是一种未经允许的电子邮件形式。尽管一些垃圾邮件可能只不过是讨厌的广告，而钓鱼则是试图从用户手中进行诈骗。不幸的是，人们落入了它的圈套。钓鱼是指用电子邮件作“鱼饵”，从而骗取访问金融账户必需信息的一种手段。通常，电子邮件会看起来像来自一家合法公司。它试图诱惑用户把账号和相关密码给他们。电子邮件经常解释说，公司记录需要更新，或者正在修改一个安全程序，要求用户确认你的账户，以便继续使用。

　　从表面上看很难辨别这封电子邮件是否是诈骗。像垃圾邮件一样，来自钓鱼黑客的电子邮件通常在电子邮件地址中包含伪造的“发件人”或者“回复”标题，使电子邮件看起来像来自一家合法公司。除了欺骗的“发件人”或者“回复”地址之外，伪造子邮件通常基于HTML。第一眼可能看起来像真的一样。电子邮件经常包含真正的商标，看起来拥有真正公司的网站地址。建议用户“小心”保管密码。电子邮件的所有的表象和措词都用来使它看起来是真的。

　　然而，当用户查看HTML(电子邮件内的电脑代码)时，用户可以看到网站地址是伪造的，点击链接实际上会把你带到另一个位置。它经常会把你带到一个看起来一样的外国网站。这些网站只是暂时开放，设计得跟真的一模一样，从而诱惑你输入你的登录信息和密码。一旦他们获得信息，就会试图从用户的帐户中汇钱出去，或者收取费用。

　　钓鱼的一种常见做法是在电子邮件中包含一个表格，供收件人填写自己的姓名、账号、密码或者PIN号。

　　钓鱼网站4招骗客敛财
　　1. 群发短信“善意”提醒，诱使网民上网操作；
　　2. 境外注册域名，逃避网络监管；
　　3. 高仿真网站制作， 欺骗网名透露户口密码；
　　4. 连贯转账操作，迅速转移网银款项。

技术分析
　　网络安全技术人员认为钓鱼网站技术含量不高，个人要会防范。目前，“钓鱼网站”主要集中在两方面：一种是模仿央视、腾讯等假冒抽奖网站，如多地出现的仿冒“非常6+1”节目中奖信息骗取网民钱财的网络诈骗事件，主要特征是以中奖为诱饵，欺骗网民填写身份信息、银行账户等信息；另一种是模仿淘宝、工行等在线支付网页，骗取网民银行卡信息或支付宝账户。

　　在安全技术人员眼里，“网络钓鱼”没有太多技术含量，主要是利用人们的心理来实现诈骗。

　　中国互联网络信息中心的专家认为，一是人们受中奖或其他物质奖励诱惑而放松戒备；二是人们缺乏对网站真伪性验证的知识和方法。另外，多数受骗用户在网上填报个人信息，特别是财务信息时缺乏防范意识，没有仔细验证网页的真实性。

　　专家说，“钓鱼网站”其实不难判别，一般假网站只有一个页面，没有任何链接。真的网站，首页不仅内容丰富，而且还能提供详细的联系方式。验证一个网站的真伪，还可以通过中国互联网络信息中心官方网站查询真实域名，也可以通过登录工信部ICP/IP地址/域名信息备案管理系统，获得网站的真实信息。

　　因为“网络钓鱼”都是以大奖诱惑消费者，因此消费者要对网络中奖活动提高防范意识；而在网络支付时也要小心谨慎，通过域名注册信息、第三方权威认证服务等多种手法验证网站真实性，同时，网民一定要重视个人信息的保护，包括个人联系方式、身份证号码、银行卡信息等。

牟利模式
　　1、黑客通过钓鱼网站设下陷阱，大量收集用户个人隐私信息，通过贩卖个人信息或敲诈用户；
　　2、黑客通过钓鱼网站收集、记录用户网上银行账号、密码，盗取用户的网银资金；
　　3、黑客假冒网上购物、在线支付网站，欺骗用户直接将钱打入黑客账户；
　　4、通过假冒产品和广告宣传获取用户信任，骗取用户金钱；
　　5、恶意团购网站或购物网站，假借“限时抢购”、“秒杀”、“团购”等噱头，让用户不假思索地提供个人信息和银行账号，这些黑心网站主可直接获取用户输入的个人资料和网银账号密码信息，进而获利。

传播途径
　　目前互联网上活跃的钓鱼网站传播途径主要有八种：
　　1、通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接；
　　2、在搜索引擎、中小网站投放广告，吸引用户点击钓鱼网站链接，此种手段被假医药网站、假机票网站常用；
　　3、通过Email、论坛、博客、SNS网站批量发布钓鱼网站链接；
　　4、通过微博、Twitter中的短连接散布钓鱼网站链接；
　　5、通过仿冒邮件，例如冒充“银行密码重置邮件”，来欺骗用户进入钓鱼网站；
　　6、感染病毒后弹出模仿QQ、阿里旺旺等聊天工具窗口，用户点击后进入钓鱼网站；
　　7、恶意导航网站、恶意下载网站弹出仿真悬浮窗口，点击后进入钓鱼网站；
　　8、伪装成用户输入网址时易发生的错误，如gogle. com、sinz. com等，一旦用户写错，就误入钓鱼网站。

防范办法
　　第一、查验“可信网站”
　　通过第三方网站身份诚信认证辨别网站真实性。目前不少网站已在网站首页安装了第三方网站身份诚信认证——“可信网站”，可帮助网民判断网站的真实性。 “可信网站”验证服务，通过对企业域名注册信息、网站信息和企业工商登记信息进行严格交互审核来验证网站真实身份，通过认证后，企业网站就进入中国互联网络信息中心（CNNIC）运行的国家最高目录数据库中的“可信网站”子数据库中，从而全面提升企业网站的诚信级别，网民可通过点击网站页面底部的“可信网站”标识确认网站的真实身份。网民在网络交易时应养成查看网站身份信息的使用习惯，企业也要安装第三方身份诚信标识，加强对消费者的保护。

　　第二、核对网站域名
　　假冒网站一般和真实网站有细微区别，有疑问时要仔细辨别其不同之处，比如在域名方面，假冒网站通常将英文字母I被替换为数字1，CCTV被换成CCYV或者CCTV－VIP这样的仿造域名。

　　第三、比较网站内容
　　假冒网站上的字体样式不一致，并且模糊不清。仿冒网站上没有链接，用户可点击栏目或图片中的各个链接看是否能打开。

　　第四、查询网站备案
　　通过ICP备案可以查询网站的基本情况、网站拥有者的情况，对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站，根据网站性质，将予以罚款，严重的关闭网站。

　　第五、查看安全证书
　　目前大型的电子商务网站都应用了可信证书类产品，这类的网站网址都是“https”打头的，如果发现不是“https”开头，应谨慎对待。

影响危害
　　最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。

　　网络钓鱼其实就是网络上众多诱骗手法之中的一种，由于它的手段基本就是通过网络用一些诱饵（比如假冒的网站）等使用者上当，很像现实生活中的钓鱼过程，所以就被称之为“网络上的钓鱼”。它的最大危害就是会窃取用户银行卡的帐号、密码等重要信息，使用户受到经济上的损失。

　　网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。

难点障碍
　　国内现有处理机制都难以有效制止。据了解，对“网络钓鱼”的诈骗行为，工信部和公安部都设有专门的监管机构。其他各大部委也都有专门的监管机构负责行业内的网络安全管理。但由于“钓鱼网站”频繁出现，现有的处理机制很难及时有效制止“钓鱼网站”，在“中国反钓鱼网站联盟”成立前，国内还没有建立专门协调此问题的组织。

鉴别方法
　　“中国反钓鱼网站联盟”并非官方机构，它的成员包括了域名管理机构、注册服务机构，以及银行证券类、电子商务类、网络安全类等企业，目的就是为了发现和治理“钓鱼网站”，主要是针对假冒其成员单位的“钓鱼网站”。该联盟在接到涉及联盟成员的投诉后，权威技术鉴定机构会立即对其进行判定，一经认定，两个小时内暂停其域名解析，终止欺诈行为。从处理的及时性上大大降低了“钓鱼网站”所造成的危害。

　　专家也指出，联盟的成员单位目前还是有限，对于层出不穷的“钓鱼网站”，国内反钓鱼网站协调机制和反钓鱼网站综合治理体系的建设还需进一步推进。另外，国家有关的法律法规也有待进一步完善。

专家建议
　　钓鱼在大多数情况下是关于你的银行账号、密码、信用卡资料、社会保障卡号以及你的电子货币帐户信息。关于用户的paypal、yahoo邮件、gmail及其他免费邮件服务。只要记住上述那些正式公司绝不会通过电子邮件让你提供任何信息。如果你收到类似要求，让你提供资料，或者在邮件中带有指向网站的链接，那么它一定是网络钓鱼诈骗。

　　专家提醒，网民在查找信息时，应该特别小心由不规范的字母数字组成的CN类网址，最好禁止浏览器运行JavaScript和ActiveX代码，不要上一些不太了解的网站。

　　专家为此提出以下建议：
　　从不点击电子邮件中的链接来输入你的登录信息或者密码。相反，如果你认为电子邮件可能是合法的，那么用你的Internet浏览器或者Netscape浏览器直接访问公司网站。(不要从一封可疑的电子邮件中复制粘贴url地址。)

　　总是使用公司的官方网站来提交个人信息。如果在线发送信息，那么应该使用一个安全服务器在公司的官方网站上操作。

　　如果还是怀疑电子邮件所说的，就给公司打个电话。

　　总是在你的手机或者笔记本中保存你经常打交道的公司的正确联系电话号码，并且只使用你保存的那个号码。例如，如果你在汇丰银行有一个账户，那么保存正确联系号码，并且只使用那个号码。永远也不要相信邮件中的电话号码。

　　像电话号码一样，总是在你的收藏夹中保存正确的网站地址，并且使用他们做与那个公司有关的任何事情，永远也不要相信电子邮件中的网站链接。