安全上网篇：谨防垃圾邮件和在线欺诈:谨防欺诈

　　随着春节的日益临近，除了探亲访友、结伴逛商场、出外旅游等活动以外，我们还可以选择网上购物、网络视频、网络游戏等新的过年方式。你可以在网上预订心仪的礼品，然后躺在家中等着送货员的到来，可以在网络上与众多游戏玩家切磋“武艺”，还可以与远在天涯海角的亲友“视频拜年”……
　　作为传统年俗的附属和补充，“网上过年”给过春节的方式增添了不同寻常的“高科技”味道。但是在享受互联网带来的春节气息外，规避各种安全风险和低俗信息，同样必须为网友所重视。本期《计算机世界》产品与市场版从多个应用角度出发，介绍了“网上过年”的种种乐趣和注意事项，以求让读者过上一个满意的“网上春节”。
　　（本报记者胡镌芮）收发邮件和浏览网页是现代人们日常工作和生活离不开的两个基本功能。在过年期间更是如此。然而，有多少人知道，这两个极大丰富我们生活的沟通工具，隐藏着多少风险？我们应该如何应对？
　　2007年1月，美国超级碗杯的橄榄球比赛即将开赛，迈阿密海豚队和海豚体育场的网站成为众多球迷争先浏览的网页。然而浏览这两个官方网站的人却遭了殃: 自己的PC机中被种下了恶意程序，直到许多天以后才被发现。
　　2007年年中，印度银行的网站也出现了同样的问题: 该网银的客户在正常浏览其网页时，自己的PC机中也被安装了各种恶意程序。直到很多天后用户发现了问题并通知银行时，银行依然浑然不觉。
　　这是2007年出现的最新的攻击方式: 黑客利用正常网站中的iFrame漏洞，在网站页面没有任何异常的情况下，将恶意代码（如键盘测录程序等）悄悄地挂在合法网站中，并安装进浏览该网页的个人计算机中，然后偷取个人资料或者发动僵尸网络攻击。上述两类网站是攻击者最常选择的目标，因为他们会挑选浏览数量最多的网站，以便偷取更多人的信息。
　　事实上，这看似只是一些正常的网站遭遇到了新型攻击，但倒霉的是浏览它的普通用户。而一些专门引诱人们浏览的恶意网站更是不计其数。2007年5月，Google对由Google搜索crawler索引的所有网页存在的恶意软件进行分析后，发布了一项研究报告，指出目前有十分之一的网页感染了恶意代码，而70%的基于Web的感染出现在“合法网站”中（这是指那些声誉中等偏上的网站）。
　　
　　编辑点评
　　我们总是被教育不要浏览那些不知名的非法小网站，但没想到大型网站也存在风险。收发邮件是人们的另一大日常习惯，春节期间更是如此。虽然我们通过媒体和厂商的不断宣传，了解到垃圾邮件与病毒、僵尸网络、钓鱼**关系紧密，但这种紧密程度究竟有多高？Cisco旗下的反垃圾邮件厂商IronPort公司大中国区经理吴若松曾表示: 邮件与网页安全目前已经成为一个不可分割的整体，事实上很多网页不安全风险是首先通过邮件开始的。
　　IronPort最近发布的一项全球调查报告显示，2007年，通过点击邮件中的网络链接而感染病毒或被种上木马程序的比例比2006年增长了253%，这些攻击以多种方式发送看起来无害的信息（比如纯链接的电子邮件），但是当其中的URL指向一个危害并利用过电脑、或被恶意软件感染的Web服务器时，就会导致严重损害。
　　吴若松表示，由于人们已经被教育养成了不打开可疑邮件附件的习惯，病毒程序通过附件传递的可能性在减少。于是恶意软件编制者更多采用文本方式传递恶意网站链接，只要人们一链接上网，就会在电脑中下载恶意程序。
　　但这并不表明附件形式的恶意程序就停止不前了，事实正好相反，附件形式的恶意程序在不断出现变种，从最初的Word文件，发展到图形文件（.JPG）、压缩文件（.ZIP），2007年又发展到.pdf文件，并且由于新型Feebs病毒的出现，它可以伪装成朋友发来的邮件，令人防不胜防。
　　
　　注意陷阱
　　针对垃圾邮件和在线**，IronPort为普通用户提出了以下10点建议:
　　一、采用身份保护技术
　　很多身份保护技术提供个人信用报告，你可以从中查看你的信用历史并验证其是否最新、最精确。很多服务允许你每天监控信用情况，并提醒任何可疑的活动――用你的姓名开账户或查询你的信用文件;
　　二、不要轻易使用主邮件地址
　　在网上随意使用主邮件地址，容易导致垃圾邮件制造者有更多的机会把你加入到他们的邮件列表中。可使用临时或不重要的账号进行在线交易;
　　三、使用临时或一次性信用卡
　　在上网时，使用临时或一次性的信用卡，很多银行都提供此类信用卡以避免信用卡被滥用;
　　四、不要打开来历不明的邮件
　　尽可能不要打开可疑邮件，因为这些邮件中经常会包含一些软件程序，能让可疑邮件制造者判断哪些邮件地址收到并打开了邮件。绝大多数可疑邮件都是垃圾邮件;
　　五、不要回应可疑邮件
　　对于来自未知或可疑地址的邮件，最好的方法是删除它们，或让垃圾邮件过滤器隔离它们。如果你回复垃圾邮件，甚至要求把你的邮箱地址从他们的邮件列表中删除，他们会确定你的邮箱地址是有效的，那么你的收件箱将成为更多垃圾邮件的目标;
　　六、不要点击可疑邮件中的链接
　　如果你点击垃圾邮件中的链接（即使是“退订”链接），你的计算机也可能会感染间谍软件或病毒。如果邮件（看上去来自你的银行、信用卡公司、eBay、PayPal等等）中要求你点击某个链接验证账户信息，千万不要！这表明他们已经拥有你的详细账户信息，因此验证或确认是不必要的。简单地删除邮件即可;
　　七、不要购买邮件中提供的内容
　　垃圾邮件之所以存在是因为有利可图。发送一百万封邮件的成本几乎可以忽略不计。一百万人中有一个人购买他们的东西，他们就能赚钱。永远不要从垃圾邮件发送者那里购买任何东西;
　　八、不要相信你读到的每一件事情
　　在节日期间，转发警告邮件和带链接邮件是很普遍的事情。垃圾邮件发送者可以从这些转发邮件中获得大量的邮件地址信息。经过多次转发，这些邮件可能会包含数百个有效的邮件地址;
　　九、确保你的ISP或公司拥有反垃圾邮件、病毒和间谍软件保护
　　垃圾邮件经常与病毒有关，因此我们同时需要反垃圾邮件和反病毒保护。垃圾邮件中的链接经常指向包含间谍软件或恶意软件的网站。在网关处有反垃圾邮件、反病毒和反Web恶意软件保护非常重要。向你的ISP或IT部门确认拥有抵御这些威胁的安全措施;
　　十、利用常识识别
　　如果信息看上去就像垃圾邮件或网络**，很可能它们就是。删除它们。