Phishing 无国界

最近在写篇关于网络钓鱼（Phishing）方面的主动保护的文章，还没落笔，一起针对中国银行的 Phishing 事件又发生在面前 …

这个假冒中国银行的网站域名是 www.boconline.org ，现在可能已不能访问了，但前两天我登录上去看了看，页面内容、风格做的挺像，左上角的 “Corporation Banking” 的登录链接 URL 是 “h://icbc/login.asp” ，大概查了一下此域名的登记地址及 ISP 都是印度的。

从这个简单事件可以看出：

• 网络钓鱼也开始全球化了，连接阿三也敢来中国凑热闹 …
• 针对的对象已不仅是个人（对私）用户了，连公司（对公）用户也成为目标，谁不知道公司帐户上钱多呀
• ICBC，是不是很熟悉？这不是中国工商银行嘛！看来此君也是钓鱼专业户呀，惦记得还不少，顺藤摸瓜，发现竟然还有个工商银行的假冒网站：www.icbconline.com（做的也挺像，赶紧去看看吧），刚才已经给 [email protected] 报告了此事，看他们的处理办法和速度了

在前几年，估计没人会想到 Phishing 这种技术上小儿科的东西会给金融机构，安全界带来如此大的尴尬，人家在印度随便下个钩，就可以钓鱼了，虽然成功的机率也不大，但不怕贼偷，就怕贼惦记呀，况且这些大银行的脸上也挂不住呀，咱中国的公安机关也鞭长莫及，短时间奈人家不得呀 …

对付这种情况，提几点主动保护想法：

1) 加强相似域名及新产生的 Web 页的扫描，及早发现 Phishing 网站（估计工行现在还没发现这个假网站呢）

2) 学老美，“先发制人”，正式渠道治不它，只能找几个黑客来攻击它，以暴治暴，呵呵。

3) 对用户教育，教育，再教育。