反網釣措施已經實現將其功能內嵌於瀏覽器,作為瀏覽器的擴展或工具欄,以及網站的註冊表程序的壹部分。下面是壹些解決問題的主要方法。 大多數網釣盯上的網站都是保全站點,這意味著的SSL強加密用於服務器身份驗證,並用來標示在該網站的網址。理論上,利用SSL認證來保證網站到用戶端是可能的,並且這個過去是SSL第二版設計要求之壹以及能在認證後保證保密瀏覽。不過實際上,這點很容易欺騙。
表面上的缺陷是瀏覽器的保全用戶界面 (UI) 不足以應付今日強大的威脅。通過TLS與證書進行保全認證有三部分:顯示連接在授權模式下、顯示使用者連到哪個站、以及顯示管理機構說它確實是這個站點。所有這三個都需齊備才能授權,並且需要被/送交用戶確認。
安全連接:從1990年代中期到2000年代中期安全瀏覽的標準顯示是個鎖頭,而這很容易被用戶忽略。Mozilla於2005年使 用黃底的網址欄使得安全連接較容易辨認。不幸的是,這個發明後來被撤銷,導因於EV證書:它代以對某些高價的證書顯示綠色,而其他的證書顯示藍色 (譯按:Mozilla Firefox 3.x版非EV證書的安全瀏覽網站皆顯示藍色)。
哪個站:用戶應該確認在瀏覽器的網址欄的網域名稱是實際上他們要訪問的地方。網址可能是過度復雜而不容易從語法上分析。用戶通常不知道或者不會鑒別他們想要鏈接的正確網址,故鑒定真偽與否變得無意義。有 意義的服務器認證條件是讓服務器的識別碼對用戶有意義;而許多電子商務網站變更其網域名成為他們整體網站組合的其中之壹 (譯按:極端例子像 化妝零售部A.百貨B.行銷公司C.電視臺這樣子網域的架構),這種手段讓困惑的機率增大。而壹些反網釣工具條僅顯示訪問過網站域名的做法是不夠的。
另壹種替代方法是 Firefox 的 寵物名(petname) 附加元件,這讓用戶鍵入他們自己的網站標簽,因此他們可以在以後再度造訪該站時認出。如果站點沒有被認出,則軟件會警告用戶或徹底阻攔該站點。這代表了以用戶為中心的服務器身份管理。某些人建議用戶選定的圖像會比寵物名效果要好。
隨著 EV 證書的出現,瀏覽器壹般以綠底白字顯示機構名稱,這讓用戶更加容易辨識並且與用戶期望壹致。不幸的是,瀏覽器供應商選擇僅限定EV證書可獨享這突出的顯示,其他種證書就留待用戶自己自求多福了。
誰是管理機構:瀏覽器需要指出用戶要求連到對象的管理機構是誰。在保全等級最低的階段,不指名管理機構,因此就用戶而言瀏覽器就是管理機構。瀏覽器供應商通過控制可接受的授權證書(Certification Authorities,簡稱/下稱 CA)根名單來承擔這個責任。這是目前的標準做法。
這裏的問題是不管瀏覽器供營商如何企圖控制質量,市面上 CA 品質良莠不齊亦不實施檢查。亦不是所有簽署 CA 的公司行號取得該證書僅是為了認證電子商務組織的同壹個模型和概念而已。制造證書(Certificate Manufacturing) 是頒給只用來遞送信用卡與電子郵件送達確認的低交易額證書;這兩者的用途都容易受到詐騙罪犯的扭曲。由此引申,壹個高交易額的網站可能容易受到另壹個可提 供的 CA 認證蒙混。這種情況可能會在 CA 位於世界的另壹端,並且對高交易額電子商務站不熟悉,或者用戶根本就不關心這件事。因為 CA 只負責保障它自己的客戶,並不會管其他 CA 的客戶,故這個漏洞在該模型是根深蒂固的。
對此漏洞的解決方案是瀏覽器應該顯示,並且用戶應該熟悉管理機構之名。這把 CA 當作是種品牌體現,並且讓用戶知悉在其所在國家和區段之內可聯絡到少數幾個 CA。品牌的使用亦對 CA 供應商至關重要,借此刺激它們改進證書的審核:因為用戶將知悉品牌差異並要求高交易額站點具備周延的檢查。
本解決方案首度於早期 IE7 版本上實現。在當其顯示 EV 證書時,發布的 CA 會被顯示在網址區域。然而這只是個孤立的案例。CA 烙上瀏覽器面板仍存在阻力,導致只有上面所提最低最簡單的保全等級可選:瀏覽器是用戶交易的管理機構。
目前全球通過最高級別的SSL證書來有效防範釣魚攻擊,通過全球可信的CA(GlobalSign)給網站頒發EVSSL證書,激活瀏覽器綠色地址欄,實行256位安全加密,保證客戶和網站之間的通信不被竊聽,並醒目的表明網站自己經過認證之後的身份。 改進保全用戶界面的試驗為用戶帶來便利,但是它也暴露了安全模型裏的基本缺陷。過去在安全瀏覽中沿用之SSL認證失效的根本原因有許多種,它們之間縱橫交錯。
在威脅之前的保全:由於安全瀏覽發生在任何威脅出現之前,保全顯示在早期瀏覽器的“房地產戰爭”裏被犧牲掉了。網景瀏覽器的原始設計有個站點名稱暨其 CA 名稱的突出顯示。用戶現在常常習慣根本不檢查保全信息。 還有壹種打擊網釣的流行作法是保持壹份已知的網釣網站名單,並隨時更新。微軟的IE7的瀏覽器、Mozilla Firefox 2.0、和 Opera都包含這種類型的反網釣措施。 Firefox 2中使用 Google 反網釣軟件。Opera 9.1 使用來自 PhishTank 和 GeoTrust的黑名單,以及即時來自 GeoTrust 的白名單。這個辦法的某些軟件實現會發送訪問過的網址到中央服務器以供檢查,這種方式引起了個人隱私的關註。據 Mozilla 基金會在2006年年底報告援引壹項由某獨立軟件測試公司的研究指出, Firefox 2 被認為比 Internet Explorer 7 發現詐欺性網站更為有效。
在2006年年中壹種方法被倡議實施。該方法涉及切換到壹種特殊的DNS服務,篩選掉已知的網釣網域:這將與任何瀏覽器兼容,而且它使用類似利用Hosts文件來阻止網絡廣告的原理來達成目標。
為了減輕網釣網站通過內嵌受害人網站的圖像(如商標)藉以冒充的問題,壹些網站站主改變了圖像傳送消息給訪客,某個網站可能是騙人的。圖像可能移動成新的檔名並且原來的被永久取代,或者壹臺服務器能偵測到的某圖像在正常瀏覽情況下是不會被請求到,進而送出警告的圖像。 美國銀行的網站是眾多要求用戶選擇的個人圖像、並在任何要求輸入密碼的場合顯示該用戶選定圖片的網站之壹。該銀行在線服務的用戶被指示在只有當他們看到他們選擇的圖像才輸入密碼。然而,最近的壹項研究表明僅有少數用戶在圖像不出現時不會鍵入他們的密碼。此外,此功能(像其他形式的雙因素認證)對其他攻擊較脆弱,如2005年年底斯堪的納維亞諾爾迪亞銀行案,與2006年的花旗銀行案。
保全外殼是 壹種相關的技術,涉及到使用用戶選定的圖片覆蓋上註冊表窗體作為壹種視覺提示以表明該窗體是否合法。然而,不像以網站為主的圖像體系,圖像本身是只在用戶 和瀏覽器之間***享,而不是用戶和網站間***享。該體系還依賴於相互認證協議,這使得它更不容易受到來自侵襲只認證用戶體系的攻擊。 在2004年1月26日,美國聯邦貿易委員會提交了涉嫌網釣者的第壹次起訴。被告是個美國加州少年,據說他設計建造了壹個網頁看起來像美國在線網站,並用它來竊取信用卡數據。其他國家援引了這壹判例追蹤並逮捕了網釣者。網釣大戶瓦爾迪爾·保羅·迪·阿爾梅達在巴西被捕。他領導壹個最大的網釣犯罪幫派,在兩年之間做案估計偷走約1800萬美元到3700萬美元之間。英國當局在2005年6月收押兩名男子以其在壹項網釣欺詐活動扮演的腳色,而這宗案子與美國特勤處《防火墻行動》 (Operation Firewall,目標是當時最大最惡名昭彰的信用卡盜竊網站)有關。2006年8人在日本被逮捕,日本警方懷疑他們通過假造雅虎日本網站網釣進行欺詐,保釋賠款1億日元(87萬美元)。2006年美國聯邦調查局逮捕行動繼續,以代號《保卡人行動》 (CardKeeper) 在美國與歐洲扣押了壹個16人的幫派。
在美國,參議員派崔克·萊希(Patrick Leahy)在2005年3月1日向美國國會提審2005反網釣法案。這項法案,如果它已成為法律,將向建立虛假網站、發送虛假電子郵件以詐欺消費者的罪犯求處罰款高達25萬美金並且可監禁長達5年。英國在2006年以2006詐欺法強化了其打擊仿冒欺詐的法律武器,該法案采用壹般欺詐罪,可求刑監禁多達10年,並禁止開發或意圖欺詐下擁有網釣軟件包。
許多公司也加入全力打擊網釣的行列。2005年3月31日,微軟向美國華盛頓西部地方法院提交 117 起官司。這起訴訟指控“無名氏”的被告非法取得的密碼信息和機密信息。2005年3月微軟和澳大利亞政府間合作,向執法人員教學如何打擊各種網絡犯罪,包括網釣。在2006年3月,微軟宣布計劃進壹步在美國境外地區起訴100案件,隨後該公司信守承諾,截至2006年11月之前,***起訴了129件混合刑事和民事行動的犯罪案件。美國在線亦加強其打擊網釣的努力,在2006年早期根據維吉尼亞計算機犯罪法2005年修訂版起訴三起***求償1800萬美元,而 Earthlink 已加入幫助確定6名男子在康涅狄格州的案子,這6名人士稍後被控以網釣欺詐。
2007年1月,傑弗瑞·布雷特·高汀被陪審團援引的2003年反垃圾郵件法(CAN-SPAM Act of 2003)將其定罪為加州第壹位依此法被定罪的被告。他被判犯下對美國在線的用戶發送成千上萬的電子郵件,並喬裝成AOL的會計部門以催促客戶提交個人和 信用卡數據的罪行。面對反垃圾郵件法的101年關押以及其他數十個包括詐欺、未經授權使用信用卡、濫用AOL的商標,這部分他被判處70個月監禁。因為沒 有出席較早的聽證會,高汀已被拘留,並立即開始入監服刑。