程如下：21钓鱼者入侵服务器，窃取用户的名字和邮件地址。早期的网络钓鱼者利用垃圾邮件将受害者引向伪造的互联网站点，这些站点由他们自己设计，看上去与合法的商业网站极其相似。很多人都曾收到过来自网络钓鱼者的所谓“紧急邮件”，他们自称是某个购物网站的客户代表，威胁说如果用户不登录他们所提供的某个伪造的网站并提供自己的个人信息，这位用户在购物网站的账号就有可能被封掉，当然很多用户都能识别这种骗局。现在网络钓鱼者往往通过远程攻击一些防护薄弱的服务器，获取客户名称的数据库，然后通过钓鱼邮件投送给明确的
f目标。22钓鱼者发送有针对性的邮件。现在，钓鱼者发送的钓鱼邮件不是随机的垃圾邮件。他们在邮件中会写出用户名称，而不是以往的“尊敬的客户”之类。这样就更加有欺骗性，更容易获取客户的信任。这种针对性很强的攻击更加有效地利用了社会工程学原理。23受害用户访问假冒网址。受害用户被钓鱼邮件引导访问假冒网址，这种攻击的主要手段是IP地址欺骗、链接文字欺骗、U
icode编码欺骗等。24受害用户提供的密码和用户信息被钓鱼者获得。一旦受害用户被钓鱼邮件引导访问假冒网址，钓鱼者可以通过技术手段让不知情的用户输入自己的“UserName”和“Password”，然后，通过表单机制，让用户输入姓名、城市等一般信息，以及信用卡信息和密码。这是比较常见的一种欺骗方式，有些攻击者甚至编造公司信息和认证标志，其隐蔽性更强。此后，假冒网址将获得的受害用户信息发送给攻击者。25钓鱼者使用受害用户的身份进入其他网络服务器。钓鱼者会使用受害用户的身份进入其他网络服务器（如购物网站等），进行消费或者在网络上发送反动的、黄色的信息。3钓鱼网站在Web欺骗中，攻击者能以受攻击者的名义将错误或者易于误解的数据发送到真正的Web服务器，以及以任何Web服务器的名义给被攻击者发送数据。在欺骗攻击中，攻击者创造一个虚假的Web环境，以诱使受攻击者进入并且做出缺乏安全考虑的决策。人们利用计算机系统完成具有安全要求的决策时往往也是基于其所见的。例如，在访问网上银行时，员工可能根据员工所见的银行Web页面，从该行的账户中提取或存入一定数量的存款。因为员工相信自己所访问的Web页面就是所需要的银行的Web页面，无论是页面的外观、URL地址，还是其他一些相关内容，都让员工感到非常熟悉，没有理由不相信。员工在工作中使用自己的账号访问社交网站，不仅影响工作效率，而且有些用户还r