一個是“釣魚網(wǎng)站”1cbc.com.cn,一個是真正的工商銀行網(wǎng)站icbc.com.cn。二者的差別,僅僅是小寫字母i和數(shù)字1的不同。一個是“釣魚網(wǎng)站”bank-off-china.com,一個是真正的中國銀行bank-of-china.com。二者的差別,僅僅是假的比真的多了一個“f”。但詐騙者就是利用這種障眼法,欺騙用戶輸入自己的賬戶密碼。這就是當前“網(wǎng)絡釣魚”的典型手段之一。
近日,中國反釣魚網(wǎng)站聯(lián)盟發(fā)布報告稱,他們收到的釣魚網(wǎng)站投訴前三位的分別為淘寶網(wǎng)、CCTV和騰訊網(wǎng),占投訴總量的74%以上。聯(lián)盟提醒,伴隨著歲末各類電子商務網(wǎng)站的促銷力度逐步加大,網(wǎng)民的網(wǎng)絡購物行為也將呈急劇上升之勢,因此春節(jié)前這段時間都將是“網(wǎng)絡釣魚”的高發(fā)期。廣大網(wǎng)民還需要格外小心,謹防上當受騙。
中外網(wǎng)民皆中招
目前,“釣魚網(wǎng)站”主要集中在兩方面:一種是模仿央視等假冒抽獎網(wǎng)站,如多個地方出現(xiàn)了仿冒“非常6+1”節(jié)目中獎信息騙取網(wǎng)民錢財?shù)木W(wǎng)絡詐騙事件,主要特征是以中獎為誘餌,欺騙網(wǎng)民填寫身份信息、銀行賬戶等信息;另一種是模仿淘寶、工行等在線支付網(wǎng)頁,騙取網(wǎng)民銀行卡信息或支付寶賬戶。騙子并不需要主動攻擊,他只需要靜靜等候這些釣竿的反應,并提起一條又一條魚就可以了,就好像是“姜太公釣魚,愿者上鉤”。
去年12月,葉小姐無意中在一家淘寶店看到一款心儀已久的超長靴,就打開賣家旺旺留言(葉小姐事后才知道這個賣家旺旺賬戶已經(jīng)被釣魚者盜號)。賣家說讓葉小姐加他的QQ專用號碼,然后通過QQ發(fā)來了寶貝鏈接,“點擊打開后,和淘寶店里的頁面是一樣的,我就毫不猶豫地拍了。但系統(tǒng)提示讓我登陸,我當時納悶了一下,但沒有多想,就輸入了用戶名密碼。之后就進入付款界面,我選擇支付寶余額付款,輸入支付密碼然后沒有跳到下一個界面。我就留意看了一眼,上面寫的是即時到賬,才開始有不好的感覺!彪m然丟掉380元的現(xiàn)金,但比較幸運的是,葉小姐的銀行賬戶里面只有400元的存款,沒有因此被騙走更多存款。
類似葉小姐的遭遇不僅僅局限于中國。據(jù)新華社報道,微軟、谷歌、雅虎和美國在線等公司旗下的電子郵箱遭遇黑客“網(wǎng)絡釣魚”,至少3萬郵箱賬戶信息失竊。據(jù)了解,去年10月,微軟旗下Hotmail電子郵箱1萬個賬戶信息在一家計算機專業(yè)網(wǎng)站上被曝光。隨后網(wǎng)上又出現(xiàn)一份包含2萬個電子郵箱賬戶地址及密碼的清單,這些郵箱的服務商包括微軟、谷歌、雅虎和美國在線。
目前,“網(wǎng)絡釣魚”的問題正在日漸凸顯。根據(jù)國際行業(yè)組織反釣魚工作組的數(shù)據(jù),去年一個月新建的獨立釣魚網(wǎng)站就高達近5萬個。而截至去年11月底,中國反釣魚網(wǎng)站聯(lián)盟累計收到釣魚網(wǎng)站投訴12000多例,并對其中認定的10568個涉嫌網(wǎng)絡釣魚的網(wǎng)站域名停止了解析。
利用心理來詐騙
“釣魚網(wǎng)站”由于投入少,回報大,因而伴隨網(wǎng)購熱潮已經(jīng)悄然興起。據(jù)國家計算機網(wǎng)絡應急中心估算,網(wǎng)絡釣魚帶來的電子商務用戶損失目前已達76億元;如果按照8788萬的網(wǎng)購用戶活躍數(shù)估算,平均每一位網(wǎng)購用戶已經(jīng)為潛在的網(wǎng)購安全威脅丟掉了86元的經(jīng)濟損失。但其實在安全技術人員眼里,“網(wǎng)絡釣魚”其實沒有太多技術含量,主要還是利用人們的心理來實現(xiàn)了詐騙。
一是人們受中獎或其他物質(zhì)獎勵誘惑而放松戒備!熬W(wǎng)絡釣魚”收益主要來源于銀行存款的直接套現(xiàn),也就是說釣魚大都發(fā)生在買賣雙方的交易過程當中,釣魚者通過發(fā)布讓人心動的寶貝,然后如葉小姐這樣的買家通過某些途徑發(fā)現(xiàn)這寶貝,在買賣雙方激烈的討價還價后,賣家會在這個時機把釣魚網(wǎng)站鏈接發(fā)過去。如果買家點擊進行交易,就很有可能存款和支付寶賬戶都會被盜取。
二是人們?nèi)狈W(wǎng)站真?zhèn)涡则炞C的知識和方法。多數(shù)受騙用戶在網(wǎng)上填報個人信息,特別是財務信息時缺乏防范意識,沒有仔細驗證網(wǎng)頁的真實性。安全技術人員分析,人們收到網(wǎng)絡銀行、在線零售商和信用卡公司等可信的品牌這類影響力很大的郵件時幾乎都會緊張,很多人都不曾懷疑信件的真實性,更會下意識地根據(jù)要求打開郵件里面指定的鏈接進行操作,正是這點讓“垂釣者”有了可乘之機。
金山網(wǎng)盾數(shù)據(jù)中心的最新數(shù)據(jù)表明,金山網(wǎng)盾每日和支付寶交換的釣魚網(wǎng)站數(shù)量都在300個左右,其中80%的釣魚網(wǎng)站都會被買家或者賣家點擊。在被淘寶用戶點擊到的這240個釣魚網(wǎng)站,其中有20%-30%的釣魚網(wǎng)站會交易成功,而一個釣魚網(wǎng)站只要在一天之內(nèi)獲得一筆成功交易記錄,就可以在短短兩分鐘之內(nèi)把你支付賬戶里的存款全部吞掉。因此,“網(wǎng)絡釣魚”行騙團伙如果做的假網(wǎng)站足夠高仿,選擇的售賣商品又足夠暢銷,一月就可以有數(shù)十萬收益進賬。
如何防備網(wǎng)絡釣魚
對于個人用戶而言,最重要的一點是提高警惕,有時候細心就可以發(fā)現(xiàn)“釣魚網(wǎng)站”的一些破綻。
不要在網(wǎng)上留下可以證明自己身份的任何資料,包括手機號碼、身份證號、銀行卡號碼等。
不要把自己的隱私資料通過網(wǎng)絡傳輸,包括銀行卡號碼、身份證號、電子商務網(wǎng)站賬戶等資料不要通過QQ、MSN、Email等軟件傳播,這些途徑往往可能被黑客利用來進行詐騙。不要相信網(wǎng)上流傳的消息,除非得到權威途徑的證明。如網(wǎng)絡論壇、新聞組、QQ等往往有人發(fā)布謠言,伺機竊取用戶的身份資料等。不要在網(wǎng)站注冊時透露自己的真實資料。例如住址、住宅電話、手機號碼、自己使用的銀行賬戶、自己經(jīng)常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。
不要輕易相信通過電子郵件、網(wǎng)絡論壇等發(fā)布的中獎信息、促銷信息等,除非得到另外途徑的證明。正規(guī)公司一般不會通過電子郵件給用戶發(fā)送中獎信息和促銷信息,而騙子們往往喜歡這樣進行詐騙。
為避免被“網(wǎng)絡釣魚”冒名,行業(yè)用戶最重要的是加大制作網(wǎng)站的難度——包括安全和加密技術的應用;同時,企業(yè)應及時升級、打補丁、加強員工安全意識、與安全廠商保持密切聯(lián)系。企業(yè)還應專門針對“網(wǎng)絡釣魚”對員工進行安全培訓,提升防范意識。
此外,對“網(wǎng)絡釣魚”的詐騙行為,工信部和公安部都設有專門的監(jiān)管機構。其他各大部委也都有專門的監(jiān)管機構負責行業(yè)內(nèi)的網(wǎng)絡安全管理。“中國反釣魚網(wǎng)站聯(lián)盟”雖然不是官方組織,但是在接到投訴后,權威技術鑒定機構會立即對其進行判定,一經(jīng)認定,兩個小時內(nèi)暫停其域名解析,終止欺詐行為。從處理的及時性上大大降低了“釣魚網(wǎng)站”所造成的危害。