全面解析网络安全新威胁“网络钓鱼”式攻击

但是记者在完成这篇稿子之前，浏览了不少国内商业网站，并没有发现关于“网络钓鱼”甚至是关于安全方面的显著提示，当然也没有看到一些验证手段。

在美国和英国已经开始出现专门反网络钓鱼的组织，比如去年11月成立的APWG和今年6月成立的“Trusted Electronic Communications Forum（TECF）”，它们致力于教育用户的目的是终止——至少是降低“网络钓鱼”的攻击。

步骤2：验证

除了教育外，在线品牌还应当通过简单、易用的方式对合法的电子邮件进行验证。常被人冒充的eBay发出警告称，即使发信人写的是“support@ebay.com”和“billing@ebay.com”等内容，也不见得就是来自eBay的邮件。

因为“网络钓鱼”也是一种垃圾邮件，所以人们可以运用相同的垃圾邮件处理工具对网页和电子邮件进行过滤。趋势科技将推出IWSS 2.0，包含名为PhishTrap的反钓鱼技术，利用诈编网站特征数据库来过滤电子邮件。

此外，银行在发出的电子邮件里启用了数位电子签名，现在技术的发展，让“验明正身”更加简单，一旦网络钓鱼者试图伪造一个数字签名，收件人就会收到一条警告信息。当然，用户必须学会识别电子签名。

远期的全球验证项目包括发送者策略框架（Sender Policy Framework）、Yahoo DomainKeys建议和微软的Caller-ID。但是，这些方法要想完善起来尚需时日，而且需要得到在线企业的100%完全认同。

步骤3：确认

Web站点也需要利用某些确认机制来证明自己的合法性。因此，专业身份确认企业CoreStreet最近在其Web站点上贴出一种被称为Spoofstick的免费浏览器助手。当用户在合法的站点，请注意在URL框的下方会出现一个明显的注释，并显示“You're on ebay.com。”如果用户被骗到了一个伪造的站点，该注释便会显示“You're on 10.19.32.4。”