目前，每一個(gè)在線的銀行站點(diǎn)都把“反網(wǎng)絡(luò)釣魚(yú)技巧”作為他們站點(diǎn)的一項(xiàng)活動(dòng)，來(lái)教給普通電腦用戶如何對(duì)付那些想收集他們私人信息的討厭的電子郵件。當(dāng)這項(xiàng)教育活動(dòng)剛剛有些起色的時(shí)候，這些技巧中的許多、甚至有些還是來(lái)自安全專家的建議，事實(shí)上是很可疑的、不正確的或者容易對(duì)用戶產(chǎn)生誤導(dǎo)的。本文揭穿了大多數(shù)的謠傳。并且，在本文的后半部分，我們還給出了一些提示，可以幫助你識(shí)別正當(dāng)?shù)暮兔芭频膚eb站點(diǎn)。

　　陷阱1：安全的、加密的web頁(yè)面是一個(gè)正當(dāng)web站點(diǎn)的象征。

　　與常規(guī)的建議相反，決不要僅僅依靠“https//”前綴或者一個(gè)掛鎖的圖標(biāo)就認(rèn)為那是一個(gè)“安全”的頁(yè)面。對(duì)于一個(gè)釣魚(yú)站點(diǎn)來(lái)講，擁有一個(gè)有效的SSL認(rèn)證是完全可以做到的。你應(yīng)該檢查一下認(rèn)證的詳細(xì)信息，來(lái)查看一下對(duì)“用戶名”字段的認(rèn)證是否能夠匹配該組織網(wǎng)站的主機(jī)名，但是這可能需要掌握一些專門(mén)的技術(shù)。

　　陷阱2：通過(guò)“輸入授權(quán)的用戶名”進(jìn)行安全保護(hù)，單擊這里進(jìn)行認(rèn)證。

　　你曾經(jīng)看到過(guò)這個(gè)嗎？知道嗎，它們是沒(méi)有用的。這個(gè)提示通常出現(xiàn)在splash窗口上，點(diǎn)擊要求進(jìn)行認(rèn)證的鏈接并不能夠保證你就能夠連接到一個(gè)合法的web站點(diǎn)上。

    陷阱3：地址欄總是顯示正確的URL。

　　另一個(gè)有缺陷的建議就是說(shuō)要查看地址欄，看是否是一個(gè)正確的URL。這并不足以確定一個(gè)web站點(diǎn)就是合法的。網(wǎng)絡(luò)釣魚(yú)者能夠利用瀏覽器軟件中的漏洞在地址欄中使用欺騙的信息。另一種類型的攻擊（DNS欺騙）也能夠欺騙你讓你相信你所訪問(wèn)的是一個(gè)合法的web站點(diǎn)。

　　陷阱4：把鼠標(biāo)移動(dòng)到鏈接上你就會(huì)在狀態(tài)欄上看到真實(shí)的URL。

　　狀態(tài)欄的顯示的文本很容易就可以改變的。事實(shí)上，它甚至比在地址欄進(jìn)行欺騙更容易。

　　陷阱5：反釣魚(yú)軟件能夠防止欺騙發(fā)生。

　　與防病毒軟件類似，它對(duì)新的惡意代碼是無(wú)能為力的，你的反釣魚(yú)瀏覽器插件（通常是在互聯(lián)網(wǎng)上可以免費(fèi)下載的）是不能夠發(fā)現(xiàn)所有的釣魚(yú)企圖的。相反的是，這樣會(huì)在你的瀏覽器中增加軟件（通常是可疑的軟件）讓你容易受到特定軟件的攻擊。

　　陷阱6：一封包含你個(gè)人信息的電子郵件合法的。

　　如果你收到一封來(lái)自銀行的電子郵件，其中包含你的姓名和你的帳戶信息（或者一部分信息），這可能就是一封進(jìn)行欺騙的電子郵件。網(wǎng)絡(luò)釣魚(yú)者能夠通過(guò)一些組織的公共數(shù)據(jù)庫(kù)或者數(shù)據(jù)漏洞獲得一些你的個(gè)人信息。

　　陷阱7：登錄你曾經(jīng)知道是合法的web站點(diǎn)就是安全的。

　　不，千萬(wàn)不要這樣認(rèn)為。網(wǎng)站的漏洞（稱作Cross-Site Scripting漏洞）能夠讓一個(gè)老練的攻擊者使用表單在公司的站點(diǎn)上進(jìn)行重定向，把你重定向到攻擊者的web站點(diǎn)上，一旦你點(diǎn)擊了“Login”或者“Enter”按鈕它就會(huì)捕捉到你的認(rèn)證信息。

    閱讀下面的建議能夠防止這樣的事情發(fā)生。

　　你應(yīng)該怎么做才能夠避免被欺騙：

　　提示1：不要點(diǎn)擊你的電子郵件中的鏈接。

　　如果你收到了一封銀行的郵件向你詢問(wèn)一些事情，不要點(diǎn)擊電子郵件中的鏈接，也不要使用電子郵件中的表單進(jìn)行登錄。取而代之的是，打開(kāi)你的瀏覽器，直接打開(kāi)該銀行的web頁(yè)面，在那里進(jìn)行登錄，然后再做你要做的事情。即使這封郵件來(lái)自你知道的某人，也不要點(diǎn)擊這個(gè)鏈接。

　　提示2：無(wú)效的認(rèn)證信息通常在假扮的web站點(diǎn)上起作用。

　　如果你感覺(jué)到一個(gè)站點(diǎn)有些可疑，就使用虛構(gòu)的用戶名和密碼進(jìn)行登錄。如果這個(gè)站點(diǎn)出現(xiàn)“登錄失敗”的頁(yè)面，只能說(shuō)明你可能是在一個(gè)合法的站點(diǎn)上。它不可能總是使用模擬的登陸失敗來(lái)仔細(xì)檢查用戶的輸入的，在收集了認(rèn)證信息后它就會(huì)重定向到合法的站點(diǎn)上了。如果你用虛構(gòu)的認(rèn)證信息通過(guò)了認(rèn)證，那很顯然，這是一個(gè)釣魚(yú)陷阱了。

　　提示3：使用電子郵件向你懷疑的公司報(bào)告信息。

　　大多數(shù)財(cái)政機(jī)關(guān)都設(shè)立專門(mén)的電子郵箱來(lái)接收安全問(wèn)題報(bào)告。如果你懷疑一個(gè)消息有釣魚(yú)企圖，就把這個(gè)消息轉(zhuǎn)發(fā)給那個(gè)機(jī)關(guān)。你應(yīng)該包含完整的電子郵件頭部信息。不要期望得到它們的回復(fù)，因?yàn)樗麄兪盏搅藬?shù)以千計(jì)這樣的報(bào)告。