钓鱼网站是指欺骗用户的虚假网站。“钓鱼网站”的页面与真实网站界面基本一致，欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面，和真实网站差别细微。钓鱼网站是互联网中最常碰到的一种诈骗方式，通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。

早期的案例主要在美国发生，但随着亚洲地区的因特网服务日渐普遍，有关攻击亦开始在亚洲各地出现。从外观看，与真正的银行网站无异，但却在用户以为是真正的银行网站而使用网络银行等服务时将用户的账号及密码窃取,从而使用户蒙受损失。防止在这类网站受害的最好办法就是记住正宗网站的网址，并当链接到一个银行网站时，对网址进行仔细对比。在2003年,中国香港地区亦有多宗案例，指有网站假冒并尚未开设网上银行服务的银行，利用虚假的网站引诱客户在网上进行转账，但其实把资金转往网站开设者的账户内。而从2004年开始，有关诈骗亦开始在中国内地出现，曾出现过多起假冒银行网站比如假冒的中国工商银行网站 。

网络钓鱼利用人类常见的各种感情，如信任、恐惧、贪和善良，几乎所有的网络的鱼都涉及社会工程学的技巧。例如，人们收到银行这类影响力很大的商务邮件时，很多人都不曾怀疑信件的真实性，更会下意识地根据要求打开邮件里面指定的URL进行操作；其次，页面打开后，我们通常都只会留意页面内容而不会注意浏览器地址栏的显示，正是这点让“垂钓者”有了可乘之机。其实“垂钓者”们可以利用E的URL欺骗漏洞把自己伪装得更像一回事似的，只是现在E普遍打了补丁，这种情况下还使用这个漏洞就会“不打自招”了，所以只有极少数“垂钓者”会采用这个方法，有的“垂钓者”根本连个看起来“比较正规”的域名都没有，而是采用P地址形式甚至直接光明正大把真实地址显示在浏览器的地址栏里。因为他们知道，除非出现意外情况，否则大部分人根本是不会注意浏览器的地址栏的 。

伪装成列车信息查询的钓鱼网站

另外的钓鱼方式利用了人类的贪婪。常见的手法比如让收到邮件的用户填写一个表单，以便得到职位、奖金或者礼物。在圣诞节前，钓鱼者发出很多钓鱼邮件，引诱用户说：“圣诞节将至，我们正在组织促销活动，请单击下面的链接使用你的账号和密码登录以获取奖品” 。

“网络钓鱼”

钓鱼的一种常见做法是在电子邮件中包含一个表格，供收件人填写自己的姓名、账号、密码或者PIN号 。

现在大多数用户都已经比较清楚垃圾邮件的特征，并且有很多反垃圾邮件的技术，利用电子邮件进行的网络钓负也是垃圾邮件的一种。不过网络钓鱼在很多方面和一般垃圾邮件有所不同，理解这些不同点对设计反网络钓鱼技术至关重要，下面列举一些网络钓鱼和一般垃圾邮件的主要区别 ：

迷惑性

网络钩鱼和一般垃圾邮件之间第一个重要的区别是网络钓鱼攻击所用的消息和技术具有更大的迷惑性。网络钓鱼所用的消息往往被仔细地伪装成知名的、可信的财务机构。很多反垃圾邮件过滤系统不能区分网络鱼邮件和来自这些机构的正常邮件。网络钓鱼者还经常利用操作系统、Web服务器以及浏览器等的漏洞来愚弄过滤和检测软件、哄骗用户，并且偷窃尽可能多的信息。和一般垃圾邮件相比，网络钓鱼所采用的技术更接近于黑客和病毒 。

目标性

网络的鱼和一般垃圾邮件的另一个不同点在于网络的鱼所有的消息有更明确的目标。一般垃圾邮件发送者为了实现更高的回应率往往向尽可能多的收件人发送垃圾邮件，而网络钓鱼者往往细心地选择一些电子邮件地址作为目标。网络钩鱼者不但要提高回应率，而且还要逃避少数类似垃圾邮件蜜罐系统的特殊检测系统的检测 。

短暂性

网络钓鱼和一般垃圾邮件的第三个区别是网络钓鱼攻击都比较短暂。网络钓鱼攻击的生存期都比较短，常常只有几个小时。相应的，一般垃圾邮件常常会频繁地、大量地发送。由于网络钓鱼是明确的犯罪行为，因此，受到比一般垃圾邮件更大的约束，短暂性的攻击可以让网络钓鱼者逃避检测 。

动态性

网络的鱼和一般垃圾邮件最后一个重要的区别就是它的动态特性。网络钓鱼攻击和它所使用的站点都是动态的，会很快地改变服务器。一般垃圾邮件使用已知的站点为产品做广告，而网络钓鱼者把用户重定向到一个模仿财务机构的临时站点。网络的鱼者往往利用服务器操作系统或者Web服务软件的漏洞,将自己需要的内容安装在一个正常的站点上。如果这些攻击过程采用自动化的网络钓鱼工具来完成(如结合病毒技术)，那么当一个被攻击的站点被发现并且关闭以后，还可以有其他站点来补充，因此，很难追溯到攻击的源头 。

第一、查验“可信网站”

通过第三方网站身份诚信认证辨别网站真实性。不少网站已在网站首页安装了第三方网站身份诚信认证——“可信网站”，可帮助网民判断网站的真实性。 “可信网站”验证服务，通过对企业域名注册信息、网站信息和企业工商登记信息进行严格交互审核来验证网站真实身份，通过认证后，企业网站就进入中国互联网络信息中心（CNNIC）运行的国家最高目录数据库中的“可信网站”子数据库中，从而全面提升企业网站的诚信级别，网民可通过点击网站页面底部的“可信网站”标识确认网站的真实身份。网民在网络交易时应养成查看网站身份信息的使用习惯，企业也要安装第三方身份诚信标识，加强对消费者的保护 。

第二、核对网站域名

假冒网站一般和真实网站有细微区别，有疑问时要仔细辨别其不同之处，比如在域名方面，假冒网站通常将英文字母I被替换为数字1，CCTV被换成CCYV或者CCTV－VIP这样的仿造域名 。

第三、比较网站内容

假冒网站上的字体样式不一致，并且模糊不清。仿冒网站上没有链接，用户可点击栏目或图片中的各个链接看是否能打开 。

第四、查询网站备案

通过ICP备案可以查询网站的基本情况、网站拥有者的情况，对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站，根据网站性质，将予以罚款，严重的关闭网站 。

第五、查看安全证书

钓鱼网站

大型的电子商务网站都应用了可信证书类产品，这类的网站网址都是“https”打头的，如果发现不是“https”开头，应谨慎对待 。

鉴别方法

中国反钓鱼网站联盟成员单位包括：工商银行、农业银行、中国银行、建设银行、华夏银行、光大银行、银河证券、腾讯、淘宝、支付宝等几十家金融机构和电子商务网站，以及中国万网、中企动力、厦门中资源、厦门华商盛世、阿里巴巴、ChinaSpringboardInc.等国内主要的域名注册服务机构。“中国反钓鱼网站联盟”并非官方机构，它的成员包括了域名管理机构、注册服务机构，以及银行证券类、电子商务类、网络安全类等企业，目的就是为了发现和治理“钓鱼网站”，主要是针对假冒其成员单位的“钓鱼网站”。该联盟在接到涉及联盟成员的投诉后，权威技术鉴定机构会立即对其进行判定，一经认定，两个小时内暂停其域名解析，终止欺诈行为。从处理的及时性上大大降低了“钓鱼网站”所造成的危害 。