引:当被问及如何防范网络钓鱼时，安全专家立刻会说——加强对用户的教育。“对用户的教育总被当成是徒劳无益的，”

　　安全顾问Robert Ferrell说，“说出来令人难以置信，很多人要通过专门学习之后才知道电子邮件的附件不可以随便打开。常识无法“升级”，智力不能“安装”，在网络安全这根链条上，人总是最薄弱的环节。仅仅告诫人们网络钓鱼的危害是不够的，安全专家敦促企业不要发送包含网络链接的电子邮件。”

　　“企业不应当在电子邮件中包含链接，并且要确保用户清楚这一点，”Ferrell说，“告诉用户你在什么地方，让他们自己过来，而不是派辆车去接他们。”

　　许多企业开始使用私人信息中心这种手段来做到这一点，例如eBay就为每个用户提供了收信箱，这个信箱位于eBay的网站上，名为My Messages。JPMorgan Chase也采用了类似的方法，对于需要经常访问这些网站的用户而言，这种措施是行之有效的，因为他们的收信箱里面不会被塞满不可靠的促销邮件。

　　EathLink和Comcast在给客户的电子邮件中以及其网站上都明确说明，该公司的技术支持人员和业务代表会向客户询问哪些信息，以及通过哪些途径来询问这些信息。例如，在进行技术支持之前，公司的业务代表可能会通过电话或以在线的方式询问用户的社会安全号码的最后四位数字，但是绝对不会通过电子邮件。

　　从长远来看，企业需要认可并使用通用、防伪、易于使用的电子邮件认证手段。有一种配合S/MIME使用并且得到多数电子邮件程序支持的可靠发信人证书，可以帮肋收信人确认邮件的合法性，并可以确认发信人已经通过了独立认证机构的认证。

　　但最终黑客仍然会攻破这种认证机制，正如他们成功地伪造其他安全证书和浏览器中的锁形安全图标一样。专家们认为，解决网络钓鱼最根本的方法是建立全球性的认证标准，保证电子邮件都来自于邮件中所声称的那个域。专家建议将这种邮件的“发信人标识”和可靠的认证工具结合起来，捆绑到浏览器中，这样当用户登录伪造的网站时，浏览器就会发出警告。

　　除此之外，IT行业还应当对那些注册与合法企业域名过分接近的企图予以注意。网络钓鱼行为往往会涉及此类域名，例如“paypaI.com”，发现其中的奥妙了吗?这里的大写I和小写的l很接近。

　　如果你的公司在美国成为网络钓鱼的攻击目标，你应该立刻和当地的FBI IC3部门联系。仅仅向上游ISP进行投诉让他们关闭钓鱼网站可能行不通，因为他们的经济利益和垃圾邮件以及钓鱼邮件直接相关。

　　还有一个好主意，在你的网站上提供警示信息，同时提供信箱供用户报告网络钓鱼行为。另外还可以参加相关的组织，比如Anti-Phishing Working Group和Digital PhishNet。当然，最有效的防范手段就是将自己掌握的钓鱼行为的可靠线索拿出来和大家分享。

　　Mark Menton是一家在线零售公司的网络主管，当谈及如何让系统既便于使用又可靠安全时，他认为网络钓鱼行为迫使企业采取更加有效的安全策略，他说：“如果对所有客户的账户进行监视，工作量会过于庞大，我们将不胜其烦，而且还要对软件进行升级。我们需要一种更加有效的客户身份验证手段，而不是仅仅靠用户名和密码对其身份进行验证。”

　　企业共享网络钓鱼信息

　　网络钓鱼者要小心了，当你打别人主意的时候，别人也在注意你们，FBI还想把你们投入监狱。

　　企业正在通过名为Digit PhishNet的组织联合起来，和FBI一起共享关于网络钓鱼以及伴随网络钓鱼出现的破坏活动的信息。

　　Stirling McBride是微软的安全调查员，他最初推动了该组织的工作。微软的安全部门也在对网络钓鱼事件进行监视，并向FBI IC3提供信息，这些钓鱼行为涉及AOL、EathLink和Lycos等网站。

　　PhishNet反钓鱼的主要工具是一个数据库，该组织的成员将网络钓鱼者的IP地址、钓鱼网站的注册以及主机提供者这些信息输入数据库。美国的National Cyber Forensics and Training Alliance会对这些数据进行分析，整理出案犯的资料并移交给执法部门处理。

　　“对有关网络钓鱼的信息进行整合有利于我们集中注意解决最主要的案件，”来自联邦调查局IC3 的Dan Larkin说，“Digital PhishNet起到了桥梁的作用，他们从数量众多的网络钓鱼受害者那里收集信息并将这些信息直接提供给执法部门，这个过程是实时进行的，因此我们可以在罪犯遁形之前掌握这些信息。”

　　Larkin还强调时间是很关键的因素。“我们必须像网络钓鱼者一样行动迅速——他们可以在几天之内建起假冒的网站，收集受骗者的信用卡信息或者其他信息，然后立刻关闭网站。”

　　Digital PhishNet的创始成员包括AOL、Digital River、EarthLink、Lycos、 Microsoft、 Network Solutions、VeriSign、联邦调查局、联邦贸易委员会、美国密勤局和美国邮政监察局。

　　企业可以在其网站www.digitalphishnet.org上注册来加入这个组织。