一个是“钓鱼网站”1cbc.com.cn,一个是真正的工商银行网站icbc.com.cn。二者的差别,仅仅是小写字母i和数字1的不同。一个是“钓鱼网站”bank-off-china.com,一个是真正的中国银行bank-of-china.com。二者的差别,仅仅是假的比真的多了一个“f”。但诈骗者就是利用这种障眼法,欺骗用户输入自己的账户密码。这就是当前“网络钓鱼”的典型手段之一。
近日,中国反钓鱼网站联盟发布报告称,他们收到的钓鱼网站投诉前三位的分别为淘宝网、CCTV和腾讯网,占投诉总量的74%以上。联盟提醒,伴随着岁末各类电子商务网站的促销力度逐步加大,网民的网络购物行为也将呈急剧上升之势,因此春节前这段时间都将是“网络钓鱼”的高发期。广大网民还需要格外小心,谨防上当受骗。
中外网民皆中招
目前,“钓鱼网站”主要集中在两方面:一种是模仿央视等假冒抽奖网站,如多个地方出现了仿冒“非常6+1”节目中奖信息骗取网民钱财的网络诈骗事件,主要特征是以中奖为诱饵,欺骗网民填写身份信息、银行账户等信息;另一种是模仿淘宝、工行等在线支付网页,骗取网民银行卡信息或支付宝账户。骗子并不需要主动攻击,他只需要静静等候这些钓竿的反应,并提起一条又一条鱼就可以了,就好像是“姜太公钓鱼,愿者上钩”。
去年12月,叶小姐无意中在一家淘宝店看到一款心仪已久的超长靴,就打开卖家旺旺留言(叶小姐事后才知道这个卖家旺旺账户已经被钓鱼者盗号)。卖家说让叶小姐加他的QQ专用号码,然后通过QQ发来了宝贝链接,“点击打开后,和淘宝店里的页面是一样的,我就毫不犹豫地拍了。但系统提示让我登陆,我当时纳闷了一下,但没有多想,就输入了用户名密码。之后就进入付款界面,我选择支付宝余额付款,输入支付密码然后没有跳到下一个界面。我就留意看了一眼,上面写的是即时到账,才开始有不好的感觉。”虽然丢掉380元的现金,但比较幸运的是,叶小姐的银行账户里面只有400元的存款,没有因此被骗走更多存款。
类似叶小姐的遭遇不仅仅局限于中国。据新华社报道,微软、谷歌、雅虎和美国在线等公司旗下的电子邮箱遭遇黑客“网络钓鱼”,至少3万邮箱账户信息失窃。据了解,去年10月,微软旗下Hotmail电子邮箱1万个账户信息在一家计算机专业网站上被曝光。随后网上又出现一份包含2万个电子邮箱账户地址及密码的清单,这些邮箱的服务商包括微软、谷歌、雅虎和美国在线。
目前,“网络钓鱼”的问题正在日渐凸显。根据国际行业组织反钓鱼工作组的数据,去年一个月新建的独立钓鱼网站就高达近5万个。而截至去年11月底,中国反钓鱼网站联盟累计收到钓鱼网站投诉12000多例,并对其中认定的10568个涉嫌网络钓鱼的网站域名停止了解析。
利用心理来诈骗
“钓鱼网站”由于投入少,回报大,因而伴随网购热潮已经悄然兴起。据国家计算机网络应急中心估算,网络钓鱼带来的电子商务用户损失目前已达76亿元;如果按照8788万的网购用户活跃数估算,平均每一位网购用户已经为潜在的网购安全威胁丢掉了86元的经济损失。但其实在安全技术人员眼里,“网络钓鱼”其实没有太多技术含量,主要还是利用人们的心理来实现了诈骗。
一是人们受中奖或其他物质奖励诱惑而放松戒备。“网络钓鱼”收益主要来源于银行存款的直接套现,也就是说钓鱼大都发生在买卖双方的交易过程当中,钓鱼者通过发布让人心动的宝贝,然后如叶小姐这样的买家通过某些途径发现这宝贝,在买卖双方激烈的讨价还价后,卖家会在这个时机把钓鱼网站链接发过去。如果买家点击进行交易,就很有可能存款和支付宝账户都会被盗取。
二是人们缺乏对网站真伪性验证的知识和方法。多数受骗用户在网上填报个人信息,特别是财务信息时缺乏防范意识,没有仔细验证网页的真实性。安全技术人员分析,人们收到网络银行、在线零售商和信用卡公司等可信的品牌这类影响力很大的邮件时几乎都会紧张,很多人都不曾怀疑信件的真实性,更会下意识地根据要求打开邮件里面指定的链接进行操作,正是这点让“垂钓者”有了可乘之机。
金山网盾数据中心的最新数据表明,金山网盾每日和支付宝交换的钓鱼网站数量都在300个左右,其中80%的钓鱼网站都会被买家或者卖家点击。在被淘宝用户点击到的这240个钓鱼网站,其中有20%-30%的钓鱼网站会交易成功,而一个钓鱼网站只要在一天之内获得一笔成功交易记录,就可以在短短两分钟之内把你支付账户里的存款全部吞掉。因此,“网络钓鱼”行骗团伙如果做的假网站足够高仿,选择的售卖商品又足够畅销,一月就可以有数十万收益进账。
如何防备网络钓鱼
对于个人用户而言,最重要的一点是提高警惕,有时候细心就可以发现“钓鱼网站”的一些破绽。
不要在网上留下可以证明自己身份的任何资料,包括手机号码、身份证号、银行卡号码等。
不要把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ、MSN、Email等软件传播,这些途径往往可能被黑客利用来进行诈骗。不要相信网上流传的消息,除非得到权威途径的证明。如网络论坛、新闻组、QQ等往往有人发布谣言,伺机窃取用户的身份资料等。不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。
不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等,除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息,而骗子们往往喜欢这样进行诈骗。
为避免被“网络钓鱼”冒名,行业用户最重要的是加大制作网站的难度——包括安全和加密技术的应用;同时,企业应及时升级、打补丁、加强员工安全意识、与安全厂商保持密切联系。企业还应专门针对“网络钓鱼”对员工进行安全培训,提升防范意识。
此外,对“网络钓鱼”的诈骗行为,工信部和公安部都设有专门的监管机构。其他各大部委也都有专门的监管机构负责行业内的网络安全管理。“中国反钓鱼网站联盟”虽然不是官方组织,但是在接到投诉后,权威技术鉴定机构会立即对其进行判定,一经认定,两个小时内暂停其域名解析,终止欺诈行为。从处理的及时性上大大降低了“钓鱼网站”所造成的危害。