分类
安全播报

春节火车票预售提前 如何提防钓鱼网站

从明日日起,春运正式开始,各大航空公司也纷纷推出春运机票预订优惠活动,但节前也是各类网络诈骗的高发期。据相关数据显示,近期火车票、机票类钓鱼网站日均新增上百家,相比平时订票淡季多出五倍。

钓鱼网站通过套用网页模板的方式,伪装为“铁道部火车票官方售票处”或“航空公司、旅行社、机票代售点”等网站页面,并在醒目位置贴出400、800等预订电话,安全防范意识不足的用户很容易被骗。

此外,钓鱼网站还会利用春运火车票紧张、提前预订可享受折扣等信息,催促用户尽快向指定银行卡号付款。如果受骗用户付款后发现没有机票订单,骗子还会借400等电话以“账户冻结”、“卡单”为由对用户进行二次欺诈。

“凡是需要向个人银行卡号汇款买票的网站,无疑都是钓鱼网站。”安全专家建议网民购买火车票时选择12306.cn官方网站,对于网址可疑的票务销售网站,应该鉴定网站鉴定网站可信度、确认安全后再付款买票。

那如何鉴定网站的可信度呢?主要通过以下三方面:

1. 网站地址栏为绿色地址栏

2.网站地址栏开头为“https”;

3.网站地址栏右侧有小金锁标志。

可能很多朋友对以上三点标志都不是很了解,这些都是钓鱼网站无法仿冒的安全网站标志,是网站部署了服务器证书之后的安全标志。

分类
安全播报

春运将至,如何巧识钓鱼网站

1月7日起,春运火车票预售拉开序幕,网上购票火热。不过,旅客要多加小心,不要上钓鱼网站的当。昨日,重庆晚报记者从中国反钓鱼网站联盟获悉,截至2013年1月10日,联盟累计认定并处理了订票类钓鱼网站(假冒网站)903个,较上月环比增166%。其中,火车票、机票类钓鱼网站约占70%。

上月底,安全中心表示,截至2012年12月24日,互联网新增钓鱼网站39.27万家。近期,在百度上搜索“火车票网”,相关结果达1600多万个。并且,在搜索结果出来后,最靠前位置会出现一个提醒:“铁道部官方售票渠道仅限12306.cn网站和电话95105105。通过非官方渠道如400电话、个人手机或ATM转账购票,可能给您带来财产损失。请谨慎辨别!”

除了钓鱼网站,还需谨防网络抢票软件。它们披着马甲,大多数暗藏病毒危险。

如何识别钓鱼网站?

增信图标无链接

各网站一般在页脚都会添加一些增信图标,例如,网络110报警服务图标、经营性网站备案信息图标等。正规网站几乎所有图标都会添加链接,而钓鱼网站则一般不会添加链接,大多数钓鱼网站的增信图标全都是无链接的图片,无法点击打开。

网址粗糙

正规的网站,页面规范,信息齐全,具有大量原创内容。非正规网站一般采用模板、模块式的构架,通过直观体验可以容易分辨出来。

网站没备案号

看是否在工商行政机关进行经营性网站备案。网站ICP备案号与ICP证号,一般都会在网站显示。

电话号码较长

网站上看到400或95013开头比较长的电话号码,建议网友慎重拨打。

分类
网络新闻

我国6千万网民1年被骗300余亿元

新华网北京8月13日电(记者王猛) 日前,中国电子商务协会等部门联合发布数据显示,截至今年6月底,过去一年间,全国超过6000万网民因网络诈骗损失300多亿元。业内人士表示,网络诈骗金额正逐年上升,国家相关部门应尽快采取措施加以遏止,解决制约中国网络零售业的这一突出问题。

  三成网购消费者遭遇诈骗网站

从事设计工作的吉林长春市民刘其此前打算购买某品牌一款复古运动鞋,他在当地商场和一些知名网店都未买到中意的款式。

今年7月20日,他在百度上查到一家网址为“www.china-newbalance.com”的网店,该网站在首页注明为某国际品牌中国官网,且声称100%正品保证,假一赔十,并支持网银在线支付。

登录后刘其发现,该网站鞋品不仅款式全,而且折扣大。经过搜索,他打算购买的那款原价659元的蓝色复古鞋,网站标价只有549元,并免费邮寄。刘其很快便完成支付。

7月28日,刘其收到包裹后发现,对方寄来的鞋无论从颜色、做工、用料等方面都与此前在商场看到的款式差别很大。“做工特别粗糙,凭我直观感觉,肯定是假货!”刘其说,他没有签收,而是选择“因质量问题退回”。

他致电该网站客服人员,对方一再表示,“100%保证正品,支持专柜验货”,并挂断电话。

此后,刘其多次拨打电话,对方始终处于无人接听。而当他打算通过第三方支付进行退款时才发现,该网站根本不支持第三方支付,钱款早已打入对方账户。

跟刘其一样,目前全国每年有数千万网民遭遇着网络诈骗。

中国电子商务协会等机构联合发布的《2012年中国网站可信验证行业发展报告》显示,截至2011年12月底,中国网民总数达到5.13亿。其中,网络购物用户规模达到1.94亿人。与2010年相比,全年新增网民和网购用户分别增长5580万人和3344万人。

报告同时显示,截至2012年6月底,过去一年间,在有网购经历的网民中,31.8%的网民曾直接遭遇诈骗网站,网购遇骗网民的规模达到6169万。保守估算,每年因诈骗网站给网民造成的损失不低于308亿元。

国内知名电子商务专家、清华大学教授柴跃廷表示,目前,我国网络零售业正处于高速增长期,而网站可信验证行业正处于成长阶段。呈现着“参与主体众多、服务种类多样、市场竞争激烈、国家标准缺失”等特点。

  诈骗者伎俩得逞 暴露监管漏洞

采访中记者发现,网络诈骗实施过程中,假货泛滥和虚假宣传是网络诈骗主要表现,他们通过低价诱骗网民上钩。

伎俩一、诈骗网站借助搜索引擎,让其网站排在推广链接前列,并制造大量同样模板网站轮番推广。

伎俩二、不同网站联系方式都一样,通常只留有一个手机号、QQ号或400免费电话号码。除此之外,没有其他任何信息。

伎俩三、诈骗者通常模仿市场上热门名站建立仿冒网站,页面几乎以假乱真。

长春市消费者协会副秘书长钟萍表示:“尽管仿冒网站页面几乎可以以假乱真,但仔细辨别后还是可以识别的。”

刘其遭遇的诈骗网站就是个典型例子:该品牌官方网站网址应为www.newbalance.com,而诈骗网站将网址伪装成www.china-newbalance.com。

此外,钟萍表示,诈骗者经常会在网站上制造虚假人气,显示已有成百上千人购买,迷惑消费者。

负责从事六年网络诈骗案件侦办工作的吉林省公安厅刑侦局民警肖楠表示,2010年以来这类案件明显增多。

“这些诈骗网站根本没有在工商部门注册,他们利用境外服务器随便建立网站。看似合法公司,通信信息除了QQ就是虚拟网络电话,无法确定其具体据点。”肖楠说。

钟萍认为,正是由于诈骗网站的隐蔽性,消费者和监管部门难以找到,求偿权难以实现,侵权证据难掌握。

“因此,消费者在网购时,应尽量选择信誉好的知名网站。重要的是,一定要确保其支持第三方支付,否则一旦受骗很难维权。”钟萍说。

  维权难源于管理弱 强化行政、法律手段迫在眉睫

报告显示,受骗网购消费者中,有七成消费金额在500-2000元之间。

肖楠表示,他们在处理这些案件时,通常先将所有已掌握信息提供给网络监察部门,并联系所在地公安部门协助调查。

不过他坦言:“由于警力有限,同时要考虑办案成本。目前来看对于有些网络诈骗案件也没有精力去做。”

此外,许多消费者表示,由于网购过程中没有任何消费凭证,消费者无法提供购买时间、地点、价格、商品名称等相关信息,因此当地消费者协会也没有办法解决。

如果到公安机关报案,需要提供更多的相关证据,如网站交易截图等。“本身损失金额也不大,与其这么麻烦,有那个时间还不如多放在工作上。”一些消费者说。

柴跃廷认为,由于电子商务打破了地域时空限制,消费者索赔成本大多数远远超过商品自身的价值,消费者求偿权更难实现。

此外,中国社会科学院财政与贸易经济研究所研究员王雪峰表示,由于电子数据易于修改,经营者在发现被追查时,往往利用技术手段修改或毁灭侵权证据,使消费者和监管部门对数据的真实可靠性难以确定,甚至根本就无从取证,造成侵权责任认定难。

互联网商业化和社会化的发展,其影响涉及生产和生活方方面面。因此有关专家认为,在这样一个涉及多方利益、复杂的互联网环境下,政府的监管对于整个网络信用的建设就显得至关重要。

“要在互联网环境下树立交易各方的信心,关键是让互联网交易双方能够自主地依托于一个全面、可靠的第三方信息验证平台来保障交易的安全。”钟萍说。

多位专家表示,我国亟待建立一个覆盖广泛的互联网可信验证服务体系,为广大消费者提供更全面的网站可信识别服务。

柴跃廷表示,目前已有的电子商务法律法规中多是部门规章和地方法规,这些规章效力较低,直接造成其使用范围和力度不足。

柴跃廷说,除政府监管及第三方信息验证的事前防御外,对互联网的安全及信用保障还需要事后的法律救济这一屏障,为互联网侵权的法律救济奠定坚实的基础。

“一方面可以通过行政救济或司法救济弥补受害人的损失;另一方面在于对侵权人施以惩戒,对互联网参与者起到警示作用。”他说

分类
知识中心

“钓鱼网站”屡禁不止 常见的攻击术及解决方案

  网络钓鱼(Phishing)

网络钓鱼的名称来自使用精心布置的诱饵(如看起来很像来自一个真实公司或机构的E-mail),这些诱饵是一些别有用心的人所设置,用于“钓取”用户的财政状况、信用卡详细情况和密码。钓鱼攻击使用的E-mail消息和网站看起来很像是来自一家合法的知名组织,其目的是骗取用户透露其个人、财政或计算机帐户信息。攻击者然后利用这些信息进行犯罪活动,如身分窃取、盗窃或欺诈。

  网络钓鱼现状

钓鱼式攻击是一种普遍的网络欺诈方式,它利用虚假网站诱骗用户泄露自己的个人信息。它不但能够给在线商户或银行造成很大的损失,还会损害消费者对互联网的信任。面对层出不穷钓鱼网站,即使是高级的网络防火墙和强大的反病毒软件也无能为力。

  常见钓鱼攻击技术:

复制图片和网页设计、相似的域名

攻击者会注册一个域名,它看起来同要假冒的网站域名相似。

例如:“paypai.com”可用来假冒“paypal.com”,“ta0ba0.com”可用来假冒“taobao.com”,

用“users-alipay.com”假冒“users.alipay.com”。

(1)URL隐藏

用户名和密码可包含在域名前,语法为:http://username:password@domain/。

攻击者将一个看起来合理的域名放在用户名位置,并将真实的域名隐藏起来或放在地址栏@符号的最后。目前浏览器的最近更新已经修复了这个漏洞。

(2)欺骗性的超链接

超链接 http://www.domain.com,当点击这个超链接时,实际指向的却是另外一个站点。

一个超链接的标题可以完全独立于它实际指向的URL。攻击者利用这种显示和运行间的内在差异,在链接标题中显示一个URL,而在背后使用了一个完全不同的URL。

(3)脚本

通过JavaScript在Internet Explorer的地址栏上创建的一个简单的小窗口,它显示的是一个完全无关的URL。完全替换地址栏或状态栏达到使其提供欺骗性提示信息的目的。

(4)弹窗

还可以使用弹窗攻击方式,使浏览器中显示的是真实的网站页面,但在页面上同时弹出了一个简单的窗口,要求用户在该窗口中输入个人信息。

(5)DNS欺骗

DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。

攻击者冒充域名服务器,然后把域名查询的IP地址设为攻击者的IP地址。用户上网只能看到攻击者的主页,而不是用户想要取得的网站的主页。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。

(6)Hosts文件攻击

Hosts文件是一个用于存储计算机网络中节点信息的文件,它可以将主机名映射到相应的IP地址,实现DNS的功能,它可以由计算机的用户进行控制。

例如Windows XP下 C:windowssystem32driversetc

用户可以修改 hosts 文件中 IP 与域名的映射列表,将域名指向自由定义的IP地址。

例如:127.0.0.1 www.ert7com

(7)社会工程

钓鱼攻击还使用非技术手段使用户坠入陷阱,其中的一个策略就是急迫性,从而使用户急于采取行动,而较少花时间去核实消息的真实性。另一个策略是威胁用户,如果不按照所要求的去做就会造成可怕的后果,如终止服务或关闭帐户,少数攻击还许诺将获得巨额回报(如“你中了一个大奖!”),但威胁攻击更为常见,用户往往会对不劳而获产生怀疑,这可能是人类的本能

(8)IP地址

隐藏一台服务器身份的最简单办法就是使它以IP地址的形式显示,如http://202.*.*.250。这种技术的有效性令人难以置信,由于许多合法URL也包含一些不透明且不易理解的数字,因此,只有懂得解析URL且足够警觉的用户才有可能产生怀疑。

  钓鱼网站特点:

持续时间短

大多数钓鱼网站只存在很短的一段时间,其单位以天甚至小时计算。

憋脚的语言

许多钓鱼攻击所用的消息存在大量的拼写错误、语法错误或使人困惑的措词。

网上交易站点居多

大部分钓鱼网站带有网上交易的特性,对网上银行、网络商城之类站点的用户资料和资金进行盗窃、诈骗等非法活动。

负面影响大

无论是对于客户端的客户体验,还是对于提供服务的网络公司的企业形象,都造成了极坏的影响。

  为什么选择扩展验证EV SSL证书

普通的用户无法识别快速SSL 证书和严格身份验证的EV SSL 证书有什么不同,两者都会在浏览器上显示安全锁标志。

扩展验证EV SSL证书需要经过最彻底的身份验证以确保该组织真实存在,扩展认证功能帮助挫败钓鱼网站。

绿色地址栏显示的组织名称和作为证书颁发机构的CA无法被恶意网站模仿。

强大的防止钓鱼网站的保护能力

醒目的指示,显示网站身份的可靠性

大大阻止网页钓鱼

恢复网站访问者的信心

可控的安全性,安全一目了然

  绿色地址栏增加顾客信任,带来更多交易

以IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下,使用EV SSL证书的网站会浏览器地址栏会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称,例如VeriSign。所有的一切,均向客户传递同一信息,该网站身份可信,信息传递安全可靠,而非钓鱼网站。

  EV Upgrader帮助更多客户轻松获得安全绿色地址栏

“钓鱼网站”屡禁不止 常见的攻击术及解决方案-1

VeriSign提供EV Upgrader升级技术,该技术可帮助非VISTA的IE7的用户自动升级根证书,如客户在Windows XP版本下使用IE7,该技术可确保客户无缝升级展示绿色地址栏,实现EV SSL证书诸多安全特性。扩展验证功能帮助挫败钓鱼网站

EV SSL证书经过最彻底的身份验证客户确保证书持有组织的真实性。绿色地址栏将循环显示的组织名称和作为CA的VeriSign名称,两个的同时运用,从而最大限度上确保网站的安全性,树立网站可信形象的,不给钓鱼网站以可乘之机。

工欲善其事,必先利其器。电子商务、电子政务、网上支付的前景虽然美好,然而还有不少的技术障碍亟需解决,只有当安全与信任共同建立,互联网交易的屏障才会迎刃而解

目前来看,网络支付的安全手段主要基于电脑本身的防护,如让用户安装安全防护软件、独立的客户端、动态口令、USBKey等等。如何在如何将各大银行网银、支付平台、企业财务系统等各领域提供更多更有效的服务性产品,无需客户端来执行额外的操作,即可为客户带来方便易用的安全产品,从而构筑网上支付的安全防线,正是VeriSign可信网站服务在不断探寻的答案。