一、 浏览器后面的罪恶—— 钓鱼网站与欺诈网站的巨大危害
目前,全球经济经济形势严峻,导致恶意线上活动变本加厉,网络犯罪者活动日益猖獗,新型网络钓鱼犯罪综合了间谍木马、诈骗、伪装等多种手段,造成的经济损失远远超过以往单纯的网络攻击,钓鱼网站利用恶意软件窃取密码及其他敏感资料的活动直线上升,金融服务业、拍卖网站与付款服务都成为网络钓鱼攻击的主要目标。
据国内相关部门统计,国内8成以上网民对于网上提供个人信息的安全性存在不同程度的担忧,文件丢失、计算机瘫痪、网银账号被盗、信息资料被窃是当前网民最为担心的四大安全隐患,近1/4的网民非常担心个人信息安全,从不在网上填写个人相关资料。这就是说,钓鱼网站除了给网民带来经济损失,给企业带来品牌形象损伤外,最重要的是,使得大批网民对互联网不信任,导致网民减少甚至避免使用某些网络应用,从而阻碍了我国互联网的健康发展。
仅以“全国列车时刻表查询(http://www.touba.cn)”这个假冒网站为例,近期该网站就侵袭了将近34万网民。全球“钓鱼”案件自2005年始,正在以每年高于200%的速度增长,受骗用户高达5%。而在近日查到的钓鱼网站中,淘宝、腾讯、百度等知名网站都曾被仿冒,属于“重灾区”。
更值得注意的是,这些从事诈骗的非法钓鱼网站存活时间较短,通常仅维持一周甚至几天,最长也仅为一个月。此外,欺诈类非法网站通常“打一枪换一个地方”,频繁开设新网站,给打击非法网站、事后监管带来较大的难度。较低的破案率,让欺诈钓鱼网站实施诈骗更加变本加厉。
二、 欺诈网站其实就在我们身边—— 细数钓鱼网站的犯罪手段
综合分析了大量钓鱼网站后发现,欺诈钓鱼网站具有一定的规律性,往往与社会热点紧密结合。比如股市火爆时,假冒券商网站就会集中暴发;高校招生阶段,假冒高校网站就会异常增多;春运时,假冒车票交易、查询网就会分外活跃。网民登录钓鱼网站,则有可能被不法分子窃取银行账户、密码等个人私密信息;网民在钓鱼网站可能进行网上交易,交纳会员费、学费、中奖手续费等,因而蒙受经济损失。
网络安全专家介绍说,每当大型节日临近,网民们会加大对网络的使用量,如通过互联网查询列车车次和票价、查找自己感兴趣的网游外挂等。同时,假日前后也是网上购物高峰期,各种各样的网络欺诈钓鱼网站会通过论坛、贴吧和即时聊天工具等发送虚假中奖、打折、赠送信息,用户一旦点击该链接即可刻中毒,网上银行帐号、密码随时面临被盗危险。
相对于其他欺诈方式,钓鱼网站诈骗的成本和技术门槛相对较低,不法分子甚至不需要是技术一流的黑客,只要从网上花10元到数百元,即可轻松买到不同功能的钓鱼网站和工具,实施犯罪活动。
不仅如此,部分钓鱼网站还利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信品牌,骗取用户私人信息。在这些带有欺骗性的电子邮件中,内容通常会以“系统升级”为由,称“如果不及时更新个人信息,个人账户将被终止”,后面附带有一个网址链接。一旦打开这个链接进入该网站,网民往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。
三、 欺诈钓鱼网站的利益链条—— 如出一辙的诱人骗局
欺诈钓鱼站获利的大致流程如下
1、 制作钓鱼网站
直接复制钓鱼攻击的目标网站页面。目前,支付宝、财付通等第三方支付平台以及网银支付平台及购物平台等是模仿重点对象。
2、 散布诱惑信息 诱使在钓鱼网站上提交信息
散布诱惑你输入个人隐私信息以及其它重要帐号和密码的重要信息的页面。
3、 记录隐私信息
后台数据库将记录你的帐号和密码。
4、 盗取利用数据
窃取账户资金或利用账户中的隐私信息从事一些犯罪活动。
四、 治本之道—— 如何从根本上解决钓鱼网站和欺诈网站
目前“钓鱼网站”已成为互联网安全最大的隐患,严重阻碍电子商务、在线金融业务的正常发展。特别是2008年9月以来,金融海啸在全球蔓延,许多不法分子趁机制造钓鱼网站非法牟利,上升为国际性问题,企业为应付钓鱼网站付出了大量的精力和成本。这时,如何有效遏制钓鱼网站,降低处理成本,众企业可谓“伤尽脑筋”
今年中央电视台“3•15”晚会的重要话题之一是保护人们网上隐私的安全。这一话题非常引人关注,它提醒人们,在日常上网的过程中,尽量注意不要让个人隐私在网上暴露;同时,也对ICP或电子商务网站,如网上银行、网上证券、网上购物等网站提出了新的要求:网站能否采取有效的技术措施,一方面证明自己的网站是真实而非假冒的,另一方面保护用户信息传输的安全。
从目前的技术来看, SSL证书作为成熟的国际标准,是目前证明网站的真实性、保护用户隐私信息安全的唯一有效的技术手段。
互联网所使用的 IP 技术是明文传输信息,这样,如果您在网站上提交的所有机密信息不采用加密措施的话,其他人很可能能看到,因为从您的电脑到网站服务器要经过许多路径,许多人能接触到这些路径,有可能非法截获甚至篡改您的机密信息,比如银行卡信息等。
由于SSL证书能高效地加密网上的信息,并能对网站的身份进行验证,所以,自推出以来就在欧美地区获得了大量部署。再加上,欧美各国有相应的个人隐私保护法律法规,几乎100%的美国政府、电子商务等网站,凡需要用户登录的地方,都部署了 SSL证书。
反观我国,SSL证书的应用情况却糟糕得多,我国各种电子政务、电子商务、企业网站,绝大多数都没有部署SSL证书,也就是说,网站根本没有采取最基本的安全技术手段对网民的机密信息,如个人手机号码、家庭地址等进行加密,其中重要的原因之一是中国相关法律的严重缺失。中国有关部门必须尽快立法来保护广大网民的网络隐私权。
假银行网站更是将不少消费者们骗得团团转,但在专家看来,这些黑客其实只是耍了三脚猫的伎俩。
实际上假网站这种欺骗手段十分低级,出现这类事件的主要原因是用户对于网上银行的正确使用还不是特别了解,对于网上银行的安全没有足够的防范意识,缺少对于SSL等安全技术的认知。如果客户能够正确使用,提高安全意识,类似假网站骗钱的事件完全可以避免。
五、 SSL证书全线阻击
SSL证书作为最为有效地安全技术,网站部署后,网民究竟如何通过数字证书识别欺诈钓鱼网站?
网站通过部署SSL证书,浏览器需经过以下5个方面的检查后,才会在页面浏览器页面显示安全锁标志,同时地址栏出现“https”字样,提示页面完成了SSL证书安全加密。
第一,检查SSL 证书是否是由浏览器中“受信任的根证书颁发机构”颁发?如果不是,则浏览器会有安全警告,为 IE7 浏览器的警告信息为“此网站出具的安全证书不是受信任的证书颁发机构颁发的,安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据,建议关闭此网页,并且不要继续浏览该网站。”IE6浏览器会提示 “该安全证书由您没有选定信任的公司颁发”。
第二,检查SSL证书中的证书吊销列表,检查证书是否被证书颁发机构吊销?如果已经被吊销,则会显示警告信息:“此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。”
第三,检查此SSL证书是否过期?如果证书已经过了有效期,则会显示警告信息:“此网站出具的安全证书已过期或还未生效。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。”
第四,检查部署此SSL证书的网站的域名是否与证书中的域名一致?如果不一致,则浏览器也会显示警告信息:“此网站出具的安全证书是为其他网站地址颁发的。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。”
第五,IE7浏览器会到欺诈网站数据库查询此网站是否已经被列入欺诈网站黑名单?如果是,则会显示:“IE已发现一个已报告的仿冒网站。仿冒网站假冒其他网站并试图欺骗您泄漏个人信息或财务信息。建议关闭此网页,并且不要继续浏览该网站。
除此之外,网民还可以注意网站的一些特殊站点标志,例如国际著名SSL证书品牌VeriSign还为部署SSL证书的网站提供了VeriSign站点签章标志,通过点击该标志可以查看网站的身份信息。目前VeriSign 站点签章标志(VeriSign Secured® Seal),拥有庞大的用户群,每天的浏览人次数超过1.5亿次。
六、 假网站一目了然,教你几招防身术—— EV SSL 成为未来网站安全的新趋势
网站在部署了 SSL 证书后,除了可以显示“锁”标记,地址栏“https”字样,“动态站点签章标志”,是否有更为简单的判断方式?
当然有,目前SSL证书领域的大哥大EV SSL证书就有这样的本事。EV SSL是一种新的安全证书。可以让消费者更加轻松地辨识网站真伪。部署了高端VeriSign EV SSL证书的网站地址栏会自动变成绿色,地址栏上滚动出现网站身份信息及数字证书颁发机构的名称,提示网站经过了高级别身份验证。而对于钓鱼站点,红色地址栏将自动进行提示网民注意自身安全。在国内,EVSSL技术实际已经在我们身边,VeriSign EV SSL证书已通过其官方合作伙伴天威诚信数字认证中心开始颁发,目前招商银行、工商银行、中信银行等银行网站已先后换装国际领先的EV SSL证书。如果你想亲自尝试,不妨登录这些网站看看自己的地址栏是否也变成绿色。
