主题：【原创】【注意】针对网上银行的网络欺诈实例之一 -- 梦里依稀

这种欺诈应该算是比较简单的，也是比较容易识破的，因为它把所仿冒对象的URL给改变了，任何谨慎的用户都会发现这个问题。

真正厉害的欺诈应该是设法修改DNS服务器，使之旁路目标网站的正常URL到自己的欺诈服务器上，然后充当中间人在客户和目标网站之间盗窃有用信息。

另外需要指出的是，欺诈方不必构造自己的假冒citibank.com邮件服务器就可以发出冒名邮件，办法是直接对收件服务器使用SMTP编程，这是SMTP/POP邮件收发机制存在的一个严重问题：它们缺乏面向现代而有效的发送方身份验证能力。目前针对SMTP/POP邮件收发机制存在的这个问题，已经有一堆改进方案和学术上的建议方案，而SMTP/POP邮件收发机制一般只是用在不需要多少安全保障的环境内。

扯得远一点，IP v4本身就不是安全的，作恶者可以很容易地用虚假IP地址作为自己数据包的发送地址，也就是说，IP本身无法验证发送方的真实身份。针对这一点，IP v6做了很多改进。