你知道将来的网络钓鱼会是啥样子吗

 
    所谓的“尼日利亚骗局”已经过时了。网络钓鱼骗局不再仅仅是这种拼错字母、一看就知道靠不住的诡计，它们不断充斥你的收件箱，索要你的银行代码。在接下来的一年，安全专业人士提醒人们要防范窃取银行代码的漏洞，这种骗局极其狡猾，而且更容易让人信以为真——它们乔装打扮，隐藏在看似没有危害的媒介里面，比如信誉卓著的网站上的标题广告，或者社交网络上的某个朋友发来的邮件。
    去年11月，安全公司Sunbelt Software发现，网上规模最大的广告服务平台DoubleClick在诸多网站上投放的成千上万个广告链接到了恶意网页，这些网页旨在把恶意软件安装到用户的桌面系统上。而在同年12月底，一种蠕虫通过谷歌公司的社交网络网站：Orkut四处蔓延，结果感染了数十万个帐户，把邮件从一个朋友发送到另一个朋友。

    这两种漏洞其实都是窃取用户的银行账户信息。DoubleClick投放的被感染广告把软件安装到了许多机器上，煞有介事地警告用户防止病毒感染，还像模像样地建议用户应当购买扫描程序。Orkut蠕虫是一种试验性质的攻击，只是警告用户他们已受到了一封葡萄牙邮件的感染。

    Gartner公司的分析师Avivah Litan表示，但诸如此类采用新手法的诡计可能预示着今后的骗局。在去年12月中旬，Gartner发布的一项调查显示：在截至2007年8月的12个月期间，互联网用户因网络钓鱼攻击而蒙受的损失多达32亿美元——那些骗人的电子邮件企图诱骗用户透露银行账户信息。这比前一年同期因网络钓鱼而蒙受的损失：28亿美元有增无减。Litan表示，导致损失增加的是更加用心险恶的骗局：据这项调查显示，在今年收到网络钓鱼电子邮件的用户中，上当受骗的占了3.3%，而前一年只有2.3%。

    Litan表示，网络钓鱼攻击者采取的手段之所以越来越有效，其中一个原因就是：网络犯罪分子不是在骗人的电子邮件中或者网站上直接索要银行账户信息，而是利用了隐藏的恶意软件；这些软件下载到用户的桌面系统上后，会监控用户在网上的一举一动，并且伺机记录银行代码。这意味着，不需要用户本人透露财务信息；只要他们点击链接，就会被引到感染了恶意软件的网页。

    网络广告可能是很容易安装这些恶意程序的一个途径。Gartner公司的调查估计，在接下来的一年，30%的恶意软件将由欺骗性的网络广告来分发。Litan说：“那些广告网络没有进行适当的审查。实际上，如果每次跳出一则广告，你就要检查里面有没有恶意软件，那么这将耗用庞大的计算功能，各一个环节也会慢下来。”

    Litan还强调了社交网络可能是网络犯罪分子使用的一种工具。网络钓鱼攻击者只要利用Facebook或MySpace等网络上的社交关系，就可以向该网站的用户发送邮件——用户觉得邮件似乎是朋友发来的；并建议用户访问实际上已被窃取银行代码的软件感染的网页。像最近的Orkut蠕虫这种病毒甚至还会劫持用户的帐户，在社交网络本身内部发送恶意软件编写者精心策划的邮件。

    据安全软件公司赛门铁克的研究人士Zulfikar Ramzan声称，Orkut病毒在短短的24小时内感染了70万个用户。他表示，虽然编写这种病毒的似乎是一个企图扬名立万的黑客，但实际危害可能要大得多。

    Ramzan说：“从更一般的意义上来说，网络钓鱼就是一种社交操纵手段。它利用像Paypal这样备受信赖的知名网站来说服你去访问某网站。但如果你看到邮件称这是朋友发来的，它就能利用你对朋友的那种信任来从事不法勾当。”