当我榜首次收到银行发来的“安全”邮件时，我榜首反响便是这儿是否有诈？由于在我看来，它实在是太像垂钓邮件了。这封躺在收件箱里的邮件来历于我银行司理的个人邮箱地址，而非Chase银行的官方邮箱。邮件中不只顺便有一个HTML页面，而且还有文字告知我“在浏览器中翻开这个页面以了解怎么进行下一步操作”，这一切瞬间让我进步了警觉。

首要，自身电子邮件这个东西便是不安全的，更何况是我的银行还发送了一封带有附件的“安全”邮件给我。这看起来就像是一次教科书般的垂钓进犯，所以我赶忙拿起 *** 直接打给了我的银行司理。
“不是的，这是合法邮件。我需求你将它打印出来，然后签署一些文件。”这便是银行司理给我的答复。
但我提到：“首要，邮件发送人的地址看起来就十分可疑，而且这种邮件不只要让我点击外部链接并翻开附件，而且还要我在Web表单中填写我的个人信息，这谁会信啊？”
银行司理提到：“我彻底了解，这确实会让人置疑。但这封邮件没有任何问题，我确实发过这封邮件给你，假如需求的话我还可以再发一次。”
所以乎，他公然又发了一封给我。这封重发的邮件看起来与之前那封彻底相同，但这一次我正在与我的银行司理通话，所以我依照要求翻开了附件。邮件中有一个“点击读取信息”的按钮，点击之后将我重定向到了Chase银行的安全邮件门户网站。可是整个进程让我感到十分的奇葩，我也将我忧虑的当地告知了我的银行司理、他的上司、以及Chase的客户支撑部分。
值得一提的是，咱们是不可能完彻底全地对客户的行为进行安全培训的，而银行所选用的交互办法与垂钓进犯几乎没有差异，这就十分风险了。

进犯剖析
近期，我收到了一封实在的垂钓邮件。这封邮件来自chase.online@chasee.com，它很明显是封假造的邮件，但假如不细心的话仍是看不出什么端倪的。这封邮件宣称我的银行账号近期呈现了许多错误操作，而且跟之前那封实在的邮件相同，它也让我在浏览器中翻开附件HTML文件并按提示进行操作。
但很明显我不会按它说的做！所以，我把HTML文件下载了下来，然后把它拖到了代码检查窗口中。我发现，除了正常的HTML代码之外，文件中还包括一段脚本代码：
window.location="data:text/html;base64,PCFET0NUWVBFIEhUTUwg...
这个页面会在地址栏中显现一大堆Base64编码的数据，代码自身包括有Chase银行官网的脚本、图片以及指向合法页面的链接，整个页面看起来和正常的Chase银行登录页面没什么差异。可是，代码中还包括有其他的脚本代码（经过混杂），这些代码会在登录页面中增加一个自定义的表单：
document.write(unescape('%3C%66%6F%72...
在对代码进行了反混杂之后，我发现一切的代码都与Chase银行的实在登录页面共同，只不过表单action特点指向的是进犯者所操控的服务器。
"http://191..."class="038c-42a0-ddb8-58ca button" method="post" name="submit"id="submit">
假如不知情的用户真的在浏览器中翻开了这个页面，那么他们将会看到一个带有Chase商标的页面让他们承认以下信息：
1.    账号登录信息
2.    联络信息
3.    银行卡信息
4.    社保号和驾驶证信息等等
上述一切的这些信息都不会提交给Chase，而是提交给了进犯者自己的服务器。这台由进犯者操控的服务器在成功获取到了这些数据之后，会将用户重定向到Chase的在线登录页面，所以这会让用户彻底无法察觉到反常。我以为，之所以用户会这样做，彻底是由于Chase平常对用户的“练习”所导致的（经过邮件附件要求用户供给身份验证信息）。
怎么维护自己
除非Chase银行不再经过这种带有附件HTML的邮件来要求用户登录并填写自己的信息，不然广阔Chase银行的客户仍是免不了遭受垂钓进犯。可是，咱们依然有许多办法可以防止自己落入这种 *** 垂钓圈套之中。

首要，千万不要直接翻开邮件中的附件网页，除非你可以百分之百确认这封邮件没有任何问题。其次，永久不要容易在任何网页中填写自己的个人信息。第三，假如邮件要求你供给个人信息，而你也不得不这样做的话，请直接拜访在线服务的官方网站去填写，千万不要图便利直接点击邮件中的地址。这些办法相同适用于 *** 垂钓。永久不要容易在 *** 中给出自己的个人信息，除非那个 *** 是你打过去的。
最终，请你不要嫌费事，必定要将一切不正常的状况上报给自己的服务商。当你遇到了勒索邮件或有人测验经过 *** 来盗取你的信息时，请必定要即便陈述。
总结
实际上，假如想要维护用户不受网路垂钓进犯的损害，只是依托进步用户安全意识仍是远远不够的，这个进程中厂商也要负起必定的职责。所谓心中无鬼，全国无鬼。许多厂商知道这封邮件是他们自己发的，就不会太介意去证明邮件的安全性与合法性，但关于用户来说，当他们习惯了这样的交互办法时，也就给了垂钓进犯者待机而动。