【案例导读】

    上网务必要注意，尤其是涉及到银行账号等重要信息时，因为有一批电脑高手专门盗取大家的账号，而且手法很不容易被发现……

    【案例正文】

    如今的网络钓鱼骗术也在不断发展，与时俱进，让人越来越难以防范。

    网络钓鱼是近来经常在网上出现的一种诈骗方式，它利用向别人发送垃圾邮件，将受害者引导到一个假的网站，这种网站通常会做的与电子银行等网站一模一样，某些粗心的用户往往就会不辨真假，乖乖填入自己的账户和密码。不过随着媒体对这种骗术的广泛曝光，公众对此已有足够警觉了。

    但是常言说得好，道高一尺，魔高一丈。最新的网络“鸡尾酒钓鱼术”更是以假乱真到了不可思议的地步。与过去的钓鱼术通常使用的是仿冒站点和假链接不同，如今的骗子们直接利用真的站点行骗，即使是有经验的用户一不小心也会中招。

    这种新的骗术将传统的网络钓鱼与一种称为跨站点脚本技术结合起来，通过诱饵邮件中的包含嵌入脚本的链接触发。

    用户只要点击了邮件中的此类链接，就会被带到一个正常的银行站点，同时恶意的脚本会在用户电脑上弹出一个小窗口，这样看起来小窗口就像是银行站点的一部分（其实不是），不知情的用户往往就会在这个小窗口中填入登录帐号和密码等。除了小窗口，恶意脚本还有可能在后台下载木马和病毒等，将监控到的用户输入的账号和密码发给骗子。

    最恐怖的是，利用上述跨站点脚本技术，骗子们还可以在银行站点的网页中嵌入自己的内容，将访问的用户导向自己站点。因为这是一种客户端技术，所以(重庆龙网校园http://www.cq1234.com)银行网站肯定发现不了这种变化，往往只有在愤怒的用户上门投诉时，无辜的银行才知道自己的品牌形象已经受损。

    如今各类网站都在竞相提供动态内容，这在丰富用户浏览体验的同时，也为骗子们提供了机会。

    根据网络安全组织CERT的说法，那些动态的网页比较容易遭到这种攻击，而静态的网页相对而言比较安全。因为动态网页的内容是随着用户的访问而生成的，服务器端无法知道自己生成的内容到底有多少在用户的浏览器上被显示出来，又有哪些第三方内容被中途添了进去。

    商业企业应立即行动起来，保护用户免受这种新型骗术的侵害。具体而言，应加强对用户的沟通和教育，告知用户不要点击邮件中的链接，尽量直接在地址栏中输入网址，或者从收藏夹中选择要访问的站点。

    看起来，这种鸡尾酒钓鱼骗术利用了人们寻求方便的心理，通常大多数用户在有链接可点的时候，是不会费力输入一长串网址的。

    当然，企业网站在设计开发时可以通过编程来防止这种钓鱼术，不过这样做的成本太高，不仅所有的应用需要重写，而且因为这种骗术的恶意代码有很多种，将每一种都防到不太现实。

    另一种方法是，直接在企业WEB应用之外再架设应用防火墙，负责检查访问请求代码是否合法，这样就将WEB应用开发和WEB应用安全的工作分开了，有助于减轻开发者的负担。