如何捕捉网络鲨鱼 - 彭博社

企业对抗网络犯罪的斗争是无止境的。而网络钓鱼——旨在欺骗消费者泄露个人信息的虚假电子邮件——是最阴险的敌人之一。只需问问IronPort Systems Inc.的安全与威胁预防总监Ambika Gadre，这是一家电子邮件安全公司。Gadre和她的团队部分依赖于Yahoo! Inc.（YHOO ）的一项前景看好的新认证技术DomainKeys，发现网络上不断涌现的虚假电子邮件。Gadre说：“网络钓鱼是如此具有破坏性。”

随着网络钓鱼疫情开始削弱人们对在线商业的信心，电子零售商和银行都在争相加强防御。预计Amazon.com Inc.（AMZN ）将很快开始测试一个IronPort系统，以验证以其名义发送给消费者的电子邮件推销是否真实。美国银行正在推出一项技术，帮助客户确保他们已到达银行的真实网站——而不是由网络钓鱼者设置的假网站，以捕获他们的用户ID和密码。而反网络钓鱼的努力在6月1日得到了重大推动，当时Yahoo!和Cisco Systems Inc.（CSCO ）宣布计划合并竞争技术——为DomainKeys技术标准铺平了道路。

这是对抗网络钓鱼的反击，可能终于有了实质性的效果。“当恶意意图的人发送一封声称来自BusinessWeek.com的电子邮件时，我们将知道，”Yahoo!电子邮件部门的高管Andrew R. Spillane说，该公司去年推出了这项技术。

专家表示，抵御网络钓鱼的关键在于确保消费者知道哪些电子邮件是真实的，哪些不是。自去年以来，许多银行、电子商务网站以及其他发送电子邮件的机构依赖于微软公司（MSFT）和其他公司开发的一款名为Sender ID的免费软件。该技术利用网络连接的个人电脑和服务器的坐标，即IP地址，来追踪电子邮件的来源。根据微软的数据，全球约有750,000个公司域名已在Sender ID下注册。安全分析师表示，问题在于，坏人可以通过许多服务器来伪装最初发送者的身份。“Sender ID是第一步，”微软技术关怀与安全总经理瑞安·哈姆林说。“但这不是最终目标。”

编码签名

引入DomainKeys——一种更强大的认证技术。它的工作原理是：当银行或电子商务公司发送电子邮件时，邮件中包含一个与发送者分配的唯一代码相对应的签名。当电子邮件公司或互联网服务提供商（ISP）收到要传送给其用户的消息时，可以检查电子邮件上的签名是否与其声称来自的银行或电子商务网站的签名匹配。如果匹配，收到电子邮件的人将被告知这是合法的。如果不匹配，ISP将警告客户不要打开它。

这并不是银行加强互联网安全的唯一方式。一些银行正在实施技术，帮助在线客户确保他们访问的是真实的网站，并防止欺诈者进入。美国银行（BAC）的SiteKey系统在客户访问其网站时向在线客户展示一张图片。如果他们选择的图像没有出现，他们就会知道自己访问了一个虚假网站。如果欺诈者试图从未被识别的个人电脑访问客户的美国银行账户，他们将必须回答一个预设的问题。

尽管如此，这些技术仍面临障碍。随着雅虎和思科刚刚就DomainKeys达成共同标准，许多公司可能会抵制投资该技术，直到问题得到解决。价格是另一个问题。雅虎和思科的产品都可以在网上免费下载。但据IronPort称，带有DomainKeys的大规模电子邮件发送者的电子邮件安全系统平均成本为50万美元。对于大公司来说，这并不足以阻止可能损害声誉并占用数百万电子邮件账户的伪造电子邮件。但较小的企业可能会犹豫升级，直到价格下降。然而，随着消费者对在线购物和银行业务越来越谨慎，他们可能别无选择。

作者：布赖恩·格罗（Brian Grow）在亚特兰大，玛拉·德·霍瓦尼安（Mara Der Hovanesian）在纽约，杰伊·格林（Jay Greene）在西雅图