本报记者 符周顺
钓鱼网站不但威胁网民利益,还对电子商务经济造成了不良影响。瑞星杀毒软件公司发布的年度报告显示,在刚刚过去的2010年,瑞星截获钓鱼网站175万个,比上年同期增加11倍;钓鱼网站受害网民达4411万人次,间接损失超过200亿元。据推算,我国网民去年因为病毒破坏电脑、木马窃取网银、网游账号密码被盗等受到的直接经济损失已超过10亿元。
面对如此猖獗的“钓鱼”诈骗,难道网民就只能是砧板之肉,任人宰割吗?业内人士认为,在技术、监管层面上,互联网安全行业亟待对钓鱼网站做出特别明确的辨别办法,相关主管部门需要联手斩断钓鱼网站利益黑手。
2010年钓鱼网站暴增11倍剑指网银
根据瑞星2010年年度报告呈现的特点看来,2010年钓鱼网站除了在数量上剧增以外,还和经济利益直接挂钩,剑指网民的银行账户。举例来说,以前写病毒要赚1万元至少要偷几万个QQ号的话,现在只需偷一个网银账户密码足矣。
在电子商务时代,商务公司已经成为黑客套现的主要手段,通过在商务网站上挂靠木马、病毒诱骗网民购物,劫持用户浏览器等手段获利。据专家保守估计,2010年黑客仅通过网络广告、恶意推广购物导航途径获取的单项不法收入高达3亿至5亿元。
在此背景下,网民的真实损失也随之急剧上升。“网银超级木马”可谓2010年窃取网银的病毒中最恶劣者。网络安全专家介绍,这是国内首个专门针对网络支付编写的病毒,利用了第三方支付HTTP网页与网银的衔接认证缺陷,几乎可以危害所有的网银与第三方支付的衔接环节,窃取成功率极高,犯罪后极难追查。
钓鱼网站直指网民银行账户,2010年数量剧增的背后,是其黑色产业链的初步成型。还有分析认为,钓鱼网站的危害已经超过传统的病毒和木马,成为直接威胁网民利益的第一杀手。甚至,网民对一些行业产生信任危机,医药、美容、网络购物、证券咨询等行业受害最为严重。
利益黑手频繁“使坏”
随着互联网安全技术的进步,系统漏洞、软件漏洞等黑客传统的入侵攻击方式越来越少见,网络钓鱼正日渐成为黑客们趋之若鹜的攻击手段。
网络钓鱼即企图利用人们对著名品牌、网站和机构的信任,通过网络进行诈骗活动的行为。在所有的钓鱼网站中,假淘宝、假QQ、假非常6+1、假工商银行和假新浪,成为钓鱼网站中的五大常见种类,这五大类网站占据了所有假冒网站的76%。
通常而言,钓鱼网站都会利用搜索引擎,通过关键字优化等技术迅速提升自身的搜索排名。用户只要在搜索引擎上搜索“中奖”、“低价”、“优惠”等热门关键词时,钓鱼网站就会现身,若不仔细辨认,“中招”在所难免。
在操作上,这些钓鱼网站与被模仿的知名网站使用相似的域名,足以以假乱真。其中的病毒、木马会通过聊天软件、电子邮件等方式传播,而表面的内容则是迎合用户的贪小便宜心理,大多是“大抽奖”、“低价机票”、“百元电脑”等,用低价吸引用户点击,进而诱骗用户购买所谓的低价商品,或者参加根本不存在的抽奖。一旦在这些网站上购物,用户的银行账户密码等个人信息就将落入不法分子手中;即便是“中奖”,也要用户支付各种手续费用,到头来,这个“奖”根本就不存在。
斩断利益黑手需多方联合出击
从技术上来说,网络钓鱼本身并没有很高的技术含量,但是基于我们现有的监管体制,防范起来,不管是技术还是成本都非常高。钓鱼网站与病毒不同,很多钓鱼行为、特征分辨需要人工处理,可能耗费极大的人工审核成本。就我们目前的互联网安全行业来讲,对钓鱼网站的防范和打击,只占钓鱼网站的一小部分,没能从根本上解决大量网民遭到假购物、假医疗等钓鱼网站威胁的问题。
就行业目前而言,业内人士认为,在技术、监管层面上,互联网安全行业亟待对钓鱼网站做出特别明确的公认辨别办法,相关主管部门需要出台一系列的防范、整治措施,而不能像过去那样哪里漏补哪里。而在监管方面,从主管部门到受害厂商,目前的“反钓鱼工作”都只是分散进行,比如工行、淘宝、腾讯等都设有自己专门的反钓鱼部门和安全部门,他们通常只针对危害自己的钓鱼网站进行打击,尚未联合起来对“钓鱼网站”的整体来进行分析和打击。
据中国反钓鱼联盟介绍,节日期间是钓鱼网站的活跃高潮期。年关之际,网络上的威胁会越来越多。网民上网搜索信息,一定要注意保护个人账户、隐私等安全,尽量打开官方指定网址,不要轻信各种中奖、低价优惠等天上掉馅饼的事。要知道,这些仿冒和欺诈类网站,无一例外都是利用网民“急于发财、急于赚钱、贪便宜”的心理特点,进而针对性地利用“中奖、中大奖;发财,买股票、买彩票”等复杂的陷阱,引诱网民上钩。
因此,防范网络钓鱼,除了要注意个人的网络操作外,还需摆正个人心态,防范“被钓鱼”。