标签： 木马钓鱼

    前不久，被曝光的代号为“黑桃J”的大型木马团伙已攻陷33000余家网站，给未安装安全软件或不了解SSL证书（服务器证书）等网络安全技术的网友造成不小损失。现在各黑客病毒又将目标转向了访问量逐渐增加的高校网站，请各位考生家长及关注招生资讯的网友注意安全防护。

    日前，木马病毒趁高考之际再度侵袭各大高校网站，大批高校网站在高考首日被埋下木马病毒，给查询招生资讯的访问者设下陷阱。

    数据显示，半月前高校网站挂马数量相比前期增长了60%以上，北京师范大学、同济大学、浙江理工大学等122所高校网站遭到黑客入侵，其中一半的挂马网站与高考相关。 仅6月5日一天，受挂马和黑链影响的高校网站就超过百家，涉及页面上千个，高考前后成为高校网站被黑客挂马的重灾时段。

    以高校众多的武汉地区为例，中国地质大学长城学院外语系网站，湖北师范学院，湖北工业大学，武汉大学深圳研究院、深圳产学研基地、深圳校友会等网站均被发现恶意挂马行为。

    一旦访问了被挂马的高校网站，就很可能会遭到恶意木马的感染进而受到攻击者的远程控制，造成计算机用户系统中重要数据文件、网上交易账户和密码等敏感信息被窃取。

    各位考生用户或招生资讯等相关信息的访问者应提高网络安全防范意识，及时使用防病毒软件，降低木马感染计算机的可能。同时，希望各大专院校能做好网站服务器安全建设工作，可借鉴支付宝、卓越等网站，在其登陆注册等涉及用户个人信息的网页部署SSL证书（服务器证书）并放置网站信任签章，重点对涉及招考相关的内外网信息系统进行安全防护工作。

    SSL证书可通过SSL技术实现信息加密传输，防止信息传输过程中遭到窃取、篡改。其中更为高端的VeriSign SSL证书，可提供每日恶意软件扫描和VeriSign信任签章功能，对网页挂马行为进行严格监测的同时标明网站真实身份，杜绝挂马、钓鱼等攻击行为。

    支付宝、卓越网等国内知名网站为确保用户在线信息安全、建立网站可信形象，均通过工信部批准的合法第三方电子认证服务机构天威诚信部署了全球最知名的VeriSign SSL证书，在维护用户信息安全方面效果显著。当然，安全的网络环境并非一日可成，最近各位关注招生资讯的网友还需依靠安全软件抵抗木马侵害，建议各高校网站尽快加强网站安全防护。

    端午节选好了旅行地点却买不到票，大热天奔波于吵杂的车站售票点着实让人起急。一位网友表示：“想起车站人山人海就怵头，以前买票还被小偷趁乱掏了手机，为了张票不够闹心的。”相比之下，选择网上订票的朋友就很滋润，免了排队苦等，宅在家里也能安排行程，更谈不上小偷趁火打劫。话虽如此，可网上订票的朋友千万别大意，省时省力自然是好事，但网络钓鱼欺诈比现实中的小偷更加防不胜防。若不仔细区分网站细节或不懂SSL证书（服务器证书）等安全常识，钓鱼欺诈的魔手很可能会伸进您的腰包。

    5月底，家住重庆的李女士在网上订了张机票，打算6月4号启程去看望朋友。可李女士通过银行把票款汇出后，对方打电话称提供的身份证号有误，要再打一次钱另外买张机票之后办理退钱，这时李女士感觉事有蹊跷。

    据李女士介绍，她是在一家名为“58同城”的票务网站上购买的机票。谨慎起见，李女士特意查看了网站的一些细节，发现页面醒目位置不仅有客服电话，还可通过查询按钮到看自己的订单信息。李女士觉得这家网站没什么可疑，所以即便在汇款时看到对方是私人账户，也没有引起她的怀疑。“钱汇了，客服电话却打不通。”李小姐说，几个小时后，客服打电话过来，号码比网站上的多了一个0。“对方是个男的，说我的身份证号输错了，出不了票，要再打一次钱，重新买，才能退之前的钱。”

    李女士感觉不对，赶忙让朋友帮忙拨打了“58同城”全国客服热线。经询问发现“58同城”根本没有此前李女士拨打过的客服电话。此时，李女士印证了心中的担心，不禁大呼上当。

    事后，李女士再次打开了自己订票的那个网站，发现网页左上角的LOGO虽然是“58同城”但网址却是www.huajingsh××.tk 。再次拨打“58同城”官方的客服热线，工作人员称，这个域名并不是他们的网址，李女士遇到的很可能是一家冒充“58同城”的钓鱼网站。

像李女士一样遭遇钓鱼欺诈的朋友还有很多，在线订票、团购、网上银行等涉及用户信息和资金账户的网站都是钓鱼欺诈冒充的重点对象。您不仅需要及时更新电脑的安全软件以加强对木马等恶意软件的防护，还要掌握判断可信网站的安全常识。

    目前，识别可信网站最为直观有效的方法之一是查看网站SSL证书（服务器证书）相关信息。

    网站部署SSL证书后，可通过SSL技术实现信息加密传输，防止网银密码等敏感信息在传输过程中遭到窃取或篡改，有效保护用户信息安全。此类网站的主要特征是：地址栏以”https”开头；地址栏右侧自动显示金色锁形标记，点击后可查看服务器证书和颁发机构信息。网友可以通过这两个安全特征来判断网站是否可信，有效区分真假难辨的钓鱼网站。此外，像全球最知名的VeriSign扩展验证EV SSL证书还提供绿色地址栏和VeriSign信任签章功能，在防治钓鱼网站和木马等恶意攻击方面更具针对性。

    招商银行、支付宝、卓越网、携程旅行网等上百家知名网站均通过SSL证书维护其网站可信形象，这些网站使用的SSL证书就是上面提到的VeriSign证书产品。

    VeriSign源于美国，是全球数字认证领域最为知名的品牌，已受到世界各地网站的广泛认可。在中国，VeriSign与其中国合作伙伴天威诚信合作超过10年，为国内众多知名企业提供服务，因而国内绝大多数VeriSign SSL证书都来自天威诚信。天威诚信（iTrusChina）作为工信部批准的合法第三方电子认证服务机构，专业从事数字认证等技术和产品服务，本土化的专业服务团队帮助国内网站轻松获得世界级安全服务。由于VeriSign与天威诚信（iTrusChina）是判断可信网站过程中时长涉及到的名称，所以有必要了解其意义。

    希望以上这些可信网站方面的安全常识，能帮助大家辨认可信网站身份，享受网络便利的同时，将钓鱼欺诈拒之门外。

   时下互联网的热门内容就像是度假胜地，让人着迷、充满期待，但总有大批钓鱼网站瞄准慕名而来且不明真相的人群，打着“当地特产”“特色风情”等旗号赚个盆满钵溢——就像不法商贩一样，但糟糕的是钓鱼网站不仅卖“山寨货”，更直接威胁用户资金账户等信息安全，手段愈发“高明”。

 日前，国内知名选秀节目《中国达人秀》就被不法分子盯上，网络上出现了仿真度极高的钓鱼网站。由于国内的选秀节目受到大量观众追捧，利用节目名义仿制选秀节目网站成了不法分子捞取不义之财的机会，也对网友形成了严重的安全威胁。

    此类事件并非少数，有数据统计，今年6月已处理钓鱼网站4312个，同比5月份上升16%左右。而且从特征来看，钓鱼网站仿真度越来越高，已从单一的窃取品牌名义，逐渐演化为对真实网站的高度仿冒，其中主要涉及网站页面、功能及域名的仿冒，让普通用户难以区别。

    除了视觉上的伪装，不法分子已经越来越多的利用时下热门节目或者某热门行业中的品牌，窃取名义，进行克隆、仿制出和官网相同的网站，更有甚者通过搜索引擎优化技术将钓鱼网站在搜索结果中的位置提前。进而通过钓鱼网站向用户发布一些“中奖”或“打折”信息，诱惑网友进行支付操作。一旦网友进行支付操作，钓鱼网站将迅速窃取网友的信用卡、网银账号、联系方式等个人信息，侵害网友资金安全。

    因此，喜爱上网尤其是喜爱网上购物等常涉及支付操作的网友，应强化安全意识，除了安装杀毒软件等防护软件外，应掌握一些鉴别钓鱼网站的方法，以加强个人信息安全。

    目前，防范网站假冒最为有效的技术手段是部署SSL证书（服务器证书），因此国内各大银行、基金证券、电子商务、第三方支付等涉及用户敏感信息在线提交的网站均已采用这一技术。

    细心的网友也许早已注意，在卓越、凡客、携程等网站用户登录注册页面的地址栏是以“https”开头（比一般的“http”多了一个“s”），且在地址栏右侧出现了金色锁形标记。如果网友点击这一标记，将会看到服务器证书以及颁发机构的详实信息，通过验证网站真实身份确认网站的真实性。而工商银行、招商银行等网站的地址栏不仅出现上述特征，还会变为绿色——这是EV SSL证书独有的绿色地址栏功能，用醒目的颜色变化提示用户当前网站是否可信（绿色代表安全，红色代表可疑），破解钓鱼网站的障眼法。

    不仅如此，这些显著的安全特征还包含了一则信息：当前网站已经通过SSL技术实现了高强度的信息加密通道，在线提交的信息数据在传输过程中将不被窃取或篡改，大大提升了用户个人信息安全。

    当前全球最知名也是应用最广泛的SSL证书品牌是VeriSign，已有超过百万台服务器部署了其SSL证书产品。VeriSign品牌源于美国，但国内权威认证机构天威诚信与其逾11年的合作中，已为中国许多知名网站提供了安全有效的网站可信服务。

   在网站信息安全保卫战中，那些与用户敏感信息无关的网站也遭到了钓鱼欺诈不同程度的光顾——这些网站未涉及用户敏感数据传输，似乎无需采用SSL证书或其他防护措施，但网站中一些热门内容所吸引的大量人群还是为钓鱼网站创造了动机。

    进入8月以来，以假冒高校招生的钓鱼诈骗事件时有发生。不法分子恶意仿冒合法高校招生网站、非法链接并篡改合法招生院校网上供查询的新生录取名单等方式来进行违法犯罪活动。虽然教育部已发布预警提醒广大考生和家长，谨防非法中介诈骗活动，避免蒙受不必要的损失。可惜部分考生和家长一直存在侥幸心理，对“交钱就能实现低分高录”的虚假承诺信以为真，最终上当受骗。

    在此希望各位考生家长，不要盲目听信那些“后门”承诺，在访问高校招生网站时最好能够致电核实信息。另外，除了及时提醒访问者外，网站方面还应依靠有效的技术支持实现网站的安全防护。

在这点上，高校招生网站可借鉴金融与电子商务类网站。这两类网站涉及用户银行卡号、交易密码等信息，故一直被梦魇般的假冒网站和恶意软件纠缠不清，应用SSL证书已成为与之有效对抗的主要方式，监管严格的网上基金交易更是将SSL技术的应用作为行业法规。

    SSL证书（服务器证书）的信息加密、网站真实身份展示、恶意软件扫描等功能对网站假冒、恶意软件攻击具有针对性，可有效确保用户在线传输的信息安全。因此SSL证书产品尤其是那些知名度很高的专业品牌（比如VeriSign，全球最知名的SSL证书品牌），受到全球金融类及电子商务类网站的青睐——他们为用户在线提交的个人信息找到了可免于被窃取、篡改的防护措施，并为访问者提供无法仿制的安全特征，以协助他们免遭钓鱼欺诈，从而建立自身网站的可信形象与用户信任。

    当然，高校招生网站可能用不到那么高的信息加密强度，但SSL证书在表明网站真实身份、打击假冒网站和监测页面恶意软件方面的表现同样值得借鉴。 目前，国内很多知名网站在建立网站可信形象方面，均采用权威认证机构天威诚信（iTrusChina）提供的网站可信服务。天威诚信与全球知名SSL证书品牌VeriSign逾11年的合作中，已经积累了大量运营经验，帮助国内上百家知名网站（凡客、卓越、携程、招行等）进行网站安全建设。