網(wǎng)絡(luò)釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由于黑客開始以電話為作案工具，所以用“Ph”來取代“Fishing”中“F”，創(chuàng)造了“Phishing”一詞。

　　網(wǎng)絡(luò)釣魚通常是指那些利用欺騙性的電子郵件和經(jīng)過偽裝的銀行和電子商務(wù)站點(diǎn)來進(jìn)行詐騙活動(dòng)，誘騙網(wǎng)民提供一些個(gè)人重要信息，如銀行賬號(hào)、密碼等，并利用這些獲取不正當(dāng)利益的行為。^[1]

　　利用釣魚網(wǎng)站騙取網(wǎng)民銀行卡或信用卡賬號(hào)、密碼等私人資料的行為，在侵害了網(wǎng)民利益的同時(shí)，也觸犯了我國(guó)相關(guān)的法律法規(guī)，這些法律包括《民法通則》、《刑法》等。比如：釣魚網(wǎng)站如果是以盜取銀行卡或信用卡賬號(hào)、密碼為目的，對(duì)于普通網(wǎng)民來說，釣魚網(wǎng)站侵犯了網(wǎng)民的財(cái)產(chǎn)權(quán)；如果網(wǎng)民基于釣魚網(wǎng)站的欺騙行為處分了自己的財(cái)產(chǎn)，釣魚網(wǎng)站的設(shè)立者或使用者又因此獲得財(cái)產(chǎn)，從而使網(wǎng)民的財(cái)產(chǎn)受到損害，當(dāng)非法獲得的財(cái)產(chǎn)達(dá)到一定數(shù)額或欺詐的情節(jié)嚴(yán)重時(shí)，就構(gòu)成了詐騙罪；另外，對(duì)于釣魚網(wǎng)站所模仿的正規(guī)公司或企業(yè)而言，釣魚網(wǎng)站不僅僅影響了正規(guī)公司企業(yè)的運(yùn)營(yíng)，還對(duì)這些企業(yè)公司的聲譽(yù)造成負(fù)面影響；更有一些釣魚網(wǎng)站收集網(wǎng)民的身份信息等等，公民身份信息泄露，對(duì)社會(huì)的和諧穩(wěn)定也造成一定程度的隱患。

　　我國(guó)1997年《刑法》設(shè)置的與計(jì)算機(jī)或網(wǎng)絡(luò)直接有關(guān)的犯罪分別是第二百八十五條、二百八十六條、二百八十七條?！缎谭ㄐ拚?七)》通過后，將本罪的犯罪對(duì)象擴(kuò)大到幾乎所有的計(jì)算機(jī)信息系統(tǒng)，如果情節(jié)嚴(yán)重的，均可構(gòu)成非法侵入計(jì)算機(jī)信息系統(tǒng)罪。然而，根據(jù)《刑法修正案(七)》，行為人如果侵入的是國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)系統(tǒng)以外的計(jì)算機(jī)信息系統(tǒng)，需要達(dá)到情節(jié)嚴(yán)重的程度才能構(gòu)成非法侵入計(jì)算機(jī)信息系統(tǒng)罪，而對(duì)那些還沒有造成危害后果或者剛剛著手實(shí)施釣魚行為以及其他的一些情節(jié)不是很嚴(yán)重的行為，則無力規(guī)制。可是，這與“網(wǎng)絡(luò)釣魚”本身極具有社會(huì)危害性，需要進(jìn)行《刑法》的規(guī)制是不相適應(yīng)的。由以上分析可以看出，非法侵入計(jì)算機(jī)信息系統(tǒng)罪是不能規(guī)制當(dāng)前的“網(wǎng)絡(luò)釣魚”行為的。

　　我國(guó)《刑法》第二百八十六條規(guī)制的是違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行??后果嚴(yán)重的行為。“網(wǎng)絡(luò)釣魚”行為中的一種表現(xiàn)形式，即利用木馬和黑客技術(shù)等手段竊取用戶信息的行為，“網(wǎng)絡(luò)釣魚”中的此類行為在一定程度上綜合了該罪的客觀方面，似乎可以此罪來定罪處罰。然而，該罪的三款都要求“后果嚴(yán)重”才能人罪，釣魚者只竊取了某個(gè)人的個(gè)人資料或身份信息，很難認(rèn)定為“后果嚴(yán)重”，因?yàn)檫@里缺乏一個(gè)量化標(biāo)準(zhǔn)。

　　盡管我國(guó)刑法中直接規(guī)定的與計(jì)算機(jī)和網(wǎng)絡(luò)有關(guān)的犯罪不能直接規(guī)制目前出現(xiàn)的詐取他人身份信息和密碼的行為，但有一種特殊的身份信息卻因?yàn)槲覈?guó)刑法的專門規(guī)定可以得到保護(hù)，即信用卡資料。如果釣魚者竊取網(wǎng)絡(luò)用戶信用卡的賬號(hào)、密碼等信息資料，就構(gòu)成了《刑法》第一百七十七條之一規(guī)定的妨害信用卡管理罪。釣魚者的另外一種行為也可能受到我國(guó)現(xiàn)有刑法的規(guī)制，即偽造網(wǎng)站時(shí)，同時(shí)偽造或擅自制造了他人注冊(cè)商標(biāo)標(biāo)識(shí)的行為，如果達(dá)到情節(jié)嚴(yán)重的程度，就構(gòu)成了《刑法》第二百一十五條規(guī)定的非法制造注冊(cè)商標(biāo)標(biāo)識(shí)罪。根據(jù)以上分析可以看出，我國(guó)目前刑法基本上不適應(yīng)規(guī)制當(dāng)前愈演愈烈的網(wǎng)絡(luò)釣魚行為的需要。

　　1.欺騙性。釣魚者利用自建站點(diǎn)模仿被釣網(wǎng)站，并結(jié)合含有近似域名的網(wǎng)址來加強(qiáng)真實(shí)程度。更有甚者會(huì)先侵入一臺(tái)服務(wù)器，在服務(wù)器上不斷重復(fù)地做相同的事情，讓自己可以更好地脫身，逃避追蹤以及調(diào)查。1-2

　　3.針對(duì)性。通常與釣魚者緊密相關(guān)的都是一些銀行、商業(yè)機(jī)構(gòu)等的網(wǎng)站，隨著互聯(lián)網(wǎng)的飛速發(fā)展，電子商務(wù)、網(wǎng)上購(gòu)物已經(jīng)成為與網(wǎng)民息息相關(guān)的服務(wù)。龐大的網(wǎng)絡(luò)資金流動(dòng)，帶來了很多的新興行業(yè)，也帶來了潛在的安全隱患。

　　3.多樣性。網(wǎng)絡(luò)釣魚是一種針對(duì)人性弱點(diǎn)的攻擊手法，釣魚者不會(huì)千篇一律地去進(jìn)行攻擊，不管是網(wǎng)絡(luò)還是現(xiàn)實(shí)中到處都存在釣魚式攻擊的影子。釣魚者不會(huì)局限于常用的偽造網(wǎng)站、虛假郵件等手法，而是會(huì)結(jié)合更多的便民服務(wù)，以容易接受的形式去誘騙被釣者。從而在更短的時(shí)間內(nèi)獲得更好的效果。

　　4.可識(shí)別性。網(wǎng)絡(luò)釣魚并不是無懈可擊，更不是沒有一點(diǎn)破綻。從釣魚者的角度出發(fā)，釣魚者本身會(huì)利用最少的資源去構(gòu)造自己的釣魚網(wǎng)站，因?yàn)闊o法去利用真實(shí)網(wǎng)站獨(dú)有的一些資源(如域名、U盾、數(shù)字驗(yàn)證等)。因此，在偽造網(wǎng)站方面。會(huì)利用近似或者類似的方法來進(jìn)行欺騙，通常我們可以查看偽造網(wǎng)站，根據(jù)經(jīng)驗(yàn)去識(shí)別其真實(shí)性。

　　1.通過發(fā)送郵件，以虛假的信息誘使網(wǎng)民上當(dāng)。不法分子利用郵件的形式大量的發(fā)送垃圾郵件，這些郵件一般以中獎(jiǎng)、咨詢、核實(shí)等內(nèi)容來引誘網(wǎng)民在郵件中填寫賬號(hào)和密碼，或是以各種理由要求網(wǎng)民登陸其事先設(shè)計(jì)好的釣魚網(wǎng)站提交用戶名、密碼、賬號(hào)、身份證號(hào)等信息，繼而盜取網(wǎng)民資金。例如，某小姐收到的“淘寶網(wǎng)”郵件，其實(shí)是釣魚網(wǎng)站發(fā)出的誘餌，它意圖通過釣魚郵件，將收信人引誘到一個(gè)通過精心設(shè)計(jì)與目標(biāo)組織的網(wǎng)站非常相似的釣魚網(wǎng)站上，以獲取收信人在此網(wǎng)站上輸入的個(gè)人敏感信息，進(jìn)而利用這些敏感信息套取財(cái)物。

　　2.利用大型網(wǎng)站發(fā)布虛假的信息進(jìn)行詐騙。此類犯罪活動(dòng)一般是利用大型的電子商務(wù)網(wǎng)站或者比較知名的購(gòu)物網(wǎng)站上發(fā)布虛假的商品銷售信息，犯罪分子在收到被騙人的匯款后就銷聲匿跡。比如前幾年，罪犯佘某建立了奇特器材網(wǎng)，發(fā)布出售一些虛假信息，誘騙顧客將貨款匯入自己銀行賬戶，然后轉(zhuǎn)移贓款的案件。

　　3.建立假冒的網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站來竊取用戶賬號(hào)和密碼。犯罪分子建立起域名和網(wǎng)頁內(nèi)容都與真正的網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站非常相似的網(wǎng)站，引誘用戶輸入賬號(hào)和密碼，進(jìn)而通過真正的網(wǎng)上銀行、網(wǎng)上證券系統(tǒng)來盜取資金。

　　4.利用木馬和黑客技術(shù)手段竊取用戶賬號(hào)信息后實(shí)施盜取活動(dòng)。犯罪分子利用發(fā)送電子郵件或者網(wǎng)站中隱藏木馬等方式來傳播木馬程序，當(dāng)有網(wǎng)民感染木馬后進(jìn)行網(wǎng)上交易，木馬程序會(huì)以鍵盤記錄的方式獲取到用戶賬戶和密碼。

　　1.仿制釣魚網(wǎng)頁

　　網(wǎng)絡(luò)釣魚者根據(jù)正常的官方網(wǎng)站網(wǎng)頁的模樣，利用網(wǎng)頁制作工具軟件進(jìn)行仿制或利用網(wǎng)站導(dǎo)人來獲取網(wǎng)頁素材，即使有些內(nèi)容無法獲取到也無關(guān)要緊，大多數(shù)人都不會(huì)清楚地記得被冒仿的網(wǎng)頁上都有哪些內(nèi)容。釣魚者將仿制好的網(wǎng)頁掛靠到一個(gè)或多個(gè)可公開訪問的網(wǎng)站服務(wù)器上，這樣網(wǎng)絡(luò)用戶就可以通過Internet訪問這個(gè)頁面，這樣一個(gè)釣魚網(wǎng)站就制作完成。

　　2.利用數(shù)據(jù)庫(kù)后臺(tái)技術(shù)

　　網(wǎng)絡(luò)釣魚網(wǎng)站的最終結(jié)果是要收集騙取上網(wǎng)者的個(gè)人賬戶信息，因此如何捕獲收集用戶在網(wǎng)頁上輸人的信息是關(guān)鍵。在獲取到網(wǎng)頁信息后，釣魚者會(huì)對(duì)網(wǎng)頁代碼根據(jù)自我需求性進(jìn)行相應(yīng)改變，而且釣魚者不需像正常網(wǎng)頁那樣做合法性的反饋校驗(yàn)等那些過程，只是將用戶的錄入直接傳送到特定的后臺(tái)的數(shù)據(jù)庫(kù)或文本文件中，也可以利用特定代碼程序?qū)⒂脩糨斎氲膬?nèi)容通過電子郵件發(fā)送到釣魚者的電子信箱中。MySQL和Access數(shù)據(jù)庫(kù)編程簡(jiǎn)單且易維護(hù)，是釣魚者們常用的后臺(tái)方式，也有釣魚者利用NOS的漏洞，把制作或訂購(gòu)的木馬病毒代碼植入到用戶計(jì)算機(jī)中，當(dāng)用戶上網(wǎng)時(shí)，將用戶輸入的隱私信息保存記錄下來，或直接發(fā)送給釣魚者。