●不法分子制作仿冒网站、诱导人们上网、窃取用户账号和密码并进行诈骗的行为,就是“网络钓鱼”
●自7月1日以来,瑞星共截获33965个钓鱼网站,数量还在上升,成为威胁网民利益的第一杀手
●网民不要轻信网上的虚假信息,尤其是泛滥的中奖、促销信息,以免上了“钓鱼网站”的“鱼钩”
网络“钓鱼”,您别上钩 朱慧卿绘
“钓鱼网站” 来者不善
●银行、证券、网购、网游等是重灾区
“本来以为也就是买个山寨机,没想到居然被骗走钱。”最近,北京的小张收到一条QQ促销短信,点击网址链接后进入了一个专售苹果手机的淘宝店铺,店主信誉是钻石级。于是他通过QQ和店主一番讨价还价后下了单。随后对方又发来一个网址链接称可以直接点击付款,说价格又降了一点,并希望小张能多把店铺介绍给朋友。小张也没多想就点了进去,感觉支付页面挺正规的,于是就付了款。没想到十几天后都没收到手机,他赶紧打开收藏的店铺网址,竟显示没有链接!打电话给淘宝网客服,发现根本就没有这个店铺。
“这是非常典型的‘网络钓鱼’式欺诈。”瑞星安全专家王占涛告诉记者,这些店铺网站和网银支付页面做得很逼真,但都是虚假的,最后网民支付的钱会存到不法分子自己的账户里去。“此类制作仿冒网站、诱导人们上网、窃取用户账号和密码并进行诈骗的行为,都可称为‘网络钓鱼’。”
据介绍,欧美国家较早出现此类欺诈现象,因为这些国家在线交易、网上购物等服务开展比较早,用户比较多。以前国内网上购物不发达,网站仿冒很少。近两年,国内电子商务发展很快,该类事件越来越多,网络欺诈越演越烈。
“国家互联网应急中心经常会收到国内外对仿冒网站的投诉。”该中心运行部主任周勇林说,总体来看,银行、证券、网上购物、网络游戏和网上电信营业厅是“网络钓鱼”的重灾区。具有诱惑力的伪造邮件、即时消息或者论坛发布的虚假促销广告是“鱼饵”,“鱼钩”就是构建的虚假网站,即“钓鱼网站”。
据最新的瑞星安全报告显示,上半年瑞星系统共截获钓鱼网站86307个。但由于目前的技术手段、辨识手段所限,实际存在的钓鱼网站可能数十倍于这个数字。报告分析说,钓鱼网站主要仿冒QQ网站及客户端、邮箱、银行、支付宝等网络支付工具、淘宝等购物网站和医疗、药品网站。
王占涛说,传统的“钓鱼网站”通常仅指假冒银行、假冒邮箱的网站,但随着互联网应用的出现,钓鱼网站更成为庞大互联网诈骗中的重要一环。如假冒著名网站销售伪劣商品,假冒支付网站骗取钱财,以及假冒证券网站骗取股民咨询费等。
网络钓鱼何以泛滥
●牟取暴利,已初步形成黑色产业链
网络钓鱼不但威胁网民利益,更从根本上动摇了网民对一些行业的信任,医药、美容、网络购物、证券咨询等行业受害最为严重。网民在失去对这些行业的信任后,消费意愿降低。据估计,目前网络钓鱼给社会带来的间接损失每年可能超过200亿元。
周勇林分析说,“钓鱼网站”实施欺诈,有的在技术上很简单。比如,WWW.1CBC.COM.CN假冒中国工商银行网WWW.ICBC.COM.CN,然后发邮件称网银升级,用户一旦在假冒银行网站进行账号、密码等输入操作,就会导致被恶意取款;此外,还曾经有完全照搬照抄国家重大水利工程部门网站,然后发布招投标公告借此骗钱的。
当然,也有很复杂的手段,比如黑客通过域名劫持手段,让用户在访问一个网站时被定向到别的网站,或者在电脑中植入木马病毒。“这些复杂的手段具备一定技术含量,有的甚至比较高级。这些黑客应该就是网络钓鱼黑色产业链的核心人物。”周勇林说。
记者在网上看到,“出售QQ2010钓鱼源代码,7×24小时在线服务,包安装,只需××元”,像这样黑客出售“钓鱼网站”的帖子近期大量出现。由于“网络钓鱼”整个过程完全实现了流水线式的作业,有的黑客甚至会利用工具“批量化生产钓鱼网站”,这样只要有人购买,黑客就可以在一天之内建立起数百个钓鱼网站。
自7月1日以来,瑞星共截获33965个钓鱼网站,其整体数量正呈不断上升的趋势,而疯狂出售钓鱼网站的黑客,正成为给网络诈骗推波助澜的幕后黑手。“根据我们上半年的统计,网络钓鱼的黑色产业链初步形成,其危害首次超过传统的病毒和木马,成为威胁网民利益的第一杀手。”王占涛说。
“从仿冒来讲,他们肯定不是一个人,否则很难去获利。他们利用‘肉鸡’(无辜受控的电脑)快速建设一大群假冒页面,然后大量发送垃圾邮件,骗取用户访问,然后快速清除痕迹。从建一个钓鱼网站到‘收工’,只需要一天甚至几小时。”周勇林告诉记者。
专业人士称,目前,网络钓鱼已经形成一个完整的产业链:“钓鱼网站源代码编写—销售—建立假银行、假QQ网站,实施钓鱼欺诈—骗钱”,每个环节都有专职人员提供服务,只要懂基本的电脑操作,任何人都可以花几百元雇佣这些人建立一个钓鱼网站,开始自己的“赚钱大计”。一旦有用户上当,就可获取几百元至上万元不等的收益。
现有技术无法解决
●传统杀毒永远跑在钓鱼网站后面
多数钓鱼网站为逃避相关部门对其监控和取证,生命周期很短,通常一个钓鱼网站在网上的生存时间不超过一个月,有的只存活几天甚至几个小时。
“网络仿冒欺诈成本很低。”周勇林说,不法分子一次发送几百万甚至几千万封电子邮件,以10%的概率估算,从网民打开邮件,到点击邮件中的链接到钓鱼网站查看,再到被钓上钩,只要一次有几个人,都是“成功”,而成本也就是几毛钱的网费而已。
王占涛说,传统主流杀毒软件都是采用“网址对比”的方式拦截钓鱼网站:当用户发现一个可疑网站,就通过论坛发帖、邮件、打电话等方式报告杀毒厂商,厂商辨别出钓鱼网站后,把这些网站的URL地址加入到杀毒软件的“黑名单”。当用户去访问某个网站时,杀毒软件将其跟黑名单中的网址进行对比,发现之后对用户发出警告,阻止其访问。
然而,随着“钓鱼网站产业链”的形成,建立一个钓鱼网站只需要几分钟,上述处理方式就显现出了缺陷,只能永远跑在钓鱼网站之后。“如果黑客建立一个新的钓鱼网站,那对于现有杀毒软件来讲,它是全新的、未知的,因此不能辨别。”
今年4月,瑞星截获一个钓鱼网站,该网站会记录访问的人数,每当有10人访问此网站后,它会自动关闭,自动生成另一个地址。这样等不到杀毒厂商把那个网址加入黑名单,它已经“原地复活”。 瑞星还曾在一天之内,截获100多个内容完全一样,但域名不一样的假冒“央视6+1”中奖的钓鱼网站。
钓鱼网址的仿冒和欺诈类手段,也无一例外地利用了网民“急于发财、急于赚钱、贪便宜”的心理特点,利用“中奖、中大奖”、“发财,买股票、买彩票”等复杂的陷阱,引诱网民上钩。
据不完全统计,目前出现的“钓鱼网站”中,81%是各种各样的中奖骗局。这些骗局会宣称“您在腾讯举办的抽奖活动中中奖,获得小轿车一辆。领奖前请先交个人所得税或者某某名义的钱”,诱骗戒心不足的网民上当。
“反钓”需要多方合力
●建立行业联盟,设立网站“白名单”
周勇林说,防范“钓鱼网站”,首先网民不要轻信网上的信息,尤其是泛滥的中奖、促销信息。陌生人发来的邮件不要随意去点。遇到看似真实的邮件,最好先打电话咨询一下,比如网上银行的客服电话等。
“目前,用户发现并向国家互联网应急中心举报假冒网站之后,我们先进行确认,然后通知该网站的域名注册商或是IP地址在国内的运营商,让他们采取禁止访问等措施。”周勇林说,但这种机制目前还是属于事后追惩,无法事先预防。
王占涛说,从技术层面来看,钓鱼网站与病毒不同,很多钓鱼行为、特征分辨需要人工处理,可能耗费极大的人工成本,小厂商无法承担先期巨大的投入,而且目前能够防范和打击的钓鱼网站只是少部分,尚无法从根本上解决大量网民遇到的假购物、假医疗等钓鱼网站威胁问题。
有关专家介绍,在监管层面,对“钓鱼网站”还没有明确的定义,行业内对如何辨别钓鱼网站尚未形成共识。此外,目前的“反钓工作”是分散在各个受害企业中独立进行的,比如工商银行、淘宝、中信证券、腾讯、招商银行等,都设立了自己的“反钓”部门,专门打击钓鱼网站,但他们通常只是针对危害自己的钓鱼网站进行打击,尚未形成合力。
“治理网络欺诈仿冒行为,需要各方面综合治理才行,比如建立行业联盟机制,设立行业内的真网站‘白名单’。各行各业和各部门也可以适当定期向公众发布信息,让普通网民能及时了解并找到可信信息。”周勇林说。