一個是“釣魚網(wǎng)站”1cbc.com.cn,一個是真正的工商銀行網(wǎng)站icbc.com.cn。二者的差別,僅僅是小寫字母i和數(shù)字1的不同。一個是“釣魚網(wǎng)站”bank-off-china.com,一個是真正的中國銀行bank-of-china.com。二者的差別,僅僅是假的比真的多了一個“f”。但詐騙者就是利用這種障眼法,欺騙用戶輸入自己的賬戶密碼。這就是當(dāng)前“網(wǎng)絡(luò)釣魚”的典型手段之一。
近日,中國反釣魚網(wǎng)站聯(lián)盟發(fā)布報告稱,他們收到的釣魚網(wǎng)站投訴前三位的分別為淘寶網(wǎng)、CCTV和騰訊網(wǎng),占投訴總量的74%以上。聯(lián)盟提醒,伴隨著歲末各類電子商務(wù)網(wǎng)站的促銷力度逐步加大,網(wǎng)民的網(wǎng)絡(luò)購物行為也將呈急劇上升之勢,因此春節(jié)前這段時間都將是“網(wǎng)絡(luò)釣魚”的高發(fā)期。廣大網(wǎng)民還需要格外小心,謹(jǐn)防上當(dāng)受騙。
中外網(wǎng)民皆中招
目前,“釣魚網(wǎng)站”主要集中在兩方面:一種是模仿央視等假冒抽獎網(wǎng)站,如多個地方出現(xiàn)了仿冒“非常6+1”節(jié)目中獎信息騙取網(wǎng)民錢財?shù)木W(wǎng)絡(luò)詐騙事件,主要特征是以中獎為誘餌,欺騙網(wǎng)民填寫身份信息、銀行賬戶等信息;另一種是模仿淘寶、工行等在線支付網(wǎng)頁,騙取網(wǎng)民銀行卡信息或支付寶賬戶。騙子并不需要主動攻擊,他只需要靜靜等候這些釣竿的反應(yīng),并提起一條又一條魚就可以了,就好像是“姜太公釣魚,愿者上鉤”。
去年12月,葉小姐無意中在一家淘寶店看到一款心儀已久的超長靴,就打開賣家旺旺留言(葉小姐事后才知道這個賣家旺旺賬戶已經(jīng)被釣魚者盜號)。賣家說讓葉小姐加他的QQ專用號碼,然后通過QQ發(fā)來了寶貝鏈接,“點擊打開后,和淘寶店里的頁面是一樣的,我就毫不猶豫地拍了。但系統(tǒng)提示讓我登陸,我當(dāng)時納悶了一下,但沒有多想,就輸入了用戶名密碼。之后就進(jìn)入付款界面,我選擇支付寶余額付款,輸入支付密碼然后沒有跳到下一個界面。我就留意看了一眼,上面寫的是即時到賬,才開始有不好的感覺!彪m然丟掉380元的現(xiàn)金,但比較幸運的是,葉小姐的銀行賬戶里面只有400元的存款,沒有因此被騙走更多存款。
類似葉小姐的遭遇不僅僅局限于中國。據(jù)新華社報道,微軟、谷歌、雅虎和美國在線等公司旗下的電子郵箱遭遇黑客“網(wǎng)絡(luò)釣魚”,至少3萬郵箱賬戶信息失竊。據(jù)了解,去年10月,微軟旗下Hotmail電子郵箱1萬個賬戶信息在一家計算機(jī)專業(yè)網(wǎng)站上被曝光。隨后網(wǎng)上又出現(xiàn)一份包含2萬個電子郵箱賬戶地址及密碼的清單,這些郵箱的服務(wù)商包括微軟、谷歌、雅虎和美國在線。
目前,“網(wǎng)絡(luò)釣魚”的問題正在日漸凸顯。根據(jù)國際行業(yè)組織反釣魚工作組的數(shù)據(jù),去年一個月新建的獨立釣魚網(wǎng)站就高達(dá)近5萬個。而截至去年11月底,中國反釣魚網(wǎng)站聯(lián)盟累計收到釣魚網(wǎng)站投訴12000多例,并對其中認(rèn)定的10568個涉嫌網(wǎng)絡(luò)釣魚的網(wǎng)站域名停止了解析。
利用心理來詐騙
“釣魚網(wǎng)站”由于投入少,回報大,因而伴隨網(wǎng)購熱潮已經(jīng)悄然興起。據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急中心估算,網(wǎng)絡(luò)釣魚帶來的電子商務(wù)用戶損失目前已達(dá)76億元;如果按照8788萬的網(wǎng)購用戶活躍數(shù)估算,平均每一位網(wǎng)購用戶已經(jīng)為潛在的網(wǎng)購安全威脅丟掉了86元的經(jīng)濟(jì)損失。但其實在安全技術(shù)人員眼里,“網(wǎng)絡(luò)釣魚”其實沒有太多技術(shù)含量,主要還是利用人們的心理來實現(xiàn)了詐騙。
一是人們受中獎或其他物質(zhì)獎勵誘惑而放松戒備。“網(wǎng)絡(luò)釣魚”收益主要來源于銀行存款的直接套現(xiàn),也就是說釣魚大都發(fā)生在買賣雙方的交易過程當(dāng)中,釣魚者通過發(fā)布讓人心動的寶貝,然后如葉小姐這樣的買家通過某些途徑發(fā)現(xiàn)這寶貝,在買賣雙方激烈的討價還價后,賣家會在這個時機(jī)把釣魚網(wǎng)站鏈接發(fā)過去。如果買家點擊進(jìn)行交易,就很有可能存款和支付寶賬戶都會被盜取。
二是人們?nèi)狈W(wǎng)站真?zhèn)涡则炞C的知識和方法。多數(shù)受騙用戶在網(wǎng)上填報個人信息,特別是財務(wù)信息時缺乏防范意識,沒有仔細(xì)驗證網(wǎng)頁的真實性。安全技術(shù)人員分析,人們收到網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌這類影響力很大的郵件時幾乎都會緊張,很多人都不曾懷疑信件的真實性,更會下意識地根據(jù)要求打開郵件里面指定的鏈接進(jìn)行操作,正是這點讓“垂釣者”有了可乘之機(jī)。
金山網(wǎng)盾數(shù)據(jù)中心的最新數(shù)據(jù)表明,金山網(wǎng)盾每日和支付寶交換的釣魚網(wǎng)站數(shù)量都在300個左右,其中80%的釣魚網(wǎng)站都會被買家或者賣家點擊。在被淘寶用戶點擊到的這240個釣魚網(wǎng)站,其中有20%-30%的釣魚網(wǎng)站會交易成功,而一個釣魚網(wǎng)站只要在一天之內(nèi)獲得一筆成功交易記錄,就可以在短短兩分鐘之內(nèi)把你支付賬戶里的存款全部吞掉。因此,“網(wǎng)絡(luò)釣魚”行騙團(tuán)伙如果做的假網(wǎng)站足夠高仿,選擇的售賣商品又足夠暢銷,一月就可以有數(shù)十萬收益進(jìn)賬。
如何防備網(wǎng)絡(luò)釣魚
對于個人用戶而言,最重要的一點是提高警惕,有時候細(xì)心就可以發(fā)現(xiàn)“釣魚網(wǎng)站”的一些破綻。
不要在網(wǎng)上留下可以證明自己身份的任何資料,包括手機(jī)號碼、身份證號、銀行卡號碼等。
不要把自己的隱私資料通過網(wǎng)絡(luò)傳輸,包括銀行卡號碼、身份證號、電子商務(wù)網(wǎng)站賬戶等資料不要通過QQ、MSN、Email等軟件傳播,這些途徑往往可能被黑客利用來進(jìn)行詐騙。不要相信網(wǎng)上流傳的消息,除非得到權(quán)威途徑的證明。如網(wǎng)絡(luò)論壇、新聞組、QQ等往往有人發(fā)布謠言,伺機(jī)竊取用戶的身份資料等。不要在網(wǎng)站注冊時透露自己的真實資料。例如住址、住宅電話、手機(jī)號碼、自己使用的銀行賬戶、自己經(jīng)常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。
不要輕易相信通過電子郵件、網(wǎng)絡(luò)論壇等發(fā)布的中獎信息、促銷信息等,除非得到另外途徑的證明。正規(guī)公司一般不會通過電子郵件給用戶發(fā)送中獎信息和促銷信息,而騙子們往往喜歡這樣進(jìn)行詐騙。
為避免被“網(wǎng)絡(luò)釣魚”冒名,行業(yè)用戶最重要的是加大制作網(wǎng)站的難度——包括安全和加密技術(shù)的應(yīng)用;同時,企業(yè)應(yīng)及時升級、打補(bǔ)丁、加強(qiáng)員工安全意識、與安全廠商保持密切聯(lián)系。企業(yè)還應(yīng)專門針對“網(wǎng)絡(luò)釣魚”對員工進(jìn)行安全培訓(xùn),提升防范意識。
此外,對“網(wǎng)絡(luò)釣魚”的詐騙行為,工信部和公安部都設(shè)有專門的監(jiān)管機(jī)構(gòu)。其他各大部委也都有專門的監(jiān)管機(jī)構(gòu)負(fù)責(zé)行業(yè)內(nèi)的網(wǎng)絡(luò)安全管理!爸袊瘁烎~網(wǎng)站聯(lián)盟”雖然不是官方組織,但是在接到投訴后,權(quán)威技術(shù)鑒定機(jī)構(gòu)會立即對其進(jìn)行判定,一經(jīng)認(rèn)定,兩個小時內(nèi)暫停其域名解析,終止欺詐行為。從處理的及時性上大大降低了“釣魚網(wǎng)站”所造成的危害。