“网络钓鱼”新迹象
“网络钓鱼”案件频现,不但需要每个网民重视联系方式、身份证号码、银行卡信息等个人信息的保护,还需相关机构和部门加大打击力度
文/《瞭望》新闻周刊记者李松
“金融行业网站频频遭遇网络钓鱼,成为不法分子骗取钱财和窃取隐私的重点目标。我国网络安全形势日趋严峻复杂,互联网管理规范亟待加强。”1月11日,在北京召开的“2011中国互联网产业年会”上,中国互联网协会副理事长高新民如是疾言。
近年来,“网络钓鱼”已成为一种新型的网络诈骗行为,按当前主流定义,它是指通过欺骗性的电子邮件和伪造的网络站点等手段来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网上银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息,进而盗窃其财产。
“从社会工程学角度看,所谓‘网络钓鱼’是指运用欺诈心理结合电脑科技的新犯罪手法。”国家计算机病毒应急处理中心工程师梁宏这样认为。
中国社会科学院新闻与传播所所长尹韵公研究员接受《瞭望》新闻周刊记者采访时表示:“网络钓鱼已日益成为困扰广大网民、企业及互联网经济发展的暗礁,也成为了网络治理的一个难点。”
多位受访专家认为,“网络钓鱼”已给互联网健康发展带来了严重损害,应把其作为互联网治理的重点对象之一。
亲历“网络钓鱼”
2012年春运,铁道部首次专门开通了网上购票系统,由于其方便快捷,许多旅客将网络购票作为首选方式。然而,一些“钓鱼”网站也相继浮出水面,通过设置各种购票“陷阱”骗取钱财。
“我在铁路部门官方网站没买到火车票,就登录国内信誉较好的‘去哪儿网’购票,却通过一个链接进入了一家名为‘逍遥行上海营业部’的网站购票,不但没买到票,还被骗了钱。”家住北京海淀区的苏女士打算春节带孩子回南方老家探亲,心有余悸地向本刊记者讲述她的遭遇。
“这个网站看上去很规范,上面列着车次、价格、送票费等信息,还需要旅客填写姓名、身份证件号码、手机号码、送票地址等个人信息。”苏女士说,“当时我很兴奋,没多想就填好这些信息,并按了‘购买’按钮。网站提示我选择通过哪家银行的网银付款,我点了建设银行。”
在新打开的“建设银行”网银付款页面上,苏女士输入银行账号密码,核对无误后就点击付款。当时她想,火车票那么紧张,这个网站能帮她买到票吗?不放心之下,她就拨打网站上的服务热线4006976678咨询。
接电话的男子先问了她的手机号码,随后告知那趟火车没票了,可退还票款,叫她去最近的建行ATM。几分钟后,苏女士来到建行ATM网点。对方问:有“申请退款”按键吗?——自然是没有。他就说按“转账汇款”键,并解释说那台ATM系统没更新,“申请退款”必须到“转账汇款”里面,按他说的“交易代码”操作才行。
“尽管当时我也有些怀疑,但因为着急退款,也就稀里糊涂地按他说的做了。”苏女士说,“过了一会,我的手机收到了一条银行扣款短信,被扣去了1580元。”此时,苏女士才意识到已上当受骗,立刻去附近派出所报了案。
1月6日,本刊记者在百度上搜索关于“逍遥行上海营业部”的信息,发现与苏女士一样遭遇的人不在少数。
本刊记者也去这个网站实际操作,除了没有最终“转账汇款”,苏女士经历的一切程序都在本刊记者身上重演。
在苏女士帮助下,本刊记者还找到那家“建设银行”的网站,其网址为“https://ibsbjstar.ccb.com.cn”,下端标明“中国建设银行版权所有”字样。随后,本刊记者致电中国建设银行95533热线,接线员告知上述网站为假冒网站,而该行官方网站网址是“www.ccb.com”。接线员还说,最近他们也陆续接到过此类举报,并已向相关部门进行了反映。
1月10日,本刊记者再次输入“逍遥行上海营业部”网址时发现,360安全浏览器已发出“虚假票务网站”的警示。
当本刊记者登录“去哪儿网”时,看到该网站火车票专栏中已贴出了公告:暂停火车票预订服务。该公告还提醒,“网上支付需选择第三方支付平台,切忌向个人银行账户汇款。一旦收到需要进行银行汇款或转账的要求,消费者要提高警惕。此外,请勿进行任何ATM打款购买火车票、退款等操作。”
铁路工作人员提醒,目前唯一的铁路部门订票官网为www.12306.cn,唯一的官方订票电话为95105105。其他可购买火车票的渠道有火车站窗口、被授权的代售点,只有通过这些正规渠道购票,才能防止上当受骗。
直至本刊记者1月12日下午5点发稿时,假冒建行网站的“钓鱼”网站,仍处于正常运行状态。
主要“钓鱼”手法
根据艾瑞咨询的统计数据显示,2011年三季度中国支付行业网上支付业务交易规模达到6155亿元,同比增长130.7%,环比增幅达到34.8%。
互联网支付业务交易规模的不断增长,也为黑客“网络钓鱼”提供了更多机会。据中国反钓鱼网站联盟公布,2011年上半年认定并处理的钓鱼网站达18782个,与2010年同比增长近两倍。
而中国互联网络信息中心发布的报告也显示,2011年上半年,遭遇过病毒或木马攻击的网民为2.17亿人,占网民的44.7%。有过账号或密码被盗经历的网民达1.21亿人。有8%的网民于调查前的半年内在网上遇到过消费欺诈。
尹韵公指出,春节临近,随着人们消费需求的大规模增长,也带来互联网支付业务交易量猛增,会出现“网络钓鱼”节前“井喷”现象。
近年来,从传统的电话、传真,到电子邮件、QQ、MSN等即时通讯软件弹窗,再到社交网站、微博,越来越多的网络交流平台载体,都成为黑客进行“网络钓鱼”,诱使网民上当受骗的重要工具。
目前“网络钓鱼”手法主要有四种:
第一,利用电子邮件,以虚假信息引诱用户中圈套。这些邮件多以中奖、对账等内容引诱用户在邮件中填入金融账号和密码,或以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。
第二,利用假冒网上银行、网上证券网站,骗取用户账号密码实施盗窃。建立起域名和网页内容都与真正的网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或伪造银行储蓄卡、证券交易卡盗窃资金。
第三,利用虚假的电子商务进行诈骗。在知名电子商务网站发布虚假商品信息,以所谓“超低价”、“走私货”、“慈善义卖”、“免税”等名义出售,在收到受害人的购物汇款后就销声匿迹。
第四,利用“木马”和“黑客”技术窃取用户信息。在发送的电子邮件中或在网站中隐藏“木马”程序,在感染“木马”的计算机上进行网上交易时,“木马”程序即以键盘记录方式获取用户账号和密码。
从以往曝光案例看,“网络钓鱼”诈骗者经常采取以上几种手法交织、配合进行,欺骗性极强。
在多位受访专家看来,“网络钓鱼”还呈现“扎堆”、“假日”和“热点”三大效应和“境外域名为主、主动建网站为主、非法入侵挂马和假冒侵权网站冒头”等特点。
黑色产业链初步形成
国家计算机网络应急中心2009年估算,其时国内“网络钓鱼”让网民的损失已达76亿元。也就是说,全国3.16亿网民平均每人损失24元;若按其中8788万的活跃网购用户来计算,平均每人损失86.5元。
2011年瑞星公司发布的互联网安全报告显示,2011年上半年新增“钓鱼”网站218万个,超过1亿人次的网民受到侵袭,造成的直接经济损失至少达百亿元。
本刊记者通过“线人”接触到的一位圈内人士透露,“钓鱼”网站的黑色产业链已形成并趋于成熟,从“源代码编写——销售——建立钓鱼网站,再到实施钓鱼欺诈——骗钱”,都有专职人员提供“一条龙”服务。他称,“任何懂点电脑操作的人,只要花几百元钱,都可雇用他们建立一个钓鱼网站。”
这位圈内人士说,一个“钓鱼”网站如果运作得好,每个月可以通过各种渠道获得近千笔的非法交易,非法盈利有些甚至可达数十万元。
中国反钓鱼网站联盟秘书长齐麟认为,钓鱼网站除了使网民和企业遭受巨大的经济损失外,还严重打击了网民对电子商务的信任度,从而严重制约了互联网经济的发展,对于网络治理也提出了更大的挑战。
“‘对象分散、手段多样、产业链完善’的特点,导致了钓鱼网站的防患和治理难度加剧。”齐麟介绍,目前的“反钓”工作是分散在各个受害企业中独立进行的,比如工商银行、淘宝、中信证券、腾讯、招商银行等,都设立了自己的“反钓部门”,专门打击钓鱼网站。
“由于各企业通常只是针对危害自己的钓鱼网站进行处理,这种分散的处理方式也难以形成合力,难以对整个钓鱼网站利益链形成有效打击。”齐麟说。
瑞星公司一位网络安全专家指出,很多“钓鱼”网站与“挂马”(在获取网站或者网站服务器的部分或者全部权限后,在网页文件中插入一段恶意代码)网站结合,与流氓软件结合,与病毒结合,与网民的购物习惯结合,以“分辨域名”方式,普通网民根本无法查证真伪,“钓鱼网站的危害,已经逐渐赶上甚至超过病毒给用户带来的危害。”
国家互联网应急中心运行管理部处长周勇林曾对媒体表示,作为世界上互联网应用人口最多的国家,多数中国网民缺乏网络安全防范意识,且各种操作系统及应用程序漏洞不断出现,这是导致广大网民遭遇网络钓鱼的重要原因。
提升网络安全
多位受访专家认为,针对“网络钓鱼”案件频现,不但每个网民要重视联系方式、身份证号码、银行卡信息等个人信息的保护,还需相关机构和部门加大打击力度。
“在网购过程中,网民一定要提高自身的网络安全意识,如果遇到需要输入账号、密码的环节,交易前一定要仔细核实网址是否准确无误。”尹韵公建议,同时,网购用户应安装相关网络防护产品,要及时升级自己的杀毒软件,全面防护电脑安全,有效防止各类网络钓鱼和欺诈行为。
尹韵公还特别提醒,“网络钓鱼”第一步先套取用户个人信息,如果对方要求到ATM给陌生账号转款,实施诈骗的可能性就极大。
“钓鱼网站与病毒不同,很多钓鱼行为、特征分辨需要人工处理,需要耗费极大的人工审核成本。”瑞星公司一位网络安全专家呼吁,“目前仅仅依靠安全软件的力量远远不够。政府、企业、用户能够联合起来,共同抵制钓鱼网站。”
长期研究互联网的专家、新生代市场监测机构副总经理肖明超认为:“电子商务交易涉及到购物网站、银行、支付平台、即时通讯服务等多个环节。因此,网络钓鱼单靠任何一方并不能完全杜绝,而要多方形成合力。”
他举例说,网站要针对“网络钓鱼”的最新变种及时推出安全保障措施,域名管理机构要限制和监督非法域名,安全厂商结合钓鱼的最新骗术加强技术创新,同时要对消费者及时提醒和警示,对于网络钓鱼的安全防范的知识教育也很重要,而应尽快出台法律法规才能更有效地遏制。
受访法律界人士认为,作为一种新型网络犯罪行为,“网络钓鱼”不仅给网民个人造成了经济损失,而且严重干扰了网络交易秩序,但由于多数案值不高、违法手段多样、地域跨度大等因素,导致防范和打击难度较大。
“要从多个方面完善对网络钓鱼等违法行为的法律规制。”北京中盛律师事务所杜立元律师认为,2004年颁布的电子签名法是我国信息安全方面仅有的一部专门性法律,其他涉及信息安全保护的条款散见于刑法、侵权责任法等法律之中,目前还缺乏一部专门用于规范网络行为、明确网络用户及网络服务提供者等各方权利义务、有效保障网络交易及信息安全的综合性法律。
杜立元说,2009年,刑法修正案(七)增加了有关出售、非法提供公民个人信息,窃取、非法获取公民个人信息,非法获取计算机信息系统数据以及非法控制计算机信息系统等违法行为规定,加大了对公民个人信息的保护力度,也明晰了网络黑客犯罪的几种形态。但是上述规定在犯罪主体、行为方式等方面还有一定限制,不能完全涵盖新型的网络犯罪行为,其具体规定也有待细化。
有鉴于此,杜立元建议,首先应在立法层面继续完善网络交易安全、公民信息保护等方面的法律法规,尤其是要针对“网络钓鱼”等违法行为的特点,出台具有可操作性的专门性规定,比如相关司法解释等;其次,要进一步加大对“网络钓鱼”的惩治力度,可以考虑通过提高刑期、罚金数额等方式,增加犯罪成本,从而抑制“网络钓鱼”等违法行为;在网络监管方面,有关部门应该建立相应的防范机制和联动机制,多层面、立体式推进网络安全建设。
由于有的“钓鱼”网站使用的是设在境外的服务器,杜立元认为还需要加强国际合作,建立跨境网络安全事件的应对机制,全面提高网络安全处置能力。□
附:去哪儿网针对火车票400诈骗电话的进一步官方回复
作为全球最大的中文在线旅行网站,去哪儿网是一家有责任心的企业,一贯本着对消费者负责,对社会负责的态度。去哪儿网也非常感谢多家媒体对我们工作的监察与督促,并真诚接受广大消费者及各界人士对我们的监督与指导。
2012年1月9日,《新民晚报》、《解放日报》、《重庆晨报》报道的火车票诈骗事件,经我们认真核实和调查,其实是由消费者自行在类似百度、谷歌等通用搜索引擎上,搜索 “逍遥行上海营业部”,结果误搜到来路不明的400电话,并被诈骗团伙误导,进行了线下ATM机转账操作,遭遇了骗局。“逍遥行上海营业部”是去哪儿网火车票代理商之一,也在去哪儿网“担保通”体系中。但该诈骗电话的获取渠道系消费者自行在通用搜索引擎搜索到来路不明的400电话导致,并非由去哪儿网和“逍遥行上海营业部”提供。
去哪儿网在事发的第一时间就主动联系了消费者,详细了解情况后,已经协助消费者一起进行报案,去哪儿网将全程陪同消费者处理后续事件。
去哪儿网客服人员与受骗消费者林先生(真实姓名是刘先生)核实确认:当时受骗消费者林先生预订火车票过程中操之过急,在通用搜索引中搜索到来路不明的400电话,林先生拨打诈骗电话后遭遇了骗局。
与消费者联系内容备有书面记录及录音材料,可随时供警方调阅。后续处理过程,欢迎广大媒体和去哪儿网一起跟进,帮助消费者用法律武器维护权益。
目前此案件的最新情况是,上海陆家嘴派出所1月11日已经就此事件进行了立案,并出具了此案与去哪儿网无关的回执。
相关新闻
更多>>