直至2012年1月12日下午5点,假冒建行网站的“钓鱼”网站,仍处于正常运行状态。
主要“钓鱼”手法
根据艾瑞咨询的统计数据显示,2011年三季度中国支付行业网上支付业务交易规模达到6155亿元,同比增长130.7%,环比增幅达到34.8%。
互联网支付业务交易规模的不断增长,也为黑客“网络钓鱼”提供了更多机会。
据中国反钓鱼网站联盟公布,2011年上半年认定并处理的钓鱼网站达18782个,与2010年同比增长近两倍。
而中国互联网信息中心发布的报告也显示,2011年上半年,遭遇过病毒或木马攻击的网民为2.17亿人,占全体网民的44.7%。有过账号或密码被盗经历的网民达1.21亿人。有8%的网民于调查前的半年内在网上遇到过消费欺诈。
尹韵公指出,临近春节,随着人们消费需求的大规模增长,也带来互联网支付业务交易量猛增,会出现“网络钓鱼”节前“井喷”现象。
近年来,从传统的电话、传真,到电子邮件、QQ、MSN等即时通讯软件弹窗,再到社交网站、微博,越来越多的网络交流平台载体,都成为黑客进行“网络钓鱼”,诱使网民上当受骗的重要工具。
目前“网络钓鱼”手法主要有四种。
第一,利用电子邮件,以虚假信息引诱用户中圈套。这些邮件多以中奖、对账等内容引诱用户在邮件中填入金融账号和密码,或以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。
第二,假冒网上银行、网上证券网站,骗取用户账号密码实施盗窃。建立起域名和网页内容都与真正的网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或伪造银行储蓄卡、证券交易卡盗窃资金。
第三,利用虚假的电子商务进行诈骗。在知名电子商务网站发布虚假商品信息,以所谓“超低价”、“走私货”、“慈善义卖”、“免税”等名义出售,在收到受害人的购物汇款后就销声匿迹。
第四,利用“木马”和“黑客”技术窃取用户信息。在发送的电子邮件中或在网站中隐藏“木马”程序,在感染“木马”的计算机上进行网上交易时,“木马”程序即以键盘记录方式获取用户账号和密码。
从以往曝光案例看,“网络钓鱼”诈骗者经常采取以上几种手法交织、配合进行,欺骗性极强。
在多位受访专家看来,“网络钓鱼”还呈现“扎堆”、“假日”和“热点”三大效应以及“境外域名为主、主动建网站为主、非法入侵挂马和假冒侵权网站冒头”等特点。
黑色产业链初步形成
国家计算机网络应急中心2009年估算,其时国内“网络钓鱼”让网民的损失已达76亿元。也就是说,全国3.16亿网民平均每人损失24元;若按其中8788万的活跃网购用户来计算,平均每人损失86.5元。
2011年瑞星公司发布的互联网安全报告显示,2011年上半年新增“钓鱼”网站218万个,超过1亿人次的网民受到侵袭,造成的直接经济损失至少达百亿元。
记者通过“线人”接触到的一位圈内人士透露,“钓鱼”网站的黑色产业链已形成并趋于成熟,从“源代码编写-销售-建立钓鱼网站,再到实施钓鱼欺诈?骗钱”,都有专职人员提供“一条龙”服务。他说:“任何懂点电脑操作的人,只要花几百元钱,就可雇用他们建立一个钓鱼网站。”
这位圈内人士说,一个“钓鱼”网站如果运作得好,每个月可以通过各种渠道获得近千笔的非法交易,非法盈利有些甚至可达数十万元。
中国反钓鱼网站联盟秘书长齐麟认为,钓鱼网站除了使网民和企业遭受巨大的经济损失外,还严重打击了网民对电子商务的信任度,从而严重制约了互联网经济的发展,对于网络治理也提出了更大的挑战。
“‘对象分散、手段多样、产业链完善’的特点,导致了钓鱼网站的防患和治理难度加剧。”齐麟介绍,目前的“反钓”工作是分散在各个受害企业中独立进行的,比如工商银行、淘宝、中信证券、腾讯、招商银行等,都设立了自己的“反钓部门”,专门打击钓鱼网站。
“由于各企业通常只是针对危害自己的钓鱼网站进行处理,这种分散的处理方式也难以形成合力,难以对整个钓鱼网站利益链形成有效打击。”齐麟说。
瑞星公司一位网络安全专家指出,很多“钓鱼”网站与“挂马”(在获取网站或者网站服务器的部分或者全部权限后,在网页文件中插入一段恶意代码)网站结合,与流氓软件结合,与病毒结合,与网民的购物习惯结合,以“分辨域名”方式,普通网民根本无法查证真伪,“钓鱼网站的危害,已经逐渐赶上甚至超过病毒给用户带来的危害”。
国家互联网应急中心运行管理部处长周勇林曾对媒体表示,作为世界上互联网应用人口最多的国家,多数中国网民缺乏网络安全防范意识,且各种操作系统及应用程序漏洞不断出现,这是导致广大网民遭遇网络钓鱼的重要原因。
提升网络安全
多位受访专家认为,针对“网络钓鱼”案件频现,不但每个网民要重视联系方式、身份证号码、银行卡信息等个人信息的保护,还需相关机构和部门加大打击力度。
“在网购过程中,网民一定要提高自身的网络安全意识,如果遇到需要输入账号、密码的环节,交易前一定要仔细核实网址是否准确无误。”尹韵公建议,同时,网购用户应安装相关网络防护产品,要及时升级自己的杀毒软件,全面防护电脑安全,有效防止各类网络钓鱼和欺诈行为。
尹韵公还特别提醒,“网络钓鱼”第一步先套取用户个人信息,如果对方要求到ATM机给陌生账号转款,实施诈骗的可能性就极大。
“钓鱼网站与病毒不同,很多钓鱼行为、特征分辨需要人工处理,需要耗费极大的人工审核成本。”瑞星公司一位网络安全专家呼吁,“目前仅仅依靠安全软件的力量远远不够。政府、企业、用户要联合起来,共同抵制钓鱼网站。”
长期研究互联网的专家、新生代市场监测机构副总经理肖明超说:“电子商务交易涉及到购物网站、银行、支付平台、即时通讯服务等多个环节。因此,网络钓鱼单靠任何一方并不能完全杜绝,需要多方形成合力。”
肖明超举例说,网站要针对“网络钓鱼”的最新变种及时推出安全保障措施,域名管理机构要限制和监督非法域名,安全厂商结合钓鱼的最新骗术加强技术创新,同时要对消费者及时提醒和警示,对于网络钓鱼的安全防范的知识教育也很重要,应尽快出台法律法规才能更有效地遏制。
受访法律界人士认为,作为一种新型网络犯罪行为,“网络钓鱼”不仅给网民个人造成了经济损失,而且严重干扰了网络交易秩序,但由于多数案值不高、违法手段多样、地域跨度大等因素,导致防范和打击难度较大。
“要从多个方面完善对网络钓鱼等违法行为的法律规制。”北京中盛律师事务所杜立元律师认为,2004年颁布的电子签名法是我国信息安全方面仅有的一部专门性法律,其他涉及信息安全保护的条款散见于刑法、侵权责任法等法律之中,目前还缺乏一部专门用于规范网络行为、明确网络用户及网络服务提供者等各方权利义务、有效保障网络交易及信息安全的综合性法律。
杜立元说,2009年,刑法修正案(七)增加了有关出售、非法提供公民个人信息,窃取、非法获取公民个人信息、非法获取计算机信息系统数据以及非法控制计算机信息系统等违法行为的规定,加大了对公民个人信息的保护力度,也明晰了网络黑客犯罪的几种形态。但是上述规定在犯罪主体、行为方式等方面还有一定限制,不能完全涵盖新型的网络犯罪行为,其具体规定也有待细化。
鉴于此,杜立元建议,首先应在立法层面继续完善网络交易安全、公民信息保护等方面的法律法规,尤其是要针对“网络钓鱼”等违法行为的特点,出台具有可操作性的专门性规定,比如相关司法解释等;其次,要进一步加大对“网络钓鱼”
的惩治力度,可以考虑通过提高刑期、罚金数额等方式,增加犯罪成本,从而抑制“网络钓鱼”等违法行为;在网络监管方面,有关部门应该建立相应的防范机制和联动机制,多层面、立体式推进网络安全建设。由于有的“钓鱼”网站使用的是设在境外的服务器,杜立元认为还需要加强国际合作,建立跨境网络安全事件的应对机制,全面提高网络安全处置能力。
都市“异性合租”灰幕
法律上没有禁止的事都被认为是符合法规的。由此,异性合租中男女关系如何处理是他们的私事,外人无权干涉。
“本人姓陈,男,28岁,北京某名牌大学研究生毕业,在一家外企工作,无抽烟、喝酒等不良嗜好。现有意与在校学生或有正当职业的女性合住(一人一间)。重要提示:长相对不起观众者勿扰……”记者在一家网站发现这样的一个帖子,后面已经跟了不少回贴。
记者了解到,在北京的一些都市报纸、房产类网站,甚至一些大学校园,也不难看到上面那样寻求“异性合租”的广告。一位房屋租赁信息中心负责人告诉记者,现在有的租房信息中只有明确指定要“异性合租”,才更有吸引力。
“女孩最好不要选择这种合租方式,如果选择,也应该注意保持自身的尊严和清醒,以免出现不必要的麻烦。”有关专家对此表示了担忧,他们把都市“异性合租”形象地称为“钢丝绳上的流行舞蹈”。