网络“钓鱼”，您别上钩  朱慧卿绘

    ●银行、证券、网购、网游等是重灾区

    “本来以为也就是买个山寨机，没想到居然被骗走钱。”最近，北京的小张收到一条QQ促销短信，点击网址链接后进入了一个专售苹果手机的淘宝店铺，店主信誉是钻石级。于是他通过QQ和店主一番讨价还价后下了单。随后对方又发来一个网址链接称可以直接点击付款，说价格又降了一点，并希望小张能多把店铺介绍给朋友。小张也没多想就点了进去，感觉支付页面挺正规的，于是就付了款。没想到十几天后都没收到手机，他赶紧打开收藏的店铺网址，竟显示没有链接！打电话给淘宝网客服，发现根本就没有这个店铺。

    “这是非常典型的‘网络钓鱼’式欺诈。”瑞星安全专家王占涛告诉记者，这些店铺网站和网银支付页面做得很逼真，但都是虚假的，最后网民支付的钱会存到不法分子自己的账户里去。“此类制作仿冒网站、诱导人们上网、窃取用户账号和密码并进行诈骗的行为，都可称为‘网络钓鱼’。”

    据介绍，欧美国家较早出现此类欺诈现象，因为这些国家在线交易、网上购物等服务开展比较早，用户比较多。以前国内网上购物不发达，网站仿冒很少。近两年，国内电子商务发展很快，该类事件越来越多，网络欺诈越演越烈。

    “国家互联网应急中心经常会收到国内外对仿冒网站的投诉。”该中心运行部主任周勇林说，总体来看，银行、证券、网上购物、网络游戏和网上电信营业厅是“网络钓鱼”的重灾区。具有诱惑力的伪造邮件、即时消息或者论坛发布的虚假促销广告是“鱼饵”，“鱼钩”就是构建的虚假网站，即“钓鱼网站”。

    据最新的瑞星安全报告显示，上半年瑞星系统共截获钓鱼网站86307个。但由于目前的技术手段、辨识手段所限，实际存在的钓鱼网站可能数十倍于这个数字。报告分析说，钓鱼网站主要仿冒QQ网站及客户端、邮箱、银行、支付宝等网络支付工具、淘宝等购物网站和医疗、药品网站。

    王占涛说，传统的“钓鱼网站”通常仅指假冒银行、假冒邮箱的网站，但随着互联网应用的出现，钓鱼网站更成为庞大互联网诈骗中的重要一环。如假冒著名网站销售伪劣商品，假冒支付网站骗取钱财，以及假冒证券网站骗取股民咨询费等。

    网络钓鱼何以泛滥

    ●牟取暴利，已初步形成黑色产业链

    网络钓鱼不但威胁网民利益，更从根本上动摇了网民对一些行业的信任，医药、美容、网络购物、证券咨询等行业受害最为严重。网民在失去对这些行业的信任后，消费意愿降低。据估计，目前网络钓鱼给社会带来的间接损失每年可能超过200亿元。

    周勇林分析说，“钓鱼网站”实施欺诈，有的在技术上很简单。比如，WWW.1CBC.COM.CN假冒中国工商银行网WWW.ICBC.COM.CN，然后发邮件称网银升级，用户一旦在假冒银行网站进行账号、密码等输入操作，就会导致被恶意取款；此外，还曾经有完全照搬照抄国家重大水利工程部门网站，然后发布招投标公告借此骗钱的。

    当然，也有很复杂的手段，比如黑客通过域名劫持手段，让用户在访问一个网站时被定向到别的网站，或者在电脑中植入木马病毒。“这些复杂的手段具备一定技术含量，有的甚至比较高级。这些黑客应该就是网络钓鱼黑色产业链的核心人物。”周勇林说。

    记者在网上看到，“出售QQ2010钓鱼源代码，7×24小时在线服务，包安装，只需××元”，像这样黑客出售“钓鱼网站”的帖子近期大量出现。由于“网络钓鱼”整个过程完全实现了流水线式的作业，有的黑客甚至会利用工具“批量化生产钓鱼网站”，这样只要有人购买，黑客就可以在一天之内建立起数百个钓鱼网站。

    自7月1日以来，瑞星共截获33965个钓鱼网站，其整体数量正呈不断上升的趋势，而疯狂出售钓鱼网站的黑客，正成为给网络诈骗推波助澜的幕后黑手。“根据我们上半年的统计，网络钓鱼的黑色产业链初步形成，其危害首次超过传统的病毒和木马，成为威胁网民利益的第一杀手。”王占涛说。

    “从仿冒来讲，他们肯定不是一个人，否则很难去获利。他们利用‘肉鸡’（无辜受控的电脑）快速建设一大群假冒页面，然后大量发送垃圾邮件，骗取用户访问，然后快速清除痕迹。从建一个钓鱼网站到‘收工’，只需要一天甚至几小时。”周勇林告诉记者。

    专业人士称，目前，网络钓鱼已经形成一个完整的产业链：“钓鱼网站源代码编写—销售—建立假银行、假QQ网站，实施钓鱼欺诈—骗钱”，每个环节都有专职人员提供服务，只要懂基本的电脑操作，任何人都可以花几百元雇佣这些人建立一个钓鱼网站，开始自己的“赚钱大计”。一旦有用户上当，就可获取几百元至上万元不等的收益。

    现有技术无法解决

    ●传统杀毒永远跑在钓鱼网站后面

    多数钓鱼网站为逃避相关部门对其监控和取证，生命周期很短，通常一个钓鱼网站在网上的生存时间不超过一个月，有的只存活几天甚至几个小时。

    “网络仿冒欺诈成本很低。”周勇林说，不法分子一次发送几百万甚至几千万封电子邮件，以10％的概率估算，从网民打开邮件，到点击邮件中的链接到钓鱼网站查看，再到被钓上钩，只要一次有几个人，都是“成功”，而成本也就是几毛钱的网费而已。

    王占涛说，传统主流杀毒软件都是采用“网址对比”的方式拦截钓鱼网站：当用户发现一个可疑网站，就通过论坛发帖、邮件、打电话等方式报告杀毒厂商，厂商辨别出钓鱼网站后，把这些网站的URL地址加入到杀毒软件的“黑名单”。当用户去访问某个网站时，杀毒软件将其跟黑名单中的网址进行对比，发现之后对用户发出警告，阻止其访问。

    然而，随着“钓鱼网站产业链”的形成，建立一个钓鱼网站只需要几分钟，上述处理方式就显现出了缺陷，只能永远跑在钓鱼网站之后。“如果黑客建立一个新的钓鱼网站，那对于现有杀毒软件来讲，它是全新的、未知的，因此不能辨别。”

    今年4月，瑞星截获一个钓鱼网站，该网站会记录访问的人数，每当有10人访问此网站后，它会自动关闭，自动生成另一个地址。这样等不到杀毒厂商把那个网址加入黑名单，它已经“原地复活”。 瑞星还曾在一天之内，截获100多个内容完全一样，但域名不一样的假冒“央视6+1”中奖的钓鱼网站。

    钓鱼网址的仿冒和欺诈类手段，也无一例外地利用了网民“急于发财、急于赚钱、贪便宜”的心理特点，利用“中奖、中大奖”、“发财，买股票、买彩票”等复杂的陷阱，引诱网民上钩。

    据不完全统计，目前出现的“钓鱼网站”中，81%是各种各样的中奖骗局。这些骗局会宣称“您在腾讯举办的抽奖活动中中奖，获得小轿车一辆。领奖前请先交个人所得税或者某某名义的钱”，诱骗戒心不足的网民上当。

    “反钓”需要多方合力

    ●建立行业联盟，设立网站“白名单”

    周勇林说，防范“钓鱼网站”，首先网民不要轻信网上的信息，尤其是泛滥的中奖、促销信息。陌生人发来的邮件不要随意去点。遇到看似真实的邮件，最好先打电话咨询一下，比如网上银行的客服电话等。

    “目前，用户发现并向国家互联网应急中心举报假冒网站之后，我们先进行确认，然后通知该网站的域名注册商或是IP地址在国内的运营商，让他们采取禁止访问等措施。”周勇林说，但这种机制目前还是属于事后追惩，无法事先预防。

    王占涛说，从技术层面来看，钓鱼网站与病毒不同，很多钓鱼行为、特征分辨需要人工处理，可能耗费极大的人工成本，小厂商无法承担先期巨大的投入，而且目前能够防范和打击的钓鱼网站只是少部分，尚无法从根本上解决大量网民遇到的假购物、假医疗等钓鱼网站威胁问题。

    有关专家介绍，在监管层面，对“钓鱼网站”还没有明确的定义，行业内对如何辨别钓鱼网站尚未形成共识。此外，目前的“反钓工作”是分散在各个受害企业中独立进行的，比如工商银行、淘宝、中信证券、腾讯、招商银行等，都设立了自己的“反钓”部门，专门打击钓鱼网站，但他们通常只是针对危害自己的钓鱼网站进行打击，尚未形成合力。

    “治理网络欺诈仿冒行为，需要各方面综合治理才行，比如建立行业联盟机制，设立行业内的真网站‘白名单’。各行各业和各部门也可以适当定期向公众发布信息，让普通网民能及时了解并找到可信信息。”周勇林说。