网络钓鱼不仅成为了危害网络安全的重大罪犯,并且网络钓鱼从产生到至今已经形成了一个具有规模化、模式化的具有超额利润的黑色产业。据调查,网络钓鱼所取得的非法利润如今已经高达每月数十万。QQ、淘宝、MSN都已经成为了它们的传播途径。
家住北京朝阳区的乔彤(化名),钟爱淘宝购物,并且一直以自己81笔安全网购交易记录而沾沾自喜,不过,最近一件事情打破了他的在线安全交易记录。 12月中旬,乔彤无意在一家淘宝店看到一款心仪已久的超长靴,而且标注绝对正品,380的标价也比专柜便宜很多,就打开卖家旺旺留言(乔彤事后才知道这个卖家旺旺账户已经被钓鱼者盗号),卖家让乔彤加其QQ专用号码,然后通过QQ发来了宝贝链接。
“点击打开后,和淘宝店里的页面是一样的,我就毫不犹豫地拍了,但系统提示让我登陆,我当时纳闷了一下,但当时没有多想,就输入了用户名密码,之后就进入付款界面了,我选择支付宝余额付款,输入支付密码然后没有跳到下一个界面,我就留意看了一眼,上面写的是即时到帐,才开始有不好的感觉,是不被骗了?”乔彤心里嘀咕。
不出所料,帐户上丢掉了380元的现金,比较幸运的是,乔彤的银行账户里面只有400元的存款,没有因此被骗走更多存款。
当乔彤被反病毒安全专家告知,自己已经中了“网络钓鱼”圈套时,从事房产销售的乔彤一头雾水。
“从社会工程学角度看,所谓‘网络钓鱼’就是指运用欺诈心理结合电脑科技的新犯罪手法。”金山毒霸反病毒专家李铁军解释道,“‘网络钓鱼’是一种网络欺诈行为,不法分子利用各种手段,仿冒真实网站的网页地址以及页面内容,以此来骗取用户银行或信用卡账号、密码等私人资料。”
据国家计算机网络应急中心估算,网络钓鱼带来的对电子商务用户损失目前已达76亿元,也就是说,平均每一位网购用户已经为潜在的网购安全威胁丢掉了86元的经济损失。除此之外,“网络钓鱼”的嚣张势头更是对公众应用互联网的信心打击。
而对于“网络钓鱼”欺诈手法原理的最好切入点,还要追溯到上世纪90年代的一个流行术语-“黑客社会工程学”,这是由著名黑客Kevin Mitnick早在上个世纪90年代就提出的新术语,即引诱某人去做某事或者泄露敏感信息。这个简单的概念已经早有年头,不过安全专家一致认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益。
“现在的钓鱼网站,通常伪装成为银行网站或者电子购物网站,窃取访问者提交的账号和密码信息。钓鱼网站的页面与真实网站界面完全一致,要求访问者提交账号和密码。一般来说钓鱼网站结构很简单,只有一个或几个页面,URL和真实网站有细微差别。”李铁军对此分析道。
他还指出,“钓鱼网站页面设计,就类似于假币中的半真半假币,也就是说,网络钓鱼程序设计人员分析比如一些淘宝宝贝页面,然后将需要的页面移植到本地,并对涉及帐号操作的部分页面进行改造从而控制交易的过程。目前常见的控制手段主要有两种,收集用户输入的帐号密码,交易密码;或者直接将钱转移到相应的帐号。”
所以,不难看出网络钓鱼的获利来源主要在以下三个途径,一、出售箱子:被钓鱼者的帐号密码信息;二、使用被盗者的淘宝帐号购买其他产品,然后销售;三、购买的钓鱼程序可以及时入账,此时提取现金即可。
“通过从金山网盾数据中心获得的最新数据表明,11月,金山网盾每日和支付宝交换的钓鱼网站数量都在300个左右,其中80%的钓鱼网站都会被买家或者卖家点击,在被淘宝用户点击到的这240个钓鱼网站,其中有20%-30%的钓鱼网站会交易成功,而一个钓鱼网站只要在一天之内获得一笔成功交易记录,就可以在短短两分钟之内把你支付账户里的存款全部吞掉,这显然是一种无本万利的生意。”李铁军透露了一组惊人的数据。
据网络钓鱼圈内人士披露,现在游戏点卡售卖是网络钓鱼主要目标对象,一天交易情况好的时候,会有几十笔交易,单笔交易从几十块钱到几百元钱不等。而一个钓鱼网站只要在一天之内获得一笔成功交易记录,就可以在短短两分钟之内把你支付账户里的存款全部吞掉,这显然是一种无本万利的生意。
金山安全专家李铁军提醒网民,首先,不要轻易打开没有经过网盾认证的链接,,支付宝和网银行卡的数字认证一定要办理,把风险降低到最小,同时建议网民一定要养成良好的网络购物安全习惯。
【编辑推荐】