如果你还不曾听说过phishing（网页仿冒），那么现在你应该对它有一个认识。正如许多垃圾邮件一样，phishing是一种未经许可的商业邮件。尽管并非所有的垃圾邮件都是恶意的骗局，但所有的phishing都是黑客恶意制造的一种诡计捕获。无论对公司还是消费者来说，跌入phishing陷阱都意味着他们将潜在地遭遇巨大的损失。  

    phishing这个新名词，是将英文中fishing的第一个英文字母"f"，改变为"ph"，以资识别。其实两者意义上也差不多，英文的fishing是钓鱼，于是phishing便有了一个很好的中文直译典故："姜太公钓鱼，愿者上钩"。正如词义所暗示的那样，phishing是仿冒现有的合法网页，以蒙骗用户提供个人资料、财务帐号和口令。通常情况下，诱骗者总是使用电子邮件并利用一些借口，如：他们的记录资料需要更新，或由于安全程序的改变需要重新核实用户资料等，以骗取用户帐号和相关的密码口令。电子邮件接收人在毫无怀疑的情况下提供了他们的信息，然而就在数小时甚至几分钟的短时间内，那些未经授权的交易就将使受骗者蒙受巨大损失。

    现在，大多数人都能够意识到不能在因特网上随意透露私人信息。但是对于新型的phishing电子邮件骗局来说，诈骗者通过电子邮件，指点收件人去阅览看上去与合法公司的网站几乎一模一样的网页，因此人们难以识别这类电子邮件的欺骗性。

    除了骗取用户信任外，phishing还利用基于HTML的电子邮件。乍一看上去，这类电子邮件仿佛是值得信任的，具备有商标、标识、图形，以及公司的链接。事实上，在很多情形中，HTML页面都是经过重新编码并且使用了被骗公司的标识。我收到过许多仿冒PayPal公司网页的phishing电子邮件，所显示的网址似乎是真实的，似乎只需要轻轻点击这些链接就能够登录PayPal网站。然而这些链接却正是仿冒网页设置的陷阱，它们实际上链接的是一个未被承认的IP地址，显示的内容来自别处，而不是进入PayPal的网页。

    作为EBay在线支付子公司的PayPal，是phishing电子邮件最经常利用的目标。如果你收到一封来自PayPal的电子邮件，而你并非PayPal成员，那么很容易就能断定这是一个phishing陷阱。另一方面，如果你像我一样是PayPal会员，或许就很难通过邮件本身判断其内容的真实性。由此可见，PayPal成员难免会陷入phishing技术设置的骗局中。

    反phishing工作组主席David Jevans指出：PayPal并非是phishers唯一利用的目标。phishers攻击报告中有大约35%的案例都是利用仿冒的PayPal网页，这使Ebay的PayPal服务成为最大的受害者。此外，几乎所有的金融机构、信用卡发行商、零售商或其他类型的商业交易，都不可避免的成为phishers利用的对象。2003年10月，英国的NatWest由于受到这种恶意攻击，不得不在12月份关闭其公司网站。那么，Visa将会成为phishing的下一个攻击目标吗？

    尽管垃圾邮件制造者利用phishing仿冒合法公司网站，以窃取用户的个人资料和信息；但是根据被骗的合法公司的交易政策，消费者还是可能避免损失的发生。Jevans说：大多数针对消费者个体的犯罪其诈骗金额大都在100美元之内。这是由于在短时间内，小规模的交易往往不易引起人们的特别注意。迄今为止，phishing攻击报告中记录的最大金额案例是16，000美元。如果诈骗者利用phishing获取到用户的信用卡帐户信息，那么无论对持卡者或销售商来说，都意味着将面临损失的风险。Jevans同时指出，诈骗者利用phishing进行大额欺诈时，其攻击对象通常由消费者个体转向公司或企业。

    与信用卡交易密切相关的金融风险，对公司来说不仅仅是巨额财产的损失。许多案例中，当消费者受phishing欺骗而蒙受损失时，同样作为受害方的合法公司为维持与消费者的良好合作关系，不得不赔偿他们损失的所有资金，即便公司政策并没有明确规定他们有义务进行这样的赔偿。这便涉及到一个赔偿底线的问题，澳大利亚一些银行采取的做法是预留200万美元的专项基金，用于因phishing引起的损失赔偿。

    Jevans同时例举了phishing引起的其他领域的损失。当NatWest被迫关闭其网站时，为方便与消费者进行联系，它们不得不支出大笔费用设置和维持人工电话服务。在这种情形下，由于线路繁忙很可能导致消费者失去耐心，从而放弃购买。

    此外，当大量用户帐号被phished成功获取之后，将导致另一种意想不到的费用的产生。即：为每个用户发行新信用卡、帐号和密码的费用大约是50-60美元。由此可见，如果有2000个帐户遭到窃取，其费用的极速增长是惊人的。同样，一旦phished成功地仿冒了一家合法公司的网页，原本可信任的联系方式（尤其是电子邮件）即被破坏。结果导致合法公司通过电子邮件与消费者保持联系的方式，更加难以得到实现。

    被欺骗的合法公司所关注的主要问题是赔偿责任。目前，因phished成功窃取帐户而蒙受损失的消费者，正对反Phishing工作组成员之一的一家公司提出赔偿诉讼。无论原告方最终是否胜诉，都将是一个热点话题。但是对于公司而言，无论这场官司的输赢结果如何，他们都将面临失去这些客户的可能。为试图掩盖窃取手段，大多数的phishers都是利用他们非法潜入的Web服务器发布仿冒网页。在这种情形下，Web服务器的操作者（或管理员）完全有可能因安全工作疏忽而受到诉讼。

    尽管phishers试图恶意地利用任何商业交易行使诈骗，但人们还是想方设法阻止它的发生。例如：针对垃圾邮件的解决办法，主要依赖技术、立法和社会的共同影响作用。目前最亟待解决的问题，是如何制止涉及phishers陷阱的垃圾邮件，Jevan指出这是一个技术性要求。例如：当phisher通过非法潜入一个合法的服务器进行网页发布时，不能仅仅简单地停止这台服务器的运行，或者通过Internet服务提供商（ISPs）切断所有路径。在某些情况下，上述措施是需要做的事；更多的时候，需要与服务器操作员（或管理员）协同工作，删除那些仿冒网页。

    Jevans提醒说：一份phishing报告仅仅得到最及时的处理响应仍然是不够的。这是因为在一个网站或Web网页被隔绝之前，phishing电子邮件可能在19小时到6天内发送到任何地方。此外，利用国外网站发布仿冒网页，将使phishing获得更多的时间，我们能够看到越来越多东欧和亚洲的网站被phishing侵入并利用。通常，当一个合法的公司网站关闭时，其损失也随之产生。Jevans强调指出，诈骗者利用phishing窃取的资金往往通过一个临时性帐户，最终以转帐方式流入他们的国外帐户。因此，期望追踪被窃资金的流向几乎是不可能的。

    作为用户应该加强防范意识，谨慎地关闭那些值得怀疑的网页。当我就PayPal phishers问题与EBay的公关部门取得联系后，他们建议我发送邮件到spoof@ebay.com进行报告归档。从我收到第一封PayPal phishers电子邮件，到我将报告提交给spoof@ebay.com的两个星期中，仿冒的PayPal网页一直存在；然而，在报告提交后的24小时内，我收到来自eBay的一个回复，它们确认那个网页是欺骗性的，并且公司就此已经采取了相应的行动。当我试图用浏览器再次链接那个网页时，它已经不存在了。显然EBay已经对仿冒网页采取了隔绝措施。之后，我希望了解EBay关于处理提交报告的更多细节，并询问他们是否在对恶意诈骗者进行追查，但公司拒绝对此发表意见。这并不令人感到惊讶。反Phishing工作组的成员大都是主要的金融机构和《财富》500强公司组成。显然，为避免不良影响，他们中的大多数不愿提及与phishing有关的事件。

    "从技术上来说，由于phishing也是一种垃圾邮件，因此，人们可以运用相同的垃圾邮件处理工具对它进行隔绝。例如：对Web和电子邮件进行过滤，"Jevans说。同时，建议公司定期对DNS进行扫描，以检查是否存在一个与公司已注册的相类似的域。Visa上个月受到攻击时，phisher正是使用了visa-security.com。此外，银行在他们发出的电子邮件中启动数字标识（或数字加密），可以指导用户对合法的商业邮件和恶意的垃圾邮件进行识别。

    从社会角度来说，指导和教育是关键。例如：用户需要得到指引和教育，提高对欺骗性电子邮件的识别和处理能力。在这方面，eBay的指导工作是令人满意的，但其他许多公司还没有完善他们的指导措施。Jevans提示用户可以将phishing报告提交到www.antiphishing.org，获取帮助和指导。

    对phishing问题感兴趣的公司通过加入antiphishing.org将受益非浅。作为antiphishing.org的成员，能够分享如何处理这类问题的许多思路和方法。同时，这个组织与其他一些突出的行业工作组结成联盟，共同致力于phishing问题的探索与解决。