■編者按

　　明天就是“3·15”消費者權(quán)益保護(hù)日，投資周刊將目光鎖定近來備受關(guān)注的網(wǎng)絡(luò)支付安全問題。近年來，隨著網(wǎng)購、網(wǎng)上理財?shù)染W(wǎng)上消費越來越多，不法分子通過釣魚網(wǎng)站頻頻竊取用戶的密碼。去年11月中旬到春節(jié)前兩個月時間，全國有數(shù)百人因為泄露金融信息而損失幾千、幾萬到幾十萬甚至上百萬。據(jù)了解，這類案件的破案率低，追回?fù)p失的可能性小，造成的危害已經(jīng)引起全社會高度重視。解決之道無外乎兩個：堵住漏洞，提高警惕。

　　□名詞解釋

　　網(wǎng)絡(luò)釣魚是指不法分子假冒銀行網(wǎng)站或仿冒銀行網(wǎng)上購物支付網(wǎng)頁，誘使客戶輸入銀行卡號、網(wǎng)上銀行密碼或口令以盜取客戶信息，實施違法的活動。當(dāng)前網(wǎng)絡(luò)釣魚將重點放在了偽造與正規(guī)機(jī)構(gòu)極度相似的域名和網(wǎng)頁以欺騙網(wǎng)民，使消費者誤以為是自己在正規(guī)的網(wǎng)站操作，由于目前“釣魚網(wǎng)站”的偽裝極為高明，再加騙子根據(jù)受騙對象的情況進(jìn)行適當(dāng)?shù)墓膭?，使一些警惕性不高的網(wǎng)民受騙上當(dāng)，輕則造成姓名、手機(jī)號、通信地址、銀行賬號和密碼等用戶私密信息泄漏，重者造成經(jīng)濟(jì)損失。

　　熱點？？

　　個人金融信息泄露有增多趨勢

　　根據(jù)金山網(wǎng)絡(luò)統(tǒng)計，2010年，新增釣魚網(wǎng)站數(shù)量明顯一路走高，1-10月，平均每天新增的與網(wǎng)絡(luò)購物相關(guān)的釣魚網(wǎng)站約為1500個。有近28%的互聯(lián)網(wǎng)用戶遭遇過虛假釣魚網(wǎng)站、詐騙交易、交易劫持、網(wǎng)銀被盜等針對網(wǎng)絡(luò)購物的安全攻擊。另有統(tǒng)計顯示，釣魚網(wǎng)站中，打著淘寶網(wǎng)、騰訊網(wǎng)、銀行旗號的釣魚網(wǎng)站舉報量位列前三位，占九成以上。在這些“釣魚網(wǎng)站”中，以“假中獎”及“假購物網(wǎng)站”居多，占總量的90%以上。

　　這些網(wǎng)站大部分行動迅速，壽命很短。據(jù)瑞星最新發(fā)布的《2010年第三季度網(wǎng)絡(luò)釣魚報告》顯示，現(xiàn)在每天出現(xiàn)的新“釣魚網(wǎng)站”，其中二成左右的壽命只有1天，而“短命”的主要原因是為了躲避打擊。

　　看起來技術(shù)含量不高的網(wǎng)絡(luò)釣魚，卻讓越來越多的網(wǎng)購人群深受其害。根據(jù)金山網(wǎng)盾數(shù)據(jù)中心的數(shù)據(jù)，2010年11月，每日新發(fā)現(xiàn)的釣魚網(wǎng)站數(shù)量都在300個左右，其中80%的釣魚網(wǎng)站都會被買家或者賣家點擊，在被網(wǎng)購用戶點擊到的這240個釣魚網(wǎng)站中有20%-30%交易成功。

　　據(jù)了解，一個釣魚網(wǎng)站只要在一天之內(nèi)獲得一筆成功交易記錄，就可以在短短兩分鐘之內(nèi)把你支付賬戶里的存款全部吞掉。一個被活躍運(yùn)作的釣魚網(wǎng)站，每個月可以通過各種渠道獲得近千筆的非法交易。據(jù)瑞星提供的數(shù)據(jù)，今年第三季度因“釣魚”詐騙遭受的直接及間接經(jīng)濟(jì)損失，比去年同期大幅上升，據(jù)估算可能高達(dá)50億元至70億元。而單個網(wǎng)銀被盜案例甚至涉及金額上達(dá)數(shù)百萬。

　　金山網(wǎng)絡(luò)專家分析表示，這類案件迅速增加的原因在于釣魚網(wǎng)站的制作簡單，投資少見效快。同時，傳統(tǒng)安全軟件對釣魚網(wǎng)站的識別還不夠及時準(zhǔn)確。再加上網(wǎng)民的安全意識薄弱，疏忽大意普遍存在，一旦上當(dāng)受騙之后，還存在電子取證難的問題，致使網(wǎng)絡(luò)釣魚的危害急劇飆升。而2010年，病毒木馬和釣魚網(wǎng)站相互勾結(jié)、相互推廣的情況也并不少見?？膳０踩珜＜冶硎荆壳啊搬烎~欺詐”已經(jīng)取代傳統(tǒng)的木馬病毒成為了用戶上網(wǎng)安全的主要威脅。

　　分析？？

　　利用病毒技術(shù)盜取信息

　　釣魚網(wǎng)站究竟是如何從你的網(wǎng)銀里偷走錢的呢？記者發(fā)現(xiàn)，目前釣魚網(wǎng)站網(wǎng)銀詐騙路徑一般是，首先第一步向銀行網(wǎng)銀用戶發(fā)送詐騙短信，例如“尊敬的網(wǎng)銀用戶：你的銀行口令將于于次日過期，請盡快登陸www.××××.com(一個偽裝銀行主頁)進(jìn)行升級，給您帶來的不便敬請諒解?！?/P>

　　第二步便是誘導(dǎo)網(wǎng)銀用戶上“釣魚網(wǎng)站”。詐騙短信中提及的網(wǎng)站基本和銀行官方網(wǎng)站一模一樣，網(wǎng)銀用戶在登陸“釣魚網(wǎng)站”時真實信息立即被竊取。

　　盜了網(wǎng)銀用戶信息后，非法分子會快速進(jìn)行轉(zhuǎn)賬，將該網(wǎng)銀用戶資金調(diào)出。犯罪分子用竊取來的網(wǎng)銀用戶真實的用戶名、密碼、動態(tài)口令、身份信息登錄網(wǎng)上銀行官方頁面，在動態(tài)口令還沒來得及更新的時候就將帳戶金額轉(zhuǎn)走。而在1分鐘的時間里，犯罪分子沒有來得及在動態(tài)口令變化的時間之內(nèi)轉(zhuǎn)走賬上金額時，釣魚網(wǎng)站會向網(wǎng)銀提示，系統(tǒng)忙，升級失敗，重新輸入新的動態(tài)口令快速轉(zhuǎn)賬。

　　絕大部分山寨銀行網(wǎng)頁不僅與真正的銀行官網(wǎng)長相幾乎一模一樣，網(wǎng)址也極具迷惑性，很多時候其網(wǎng)址僅比官網(wǎng)多了一個后綴或幾個字母。

　　“同欺詐下載一樣，釣魚網(wǎng)站也是一種低技術(shù)含量的威脅，但網(wǎng)站采用的騙術(shù)卻能屢屢得手。而數(shù)字大盜病毒實現(xiàn)了病毒技術(shù)和釣魚網(wǎng)站近乎完美的結(jié)合，給網(wǎng)購網(wǎng)銀用戶構(gòu)成嚴(yán)重威脅?！苯鹕骄W(wǎng)絡(luò)專家指出，目前病毒木馬與釣魚網(wǎng)站相互“勾結(jié)”越發(fā)突出，大量病毒木馬會在用戶桌面彈出釣魚網(wǎng)站的廣告頁面，用低價、中獎等誘餌，令網(wǎng)民上當(dāng)受騙。

　　據(jù)監(jiān)測，2010年出現(xiàn)的綁架型木馬還會通過篡改瀏覽器，鎖定主頁等方式，將用戶的主頁引導(dǎo)到其指定的網(wǎng)址導(dǎo)航站，通過修改用戶桌面圖標(biāo)或收藏夾的網(wǎng)址，使用戶防不勝防地掉入欺詐釣魚的陷阱。

　　目前互聯(lián)網(wǎng)上活躍的釣魚網(wǎng)站傳播途徑：

　　1.通過QQ、MSN、阿里旺旺等客戶端聊天工具發(fā)送傳播釣魚網(wǎng)站鏈接。 2.在搜索引擎、中小網(wǎng)站投放廣告，吸引用戶點擊釣魚網(wǎng)站鏈接，此種手段被假醫(yī)藥網(wǎng)站、假機(jī)票網(wǎng)站常用。

　　3.通過Email、論壇、博客、SNS網(wǎng)站批量發(fā)布釣魚網(wǎng)站鏈接。

　　4.通過微博、Twitter中的短連接散布釣魚網(wǎng)站鏈接；通過仿冒郵件，例如冒充”銀行密碼重置郵件”，來欺騙用戶進(jìn)入釣魚網(wǎng)站。

　　5.感染病毒后彈出模仿QQ、阿里旺旺等聊天工具窗口，用戶點擊后進(jìn)入釣魚網(wǎng)站。

　　6.惡意導(dǎo)航網(wǎng)站、惡意下載網(wǎng)站彈出仿真懸浮窗口，點擊后進(jìn)入釣魚網(wǎng)站。7.偽裝成用戶輸入網(wǎng)址時易發(fā)生的錯誤，如gogle.com、sinz.com等，一旦用戶寫錯，就誤入釣魚網(wǎng)站。

　　應(yīng)對？？

　　支付環(huán)境安全急需升級

　　2010年，針對網(wǎng)購的釣魚網(wǎng)站給網(wǎng)民造成重大損失。針對目前詐騙案件多發(fā)態(tài)勢，不少銀行已經(jīng)與公安機(jī)關(guān)建立了打擊電子銀行犯罪活動的聯(lián)動機(jī)制，協(xié)助公安機(jī)關(guān)實施快速打擊。但金山軟件預(yù)計，2011年這方面的攻擊數(shù)量還會持續(xù)增長?！搬槍︱_術(shù)的鑒定和攔截仍然需要不斷改進(jìn)，目前的成功率仍然不夠理想。網(wǎng)絡(luò)騙術(shù)花樣不斷翻新，當(dāng)一種騙術(shù)成功率不高時，騙子們就會嘗試新招數(shù)。”專家分析指出。不斷完善網(wǎng)上銀行技術(shù)防范措施，加強(qiáng)交易欺詐監(jiān)控已經(jīng)成為了銀行迫切要解決的問題。

　　釣魚案例多發(fā)后，目前很多網(wǎng)上支付安全控件或者密碼的安全性受到了多方質(zhì)疑。釣魚網(wǎng)站頻頻得手，但國內(nèi)現(xiàn)有處理機(jī)制都難以有效制止。對“網(wǎng)絡(luò)釣魚”的詐騙行為，工信部和公安部目前都設(shè)有專門的監(jiān)管機(jī)構(gòu)，其他各大部委也都有專門的監(jiān)管機(jī)構(gòu)負(fù)責(zé)行業(yè)內(nèi)的網(wǎng)絡(luò)安全管理。但由于“釣魚網(wǎng)站”頻繁出現(xiàn)，現(xiàn)有的處理機(jī)制很難及時有效制止。

　　不過，目前國內(nèi)已經(jīng)建立專門協(xié)調(diào)此問題的組織?！爸袊瘁烎~網(wǎng)站聯(lián)盟”并非官方機(jī)構(gòu)，它的成員包括了域名管理機(jī)構(gòu)、注冊服務(wù)機(jī)構(gòu)，以及銀行證券類、電子商務(wù)類、網(wǎng)絡(luò)安全類等企業(yè)，目的就是為了發(fā)現(xiàn)和治理“釣魚網(wǎng)站”，主要是針對假冒其成員單位的“釣魚網(wǎng)站”。該聯(lián)盟在接到涉及聯(lián)盟成員的投訴后，權(quán)威技術(shù)鑒定機(jī)構(gòu)會立即對其進(jìn)行判定，一經(jīng)認(rèn)定，兩個小時內(nèi)暫停其域名解析，終止欺詐行為，從處理的及時性上大大降低了“釣魚網(wǎng)站”所造成的危害。

　　但專家也指出，聯(lián)盟的成員單位目前還是有限，對于層出不窮的“釣魚網(wǎng)站”，國內(nèi)反釣魚網(wǎng)站協(xié)調(diào)機(jī)制和反釣魚網(wǎng)站綜合治理體系的建設(shè)還需進(jìn)一步推進(jìn)。另外，國家有關(guān)的法律法規(guī)也有待進(jìn)一步完善。

　　“支付控件和電子口令等方式雖然免費，也有一定的安全性，但是現(xiàn)在釣魚網(wǎng)站讓人很難準(zhǔn)確識別，防不勝防，一不小心就可能上當(dāng)受騙，一旦密碼被人騙取，就可以隨意從你的帳戶轉(zhuǎn)錢。我以前就遇到過這種情況。”這種情況下，線下安全確認(rèn)似乎是一個比較原始但有用的方法。一位用戶在網(wǎng)上交流區(qū)表示，支付機(jī)構(gòu)保證給客戶提供一個安全可靠的網(wǎng)絡(luò)支付環(huán)境，責(zé)無旁貸。

　　■支招

　　勿輕信不明信息，養(yǎng)成良好操作習(xí)慣

　　廣東工行電子銀行專家對廣大消費者支招表示，雖然目前網(wǎng)絡(luò)釣魚的騙術(shù)不斷翻新，但只要大家養(yǎng)成良好的操作習(xí)慣，不貪圖小便宜并做好適當(dāng)?shù)姆雷o(hù)措施，能夠有效降低成為“魚”“被釣”的風(fēng)險。

　　該專家表示，網(wǎng)銀用戶首先要養(yǎng)成良好的操作習(xí)慣，如果要進(jìn)入銀行、網(wǎng)上交易類型的網(wǎng)站，一定要仔細(xì)查看瀏覽器地址欄中的域名是否正確，不要輕信論壇、博客、社區(qū)內(nèi)的廣告性帖子和別人發(fā)來的郵件，對其中包含的鏈接要保持高度警惕，沒有十足把握不要進(jìn)入，更不要做任何涉及登錄名、密碼等個人私密信息的操作。其次是切記不要貪便宜。不要輕信低價、特價、中獎等信息，網(wǎng)絡(luò)騙子和現(xiàn)實中的一樣，最喜歡利用普通用戶的這種心理，一旦被吸引入局，則可能步步被套。再次是要做好適當(dāng)?shù)姆雷o(hù)措施，如安裝工行的防釣魚安全控件、安裝殺毒軟件并保持及時更新殺毒軟件和操作系統(tǒng)補(bǔ)丁，當(dāng)前主流的殺毒軟件基本上都提供防釣魚的功能，當(dāng)網(wǎng)友訪問工商銀行等大部分知名網(wǎng)站時，殺毒軟件能夠在地址欄中通過顯示網(wǎng)站LOGO或者標(biāo)示地址欄為綠色等方式向用戶“報平安”，方便用戶更好地識別，減少上當(dāng)?shù)娘L(fēng)險。

　　最后，該專家介紹，上述三個方面其實都十分平常，也就是需要平時上網(wǎng)多加小心，時刻注意保護(hù)自己的私密信息，在具體操作過程中只要確保自己的殺毒軟件已經(jīng)升級到最新版且網(wǎng)頁無異常情況出現(xiàn)，一旦有任何疑問可以先咨詢再動手，就可以最大可能的避免遭受莫名的損失。

　　一、網(wǎng)購防釣魚

　　1.域名對比法，就是對比該網(wǎng)站的域名是不是官方域名，如果不是官方域名，哪怕頁面再相似，也可以斷定其為釣魚網(wǎng)站。

　　2.嘗試輸入法，意思是一旦他人發(fā)送來的一個網(wǎng)站提示需要登錄或者輸入其它信息，網(wǎng)友可以隨意輸入一個用戶名及密碼，如果這個網(wǎng)站提示登陸成功的話，那么就可以斷定其為釣魚網(wǎng)站。

　　二、專業(yè)支付平臺防釣魚

　　1.核對網(wǎng)址，看是否與真正網(wǎng)址一致。

　　2.選妥和保管好密碼，不要選諸如身份證號碼、出生日期、電話號碼等作為密碼，建議用字母、數(shù)字混合密碼，盡量避免在不同系統(tǒng)使用同一密碼。

　　3.做好交易記錄，對網(wǎng)上銀行、網(wǎng)上證券等平臺辦理的轉(zhuǎn)賬和支付等業(yè)務(wù)做好記錄，定期查看“歷史交易明細(xì)”和打印業(yè)務(wù)對賬單，如發(fā)現(xiàn)異常交易或差錯，立即與有關(guān)單位聯(lián)系。

　　4.管好數(shù)字證書，避免在公用的計算機(jī)上使用網(wǎng)上交易系統(tǒng)。

　　5.對異常動態(tài)提高警惕，如不小心在陌生的網(wǎng)址上輸入了賬戶和密碼，并遇到類似“系統(tǒng)維護(hù)”之類提示時，應(yīng)立即撥打有關(guān)客服熱線進(jìn)行確認(rèn)，萬一資料被盜，應(yīng)立即修改相關(guān)交易密碼或進(jìn)行銀行卡、證券交易卡掛失。

　　6.通過正確的程序登錄支付網(wǎng)關(guān)，通過正式公布的網(wǎng)站進(jìn)入，不要通過搜索引擎找到的網(wǎng)址或其他不明網(wǎng)站的鏈接進(jìn)入。

　　三、網(wǎng)銀防釣魚

　　l.一定要登錄銀行的官方網(wǎng)站。

　　2.在登錄網(wǎng)銀或是通過購物網(wǎng)站使用網(wǎng)銀支付時，網(wǎng)址的前綴應(yīng)為“https”，而且瀏覽器上會顯示一個“掛鎖”圖形的安全證書標(biāo)志。如果使用的網(wǎng)銀不符合這兩項條件，就不該輸入自己的銀行賬戶和密碼。

　　3.如果遇到相關(guān)的“網(wǎng)銀升級”或“銀行系統(tǒng)升級”的短信，要及時撥打銀行的客服電話進(jìn)行咨詢，不要輕易相信，同時要特別留意發(fā)送短信的端口，如果不是銀行的專用端口而是個人的手機(jī)號碼，詐騙的可能性就非常大。

　　4.要對網(wǎng)上銀行轉(zhuǎn)賬功能進(jìn)行一定的限制，如每天的最大轉(zhuǎn)賬額度以及轉(zhuǎn)賬次數(shù)等，這樣即使網(wǎng)上賬戶被盜，由于有轉(zhuǎn)賬額度限制，也可以防止太大的財產(chǎn)損失。

　　5.設(shè)置網(wǎng)銀登錄歡迎信息，以便確認(rèn)登錄的是正式的官方網(wǎng)站，并養(yǎng)成定期查看網(wǎng)上銀行余額的習(xí)慣，最好于月末或季末打印網(wǎng)上銀行業(yè)務(wù)對賬單。

　　6.開通一些短信提醒功能，如對網(wǎng)銀登錄、登錄密碼連續(xù)輸錯、轉(zhuǎn)賬匯款等及時進(jìn)行短信提醒。

　　7.及時升級電腦系統(tǒng)補(bǔ)丁和殺毒軟件，使用防火墻等網(wǎng)絡(luò)保護(hù)工具，采用正版可靠的殺毒工具并及時升級，定期對計算機(jī)進(jìn)行殺毒處理，保證網(wǎng)銀操作環(huán)境的安全性。

　　8.避免在公共場所(如網(wǎng)吧、機(jī)場等)使用網(wǎng)上銀行，因為無法知道這些計算機(jī)上是否裝有惡意程序進(jìn)行監(jiān)控。

    （編輯：Jesse）