谨防钓鱼网站节前来袭
春节临近网购忙,大量钓鱼网站也“应时而生”。中国反钓鱼网站联盟2012年年报称,钓鱼网站的活动规律有明显的“节假日效应”,在节假日以及购物网站促销高峰期,大量购物、旅游和票务类钓鱼网站会大肆活动。
网络安全厂商瑞星公司1月15日发布的《瑞星2012年中国信息安全综合报告》称,钓鱼攻击已逐步取代网页挂马,成为主流的网页攻击形式,且出现了新的手段。微博平台、手机网络都成为钓鱼网站新“据点”,针对大型正规网购平台和银行动态密码的新型钓鱼网站也频频出现,时常出现消费者银行账号和密码被盗走,钱财一空的情况。
很多网友表示,“钓鱼”新手段令人防不胜防。谈及去年12月8日的被“钓鱼”经历,河南省安阳市内黄县一家公司的出纳员李航依然愤怒不已,本来想为自己的财付通转账100元,结果却被“钓”走55932元。李航在银行查询交易明细后得知,这笔钱先是被转到了快钱清算支付有限公司,继而又被转入上海巨人网络有限公司,充入某位游戏玩家的账号里。
与李航经历相似的受害者们已经建了两个QQ群抱团维权,这些受害者中,损失5000元以上的有115人,最多的被骗20多万元。
中国反钓鱼网站联盟2012年年报认为,中国钓鱼网站威胁严重,恶意软件感染电脑概率非常高,有54.10%的个人电脑被感染。除了大环境的不容乐观,钓鱼网站搭上网络游戏平台也使其更为难防、难查、难追究。
金山网络公司安全专家李铁军表示,涉及上海巨人网络有限公司的“钓鱼手法”较为新颖:当消费者在第三方支付平台付款时,支付动作被木马捕捉到,款项被劫持到跟网络游戏有关的账号中,然后以倒卖游戏道具的方式牟利。
李铁军认为,虚拟货币的平台之所以容易被钓鱼网站利用,是因为诈骗者可以迅速购买游戏点卡、充值卡等虚拟产品,继而转手获利,完成洗钱的动作,且难以被追查。上海巨人网络有限公司称,对网游运营商而言,如何甄别正常玩家充值与涉嫌网银欺诈的资金充值,一直是个行业难题。
专家认为,在目前的情况下,根除钓鱼网站难以做到,但可以集各方之力,将钓鱼网站隔离在有效“杀伤”范围之外,让消费者与之“绝缘”。
李铁军建议,消费者应提高自我保护意识,在网络交易时,不要轻易接收对方的不明文件,更不要轻易打开文件。“在我们的经验中,卖家试图发文件给消费者的,几乎百分之百是骗子,如果有此共识,上当受骗的概率会大大降低。”他说。
上海理工大学教授杨坚争则提醒消费者,操作网银确认付款时,要对收款商户名称和付款金额进行二次核实,完全没有问题之后再提交。
在中国互联网协会政策与资源工作委员会专家委员胡钢看来,网游行业和第三方支付平台可以引进风险基金或商业保险以缓解钓鱼网站带来的问题,从制度上分散消费者的风险,使其利益得到一定的保障,进而维护行业形象。
网络钓鱼(Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、账号ID、ATM PIN码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。