一、概述
1、网络钓鱼简介
网络钓鱼(Phishing,与钓鱼的英语 fishing 发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID、ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击是将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息。通常这个攻击过程不会让受害者警觉,它是"社会工程攻击"的一种形式。
2、网络防钓鱼的必要性
网络钓鱼就是通过大量发送欺骗性的 E-mai 和伪造的 WEB 地址链接或页面来进行诈骗活动,使受骗者泄露自己的重要数据(如银行账号和密码、QQ 的密码等信息)的一种攻击方式。网络钓鱼的发生给电子商务和网络营销带来了巨大的危害,它不仅影响了电子商务的经济秩序,蔓延了网络诈骗活动,增大了信用建设成本,也使一些网民遭受钱财损失,还破坏了网上诚信交易环境。
因此,网络防钓鱼刻不容缓。焜安密宝在这方面拥有强大的技术团队和丰富的网络防钓鱼经验,可使网络上那些恶意的带欺骗性的链接或WEB 页面变为无效,还用户的网络世界一片干净的天空。
二、网络钓鱼的主要手法
1、通过电子邮件
发送电子邮件,以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。
如 2008 年 2 月份发现的一种骗取美邦银行(Smith Barney)用户的账号和密码的"网络钓鱼"电子邮件,该邮件利用了 IE 的图片映射地址欺骗漏洞,并精心设计脚本程序,用一个显示假地址的弹出窗口(如图 1 黑色框)遮挡住了 IE 浏览器的地址栏,使用户无法看到此网站的真实地址。当用户使用未打补丁的 Outlook 打开此邮件时,状态栏显示的链接是虚假的,如图 1 所示。
当用户点击链接时,实际连接的是钓鱼网站 .该网站页面酷似 Smith Barney 银行网站的登陆界面,如图 2 所示。而用户一旦输入了自己的账号密码,这些信息就会被黑客窃取。
2、建立假冒网上银行
建立假冒网上银行、网上证券网站,骗取用户账号密码实施盗窃。犯罪分子建立起的网站域名和网页内容都与真正的网上银行系统、网上证券交易平台极为相似,以此引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意 Html 代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用 cookies窃取用户信息。
如曾出现过的某假冒银行网站,而真正银行网站是,犯罪分子利用数字 1 和字母 i 非常相近的特点企图蒙蔽粗心的用户。
3、利用虚假电子商务
利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就销声匿迹。如 2003 年,罪犯佘某建立"奇特器材网"网站,发布出售间谍器材、黑客工具等虚假信息,诱骗顾主将购货款汇入其用虚假身份在多个银行开立的账户,然后转移钱款的案件。
除少数不法分子自己建立电子商务网站外,大部分人采用在知名电子商务网站上,如"易趣"、"淘宝"、"阿里巴巴"等,发布虚假信息,以所谓"超低价"、"免税"、"走私货"、"慈善义卖"的名义出售各种产品,或以次充好,以走私货充行货,使很多人在低价的诱惑下上当受骗。网上交易多是异地交易,通常需要汇款,不法分子一般要求消费者先付部分款,再以各种理由或者其他各种名目的款项诱骗消费者付余款,得到钱款或被识破时,就立即切断与消费者的联系。
4、利用木马和黑客技术
利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。
如去年网上出现的盗取某银行个人网上银行账号和密码的木马 Troj_HidWebmon 及其变种,它甚至可以盗取用户数字证书。又如去年出现的木马"证券大盗",它可以通过屏幕快照将用户的网页登录界面保存为图片,并发送给指定邮箱。黑客通过对照图片中鼠标的点击位置,就很有可能破译出用户的账号和密码,从而突破软键盘密码保护技术,严重威胁股民网上证券交易安全。
又如 2004 年 3 月陈某盗窃银行储户资金一案,陈某通过其个人网页向访问者的计算机种植木马,进而窃取访问者的银行账户和密码,再通过电子银行转账实施盗窃行为。
三、用户防范网络钓鱼的一般措施
1、针对电子邮件欺诈
广大网民如收到有如下特点的邮件就要提高警惕,不要轻易打开和听信:一是伪造发件人信息;二是问候语或开场白往往模仿被假冒单位的口吻和语气,如"亲爱的用户";三是邮件内容多为传递紧迫的信息,如以账户状态将影响到正常使用或宣称正在通过网站更新账号资料信息等;四是索取个人信息,要求用户提供密码、账号等信息;五是邮件以超低价或海关查没品等为诱饵诱骗消费者。
2、针对假冒网上银行
针对假冒网上银行、网上证券网站的情况,广大网上电子金融、电子商务用户在进行网上交易时要注意做到以下几点:一是核对网址,看是否与真正网址一致;二是选妥和保管好密码,不要选诸如身份证号码、出生日期、电话号码等作为密码,建议用字母、数字混合密码,尽量避免在不同系统使用同一密码;三是做好交易记录,对网上银行、网上证券等平台办理的转账和支付等业务做好记录,定期查看"历史交易明细"和打印业务对账单,如发现异常交易或差错,立即与有关单位联系;四是管好数字证书,避免在公用的计算机上使用网上交易系统;五是对异常动态提高警惕,如不小心在陌生的网址上输入了账户和密码,并遇到类似"系统维护"之类提示时,应立即拨打有关客服热线进行确认,万一资料被盗,应立即修改相关交易密码或进行银行卡、证券交易卡挂失;六是通过正确的程序登录支付网关,通过正式公布的网站进入,不要通过搜索引擎找到的网址或其他不明网站的链接进入。
3、针对虚假电子商务信息
针对虚假电子商务信息的情况,广大网民应掌握以下诈骗信息特点,不要上当:一是虚假购物、拍卖网站看上去都比较"正规",有公司名称、地址、联系电话、联系人、电子邮箱等,有的还留有互联网信息服务备案编号和信用资质等;二是交易方式单一,消费者只能通过银行汇款的方式购买,且收款人均为个人,而非公司,订货方法一律采用先付款后发货的方式;三是诈取消费者款项的手法如出一辙,当消费者汇出第一笔款后,骗子会来电以各种理由要求汇款人再汇余款、风险金、押金或税款之类的费用,否则不会发货,也不退款,一些消费者迫于第一笔款已汇出,抱着侥幸心理继续再汇;四是在进行网络交易前,要对交易网站和交易对方的资质进行全面了解。
4、其他网络安全防范措施
一是安装防火墙和防病毒软件,并经常升级;二是注意经常给系统打补丁,堵塞软件漏洞;三是禁止浏览器运行 JavaScript 和 ActiveX 代码;四是不要上一些不太了解的网站,不要执行从网上下载后未经杀毒处理的软件,不要打开 msn 或者 QQ 上传送过来的不明文件等;五是提高自我保护意识,注意妥善保管自己的私人信息,如本人证件号码、账号、密码等,不向他人透露;六是尽量避免在网吧等公共场所使用网上电子商务服务。
参考文献:
[1] 胡琳、刘孟强:网站安全的技术保障探讨[J].郑州牧业工程高等专科学校学报,2003(1)。
[2] 胡琳、刘孟强:网站安全管理的技术性分析[J].微计算机信息,2005(14)。
[3] 廖建平:网站安全隐患与防患对策[J].软件导刊,2010(8)。
[4] 石晓玉:浅析计算机网络安全[J].科技情报开发与经济,2010(24)。