■编者按
明天就是“3·15”消费者权益保护日,投资周刊将目光锁定近来备受关注的网络支付安全问题。近年来,随着网购、网上理财等网上消费越来越多,不法分子通过钓鱼网站频频窃取用户的密码。去年11月中旬到春节前两个月时间,全国有数百人因为泄露金融信息而损失几千、几万到几十万甚至上百万。据了解,这类案件的破案率低,追回损失的可能性小,造成的危害已经引起全社会高度重视。解决之道无外乎两个:堵住漏洞,提高警惕。
□名词解释
网络钓鱼是指不法分子假冒银行网站或仿冒银行网上购物支付网页,诱使客户输入银行卡号、网上银行密码或口令以盗取客户信息,实施违法的活动。当前网络钓鱼将重点放在了伪造与正规机构极度相似的域名和网页以欺骗网民,使消费者误以为是自己在正规的网站操作,由于目前“钓鱼网站”的伪装极为高明,再加骗子根据受骗对象的情况进行适当的鼓动,使一些警惕性不高的网民受骗上当,轻则造成姓名、手机号、通信地址、银行账号和密码等用户私密信息泄漏,重者造成经济损失。
热点?
个人金融信息泄露有增多趋势
根据金山网络统计,2010年,新增钓鱼网站数量明显一路走高,1-10月,平均每天新增的与网络购物相关的钓鱼网站约为1500个。有近28%的互联网用户遭遇过虚假钓鱼网站、诈骗交易、交易劫持、网银被盗等针对网络购物的安全攻击。另有统计显示,钓鱼网站中,打着淘宝网、腾讯网、银行旗号的钓鱼网站举报量位列前三位,占九成以上。在这些“钓鱼网站”中,以“假中奖”及“假购物网站”居多,占总量的90%以上。
这些网站大部分行动迅速,寿命很短。据瑞星最新发布的《2010年第三季度网络钓鱼报告》显示,现在每天出现的新“钓鱼网站”,其中二成左右的寿命只有1天,而“短命”的主要原因是为了躲避打击。
看起来技术含量不高的网络钓鱼,却让越来越多的网购人群深受其害。根据金山网盾数据中心的数据,2010年11月,每日新发现的钓鱼网站数量都在300个左右,其中80%的钓鱼网站都会被买家或者卖家点击,在被网购用户点击到的这240个钓鱼网站中有20%-30%交易成功。
据了解,一个钓鱼网站只要在一天之内获得一笔成功交易记录,就可以在短短两分钟之内把你支付账户里的存款全部吞掉。一个被活跃运作的钓鱼网站,每个月可以通过各种渠道获得近千笔的非法交易。据瑞星提供的数据,今年第三季度因“钓鱼”诈骗遭受的直接及间接经济损失,比去年同期大幅上升,据估算可能高达50亿元至70亿元。而单个网银被盗案例甚至涉及金额上达数百万。
金山网络专家分析表示,这类案件迅速增加的原因在于钓鱼网站的制作简单,投资少见效快。同时,传统安全软件对钓鱼网站的识别还不够及时准确。再加上网民的安全意识薄弱,疏忽大意普遍存在,一旦上当受骗之后,还存在电子取证难的问题,致使网络钓鱼的危害急剧飙升。而2010年,病毒木马和钓鱼网站相互勾结、相互推广的情况也并不少见。可牛安全专家表示,目前“钓鱼欺诈”已经取代传统的木马病毒成为了用户上网安全的主要威胁。
分析?
利用病毒技术盗取信息
钓鱼网站究竟是如何从你的网银里偷走钱的呢?记者发现,目前钓鱼网站网银诈骗路径一般是,首先第一步向银行网银用户发送诈骗短信,例如“尊敬的网银用户:你的银行口令将于于次日过期,请尽快登陆www.××××.com(一个伪装银行主页)进行升级,给您带来的不便敬请谅解。”
第二步便是诱导网银用户上“钓鱼网站”。诈骗短信中提及的网站基本和银行官方网站一模一样,网银用户在登陆“钓鱼网站”时真实信息立即被窃取。
盗了网银用户信息后,非法分子会快速进行转账,将该网银用户资金调出。犯罪分子用窃取来的网银用户真实的用户名、密码、动态口令、身份信息登录网上银行官方页面,在动态口令还没来得及更新的时候就将帐户金额转走。而在1分钟的时间里,犯罪分子没有来得及在动态口令变化的时间之内转走账上金额时,钓鱼网站会向网银提示,系统忙,升级失败,重新输入新的动态口令快速转账。
绝大部分山寨银行网页不仅与真正的银行官网长相几乎一模一样,网址也极具迷惑性,很多时候其网址仅比官网多了一个后缀或几个字母。
“同欺诈下载一样,钓鱼网站也是一种低技术含量的威胁,但网站采用的骗术却能屡屡得手。而数字大盗病毒实现了病毒技术和钓鱼网站近乎完美的结合,给网购网银用户构成严重威胁。”金山网络专家指出,目前病毒木马与钓鱼网站相互“勾结”越发突出,大量病毒木马会在用户桌面弹出钓鱼网站的广告页面,用低价、中奖等诱饵,令网民上当受骗。
据监测,2010年出现的绑架型木马还会通过篡改浏览器,锁定主页等方式,将用户的主页引导到其指定的网址导航站,通过修改用户桌面图标或收藏夹的网址,使用户防不胜防地掉入欺诈钓鱼的陷阱。
目前互联网上活跃的钓鱼网站传播途径:
1.通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接。 2.在搜索引擎、中小网站投放广告,吸引用户点击钓鱼网站链接,此种手段被假医药网站、假机票网站常用。
3.通过Email、论坛、博客、SNS网站批量发布钓鱼网站链接。
4.通过微博、Twitter中的短连接散布钓鱼网站链接;通过仿冒邮件,例如冒充”银行密码重置邮件”,来欺骗用户进入钓鱼网站。
5.感染病毒后弹出模仿QQ、阿里旺旺等聊天工具窗口,用户点击后进入钓鱼网站。
6.恶意导航网站、恶意下载网站弹出仿真悬浮窗口,点击后进入钓鱼网站。7.伪装成用户输入网址时易发生的错误,如gogle.com、sinz.com等,一旦用户写错,就误入钓鱼网站。
应对?
支付环境安全急需升级
2010年,针对网购的钓鱼网站给网民造成重大损失。针对目前诈骗案件多发态势,不少银行已经与公安机关建立了打击电子银行犯罪活动的联动机制,协助公安机关实施快速打击。但金山软件预计,2011年这方面的攻击数量还会持续增长。“针对骗术的鉴定和拦截仍然需要不断改进,目前的成功率仍然不够理想。网络骗术花样不断翻新,当一种骗术成功率不高时,骗子们就会尝试新招数。”专家分析指出。不断完善网上银行技术防范措施,加强交易欺诈监控已经成为了银行迫切要解决的问题。
钓鱼案例多发后,目前很多网上支付安全控件或者密码的安全性受到了多方质疑。钓鱼网站频频得手,但国内现有处理机制都难以有效制止。对“网络钓鱼”的诈骗行为,工信部和公安部目前都设有专门的监管机构,其他各大部委也都有专门的监管机构负责行业内的网络安全管理。但由于“钓鱼网站”频繁出现,现有的处理机制很难及时有效制止。
不过,目前国内已经建立专门协调此问题的组织。“中国反钓鱼网站联盟”并非官方机构,它的成员包括了域名管理机构、注册服务机构,以及银行证券类、电子商务类、网络安全类等企业,目的就是为了发现和治理“钓鱼网站”,主要是针对假冒其成员单位的“钓鱼网站”。该联盟在接到涉及联盟成员的投诉后,权威技术鉴定机构会立即对其进行判定,一经认定,两个小时内暂停其域名解析,终止欺诈行为,从处理的及时性上大大降低了“钓鱼网站”所造成的危害。
但专家也指出,联盟的成员单位目前还是有限,对于层出不穷的“钓鱼网站”,国内反钓鱼网站协调机制和反钓鱼网站综合治理体系的建设还需进一步推进。另外,国家有关的法律法规也有待进一步完善。
“支付控件和电子口令等方式虽然免费,也有一定的安全性,但是现在钓鱼网站让人很难准确识别,防不胜防,一不小心就可能上当受骗,一旦密码被人骗取,就可以随意从你的帐户转钱。我以前就遇到过这种情况。”这种情况下,线下安全确认似乎是一个比较原始但有用的方法。一位用户在网上交流区表示,支付机构保证给客户提供一个安全可靠的网络支付环境,责无旁贷。
■支招
勿轻信不明信息,养成良好操作习惯
广东工行电子银行专家对广大消费者支招表示,虽然目前网络钓鱼的骗术不断翻新,但只要大家养成良好的操作习惯,不贪图小便宜并做好适当的防护措施,能够有效降低成为“鱼”“被钓”的风险。
该专家表示,网银用户首先要养成良好的操作习惯,如果要进入银行、网上交易类型的网站,一定要仔细查看浏览器地址栏中的域名是否正确,不要轻信论坛、博客、社区内的广告性帖子和别人发来的邮件,对其中包含的链接要保持高度警惕,没有十足把握不要进入,更不要做任何涉及登录名、密码等个人私密信息的操作。其次是切记不要贪便宜。不要轻信低价、特价、中奖等信息,网络骗子和现实中的一样,最喜欢利用普通用户的这种心理,一旦被吸引入局,则可能步步被套。再次是要做好适当的防护措施,如安装工行的防钓鱼安全控件、安装杀毒软件并保持及时更新杀毒软件和操作系统补丁,当前主流的杀毒软件基本上都提供防钓鱼的功能,当网友访问工商银行等大部分知名网站时,杀毒软件能够在地址栏中通过显示网站LOGO或者标示地址栏为绿色等方式向用户“报平安”,方便用户更好地识别,减少上当的风险。
最后,该专家介绍,上述三个方面其实都十分平常,也就是需要平时上网多加小心,时刻注意保护自己的私密信息,在具体操作过程中只要确保自己的杀毒软件已经升级到最新版且网页无异常情况出现,一旦有任何疑问可以先咨询再动手,就可以最大可能的避免遭受莫名的损失。
一、网购防钓鱼
1.域名对比法,就是对比该网站的域名是不是官方域名,如果不是官方域名,哪怕页面再相似,也可以断定其为钓鱼网站。
2.尝试输入法,意思是一旦他人发送来的一个网站提示需要登录或者输入其它信息,网友可以随意输入一个用户名及密码,如果这个网站提示登陆成功的话,那么就可以断定其为钓鱼网站。
二、专业支付平台防钓鱼
1.核对网址,看是否与真正网址一致。
2.选妥和保管好密码,不要选诸如身份证号码、出生日期、电话号码等作为密码,建议用字母、数字混合密码,尽量避免在不同系统使用同一密码。
3.做好交易记录,对网上银行、网上证券等平台办理的转账和支付等业务做好记录,定期查看“历史交易明细”和打印业务对账单,如发现异常交易或差错,立即与有关单位联系。
4.管好数字证书,避免在公用的计算机上使用网上交易系统。
5.对异常动态提高警惕,如不小心在陌生的网址上输入了账户和密码,并遇到类似“系统维护”之类提示时,应立即拨打有关客服热线进行确认,万一资料被盗,应立即修改相关交易密码或进行银行卡、证券交易卡挂失。
6.通过正确的程序登录支付网关,通过正式公布的网站进入,不要通过搜索引擎找到的网址或其他不明网站的链接进入。
三、网银防钓鱼
l.一定要登录银行的官方网站。
2.在登录网银或是通过购物网站使用网银支付时,网址的前缀应为“https”,而且浏览器上会显示一个“挂锁”图形的安全证书标志。如果使用的网银不符合这两项条件,就不该输入自己的银行账户和密码。
3.如果遇到相关的“网银升级”或“银行系统升级”的短信,要及时拨打银行的客服电话进行咨询,不要轻易相信,同时要特别留意发送短信的端口,如果不是银行的专用端口而是个人的手机号码,诈骗的可能性就非常大。
4.要对网上银行转账功能进行一定的限制,如每天的最大转账额度以及转账次数等,这样即使网上账户被盗,由于有转账额度限制,也可以防止太大的财产损失。
5.设置网银登录欢迎信息,以便确认登录的是正式的官方网站,并养成定期查看网上银行余额的习惯,最好于月末或季末打印网上银行业务对账单。
6.开通一些短信提醒功能,如对网银登录、登录密码连续输错、转账汇款等及时进行短信提醒。
7.及时升级电脑系统补丁和杀毒软件,使用防火墙等网络保护工具,采用正版可靠的杀毒工具并及时升级,定期对计算机进行杀毒处理,保证网银操作环境的安全性。
8.避免在公共场所(如网吧、机场等)使用网上银行,因为无法知道这些计算机上是否装有恶意程序进行监控。
南方日报记者 黄倩蔚 实习生 肖垚