网络钓鱼是一种特殊形式的社交工程。网络钓鱼者一般不会像垃圾邮件那样盲目地将成千上万的邮件发送给随机用户，而是往往有着具体目标。

网络钓鱼一般是通过电子邮件或恶意网站来发起的，其意图是通过扮演某个用户已经认识或信任的人来获得用户信任。其获取用户信任的手段是使用用户已经认识的人的邮件地址或姓名，或是使用有名望的机构的名称来取得用户的信任。其扮演的机构可包括银行(如工商银行)、电子商务网站(如京东、淘宝)，或是其它公司或企业。“这些机构”的邮件消息可能要求用户的账户信息去验证其身份，或者可能提示用户：你的账户或货物发生了问题。钓鱼攻击也可以由即时消息通信、文本通信、打电话等来发起，但其基本伎俩却是类似的。

除此之外，钓鱼攻击还可以利用慈善机构或企业的名称或声誉，甚至可以利用当前发生的事件(如埃博拉病毒的暴发)、灾难(如地震、洪水泛滥)等。

钓鱼邮件或网站往往利用恶意软件、病毒或其它恶意代码来破坏用户的计算机，并获取关于用户的进一步的信息。其发出的消息可能指出用户的名字，看起来就如同来自亲朋、同事，或是来自企业正在合作的伙伴。换句话说，这类邮件可能在多个方面看都是合法、合情、合理的。

虽然今天钓鱼攻击的基本概念并没有什么变化，但是，其实施和利用漏洞的手段已经发生了变化。在2014年下半年以来，一种新型的攻击开始利用常见的钓鱼技术，并部署银行恶意软件。这种钓鱼邮件的目的是欺骗接收者打开附件中的PDF文件(如标题为“未付款发票”的文件)。

这种攻击的有效手段为银行恶意软件，它利用的是一个新的Adobe漏洞。虽然此漏洞并不是零日漏洞，但补丁的部署和更新往往姗姗来迟。攻击者就是利用这种延迟，部署其钓鱼机制，并耐心等待，在发现新漏洞时，就可以快速发动攻击。

还有另一种形式的钓鱼威胁也值得一提，因为它依赖的是一种不同类型的东西，即欺诈软件。这种恶意软件不会窃取或检索用户的个人信息(姓名、银行信息凭证等等)，这种恶意软件可以加密受感染的计算机上的文件，并要求用户付款。

【用户为何屡屡中招】

钓鱼攻击早已横行多年，而且其伎俩具有相当的连续性，但用户仍屡屡中招?

1、对熟悉事物的警惕性低

我们大多数人往往对熟悉的事物很容易相信，如果这些用户收到了一份电子邮件消息，告诉其信用卡信息遭到泄露，或是忘记了付款，这些用户就有轻信的倾向。如果用户收到了某个认识的人的邮件，就很容易相信。

2、被恐惧冲昏了头脑

如今信用卡信息遭到泄露的新闻屡屡见诸各种媒体，还有一些大型企业遭到黑客攻击，成千上万的客户记录被泄露。人们一般都担心自己会有财务损失，或者其信用受到负面影响。钓鱼邮件就是利用人们的这种心理，要求用户来不及思考其真假就快速做出响应。

缺乏网络安全意识

3、 教育一直是信息安全的首要工作。多年以来，安全专家们都知道人员是防御阵线中的最薄弱环节。在网络钓鱼问题上，尤其如此。如果不理解这一点，势必会出问 题。许多人至今都不理解与使用互联网及其资源有关的各种风险。电子邮件及其附件、网站、文件下载等每天都有可能给员工和企业带来各种风险。

【如何防范识别网络钓鱼】

网络钓鱼尝尝会伪装成我们熟悉的事物来获取我们的信任，从而使得我们轻易的将信息泄露出去，所以识别钓鱼网站非常重要。很多企业特别是电商网站，银行网站在信息安全方面做了很多工作，如向CA机构(沃通WoSign CA)申请SSL证书实现https加密访问，进行真实身份认证和加密网站数据，消费者可以通过https连接来区分真实网站和钓鱼网站，钓鱼网站无法获得https证书，从而无法仿冒https连接，这是目前区别钓鱼网站和真实网站最有效的方法之一。同时，消费者要认准正规网站的域名(网址)而不要觉得页面内容看起是真的它就是真的。再次，不要在任何一个站点轻易的将自己的个人信息交出去，除非你非常认定其就是要你要找的站点。