在網絡安全領域工作的人都知道，網絡釣魚攻擊，特別是針對大型企業的網絡釣魚攻擊正在崛起。由于攻擊依賴的是任何可利用的人為因素，因此，攻擊者對這類攻擊十分青睞。
　　多年以來，網絡釣魚攻擊在不斷地發展，而在過去，這些攻擊僅僅只是簡單的攻擊。攻擊者會發送一條帶有可以跳轉到虛假網站的鏈接的信息，誘騙用戶在自己的電腦上運行惡意代碼。現在，網絡釣魚攻擊卻變得非常復雜，可以給受害者帶來極其嚴重甚至是無法挽回的損失。
　　目前，反安全領域中最有效的網絡釣魚攻擊就是魚叉式網絡釣魚，該攻擊可以侵入所有的防御層。近年來，多數引人注目的數據泄露事件都始于魚叉式網絡攻擊。
　　魚叉式網絡釣魚：誘騙的藝術
　　首先，攻擊者會選擇一個受害者，然后，攻擊者利用動態DNS服務和虛擬服務器來發布類似的網站。也就是一個名稱相似的網站，攻擊是基于假設用戶不會注意到URL中的細微變化。
　　接下來，攻擊者會利用Automation Anywhere或Ion等抓取工具或數據采集工具來復制原網站中的內容。現在，攻擊者就擁有了一個名為原網站的相似網站。下一步攻擊者要做的就是將受害用戶吸引到虛假網站，以便獲取受害者輸入的憑證。接下來，攻擊者要做的就是利用Foca和Maltego等指紋識別工具采集盡可能多的電子郵件地址。

現在，攻擊者要做的就是等待使用合法Contoso憑證的用戶登錄到虛假網站，以便他們進行采集。攻擊者采集到憑證之后，攻擊就結束了。
　　防網絡釣魚技術
　　作為網絡安全行業的一個重要領域，防網絡釣魚產品和服務在很久之前就已經面市。現在的殺毒軟件通常都包括防網絡釣魚功能，而且多數瀏覽器都自動配備了Google Safe Browsing功能，這樣的整合可以提供中等水平的網絡釣魚防護措施，但卻遠不能幫助企業應對復雜攻擊。

防網絡釣魚解決方案可以集成到Web瀏覽器或以單機方式運行，這兩種方法采用了相似的方法來檢測網絡釣魚攻擊。
　　域名信譽
　　所有的防網絡釣魚廠商都會收集有關URL黑名單的情報。他們利用信譽分析技術對域名信譽和列入黑名單的一級域名(TLDs)等數據信息進行分析。有些網站可以免費為用戶提供此類信息。從這些服務中得到的信息也可以從郵件攔截列表和上報站點中獲取。
　　這種方法的缺點就是，多數的攻擊者會利用‘用后即丟棄’技術獲得域名，用于惡意URL，但是時間很短。因此可以躲過URL黑名單和信息分析技術的分析檢測。
　　針對注冊商和托管服務供應商的網絡釣魚提示
　　注冊商、托管服務供應商和互聯網服務提供商(ISP)能夠持續追蹤IP地址、名稱服務器和域名查詢服務器。他們的防釣魚軟件不斷更新，并根據上述信息為用戶提供警報。
　　工具欄
　　目前，各種不同的工具欄都可以安裝在當前最流行的瀏覽器中。這些工具欄會持續監控URL檢索，并向軟件發送報告，以便匹配基于規則的策略。
　　DNS搜索保護
　　利用這一防護方法，看似與合法網站相似的域名就可以記錄到代碼倉庫。軟件每天都會監控DNS注冊，以發現特定的警報模式，也可以在通用TLD和.com、.net、.free.fr等注冊點探查潛在域名。
　　SSL站點搜索保護
　　由于多數用戶認為有效的SSL證書可以實現更好的安全保障，因此，利用SSL證書的網絡釣魚攻擊尤其危險。有些防網絡釣魚產品能夠檢索超過五百萬的SSL證書，以便查找偽造證書。
　　感知能力
　　防御網絡釣魚攻擊最重要也最有效的方式就是進行員工教育，提高他們對社會工程攻擊的認知。許多企業都會提供與安全相關的培訓計劃，以便讓用戶對最新的風險和威脅有更好的了解。
　　說到底，用戶是最終的安全決定者。安全的好壞最終取決于用戶能否以鑒定的眼光閱讀所有郵件和警報，并判斷信息或鏈接是否安全。只要決策權在用戶手中，網絡釣魚攻擊的成功率就會居高不下，這也正是防網絡釣魚行業能夠保持持續增長的原因。企業還將繼續尋求更多更好的解決方案，為了迎合企業的這一需求，防網絡釣魚技術也要不斷的發展。