“同欺诈下载一样,钓鱼网站也是一种低技术含量的威胁,但网站采用的骗术却能屡屡得手。而数字大盗病毒实现了病毒技术和钓鱼网站近乎完美的结合,给网购网银用户构成严重威胁。”金山网络专家指出,目前病毒木马与钓鱼网站相互“勾结”越发突出,大量病毒木马会在用户桌面弹出钓鱼网站的广告页面,用低价、中奖等诱饵,令网民上当受骗。
据监测,2010年出现的绑架型木马还会通过篡改浏览器,锁定主页等方式,将用户的主页引导到其指定的网址导航站,通过修改用户桌面图标或收藏夹的网址,使用户防不胜防地掉入欺诈钓鱼的陷阱。
目前互联网上活跃的钓鱼网站传播途径:
1.通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接。 2.在搜索引擎、中小网站投放广告,吸引用户点击钓鱼网站链接,此种手段被假医药网站、假机票网站常用。
3.通过Email、论坛、博客、SNS网站批量发布钓鱼网站链接。
4.通过微博、Twitter中的短连接散布钓鱼网站链接;通过仿冒邮件,例如冒充”银行密码重置邮件”,来欺骗用户进入钓鱼网站。
5.感染病毒后弹出模仿QQ、阿里旺旺等聊天工具窗口,用户点击后进入钓鱼网站。
6.恶意导航网站、恶意下载网站弹出仿真悬浮窗口,点击后进入钓鱼网站。7.伪装成用户输入网址时易发生的错误,如gogle.com、sinz.com等,一旦用户写错,就误入钓鱼网站。
应对
支付环境安全急需升级
2010年,针对网购的钓鱼网站给网民造成重大损失。针对目前诈骗案件多发态势,不少银行已经与公安机关建立了打击电子银行犯罪活动的联动机制,协助公安机关实施快速打击。但金山软件预计,2011年这方面的攻击数量还会持续增长。“针对骗术的鉴定和拦截仍然需要不断改进,目前的成功率仍然不够理想。网络骗术花样不断翻新,当一种骗术成功率不高时,骗子们就会尝试新招数。”专家分析指出。不断完善网上银行技术防范措施,加强交易欺诈监控已经成为了银行迫切要解决的问题。
钓鱼案例多发后,目前很多网上支付安全控件或者密码的安全性受到了多方质疑。钓鱼网站频频得手,但国内现有处理机制都难以有效制止。对“网络钓鱼”的诈骗行为,工信部和公安部目前都设有专门的监管机构,其他各大部委也都有专门的监管机构负责行业内的网络安全管理。但由于“钓鱼网站”频繁出现,现有的处理机制很难及时有效制止。
不过,目前国内已经建立专门协调此问题的组织。“中国反钓鱼网站联盟”并非官方机构,它的成员包括了域名管理机构、注册服务机构,以及银行证券类、电子商务类、网络安全类等企业,目的就是为了发现和治理“钓鱼网站”,主要是针对假冒其成员单位的“钓鱼网站”。该联盟在接到涉及联盟成员的投诉后,权威技术鉴定机构会立即对其进行判定,一经认定,两个小时内暂停其域名解析,终止欺诈行为,从处理的及时性上大大降低了“钓鱼网站”所造成的危害。
但专家也指出,联盟的成员单位目前还是有限,对于层出不穷的“钓鱼网站”,国内反钓鱼网站协调机制和反钓鱼网站综合治理体系的建设还需进一步推进。另外,国家有关的法律法规也有待进一步完善。
“支付控件和电子口令等方式虽然免费,也有一定的安全性,但是现在钓鱼网站让人很难准确识别,防不胜防,一不小心就可能上当受骗,一旦密码被人骗取,就可以随意从你的帐户转钱。我以前就遇到过这种情况。”这种情况下,线下安全确认似乎是一个比较原始但有用的方法。一位用户在网上交流区表示,支付机构保证给客户提供一个安全可靠的网络支付环境,责无旁贷。
■支招
勿轻信不明信息,养成良好操作习惯
广东工行电子银行专家对广大消费者支招表示,虽然目前网络钓鱼的骗术不断翻新,但只要大家养成良好的操作习惯,不贪图小便宜并做好适当的防护措施,能够有效降低成为“鱼”“被钓”的风险。
该专家表示,网银用户首先要养成良好的操作习惯,如果要进入银行、网上交易类型的网站,一定要仔细查看浏览器地址栏中的域名是否正确,不要轻信论坛、博客、社区内的广告性帖子和别人发来的邮件,对其中包含的链接要保持高度警惕,没有十足把握不要进入,更不要做任何涉及登录名、密码等个人私密信息的操作。其次是切记不要贪便宜。不要轻信低价、特价、中奖等信息,网络骗子和现实中的一样,最喜欢利用普通用户的这种心理,一旦被吸引入局,则可能步步被套。再次是要做好适当的防护措施,如安装工行的防钓鱼安全控件、安装杀毒软件并保持及时更新杀毒软件和操作系统补丁,当前主流的杀毒软件基本上都提供防钓鱼的功能,当网友访问工商银行等大部分知名网站时,杀毒软件能够在地址栏中通过显示网站LOGO或者标示地址栏为绿色等方式向用户“报平安”,方便用户更好地识别,减少上当的风险。
最后,该专家介绍,上述三个方面其实都十分平常,也就是需要平时上网多加小心,时刻注意保护自己的私密信息,在具体操作过程中只要确保自己的杀毒软件已经升级到最新版且网页无异常情况出现,一旦有任何疑问可以先咨询再动手,就可以最大可能的避免遭受莫名的损失。
