2012年刚刚到来,钓鱼网站便让不少中国互联网用户交了“学费”——这一回,和很有中国特色的春运有关。
1月17日,有媒体报道,来自河南漯河、在广东打工的左先生遭遇了购买火车票钓鱼网站的骗局,损失184元。
作为互联网诈骗的主要手段之一,借春运之机打网络购票者的主意,钓鱼网站又找到了一片新领地。近日,中国青年报记者就钓鱼网站问题独家专访了网络安全专家叶夫根尼·阿谢夫先生。这位卡巴斯基公司亚太区病毒分析总监向记者介绍了钓鱼网站的“前世今生”。
解析网购火车票钓鱼网站新骗局
铁道部为今年春运开通了网上购票渠道,但其官网在启用的最初几天运行并不稳定,很多网民无法正常登录。这给一些不法分子提供了可乘之机。他们模仿铁道部的火车票订购网站制作了钓鱼网站,企图以假乱真,骗取网民的银行账号和密码等个人信息。
中国青年报记者看到,在一些搜索引擎上输入关键词“火车票”进行查询时,页面最上方会给出“购买火车票,铁道部官方售票渠道仅限12306.cn和电话95105105”的提示,且铁道部的官方售票网站会被排在搜索结果的第一位。但在官网与搜索引擎展开上述合作之前,已经有一些钓鱼网站在混水摸鱼。
阿谢夫提供给记者一个域名为“www.sz-qc.com”的钓鱼网站网址。在被安全软件发现并预警之前,该网站曾被某搜索引擎排在推广广告的第一位,出现在搜索结果页面的最上方。
如果是初次上网购票,有的网友可能会被这个取名为“火车网”的钓鱼网站所蒙蔽——其首页界面看起来就像一个卖火车票的网站:左上方是列车车次查询,中上方列出了“最新购票成功用户”的滚动信息,右侧还有“在线预订火车票,票款100%安全”的所谓“郑重承诺”——但不幸的是,这是个钓鱼网站。
从技术上讲,网页上最新订票成功的用户应该是根据订票情况动态生成的,但卡巴斯基病毒专家发现,网页代码显示,所谓的最新订票成功的用户信息是事先写好的。
进入代购页面,输入车站、日期信息,查询车次并选择购买后,网站会提示要填写个人信息。填写完个人信息并点击提交后,网页显示预订成功,并要求致电客服电话付款。之后,客服电话会诱骗用户付款。在使用钓鱼网站所提供的400电话进行搜索后,可以发现已有网友在论坛和微博上发帖讲述上当受骗的经历了。
阿谢夫说,借网购火车票之名骗取钱财是钓鱼网站的一种新招术。“建立这种钓鱼网站的成本可能不会很高,不法分子注册一个域名,仿造一个页面,技术门槛也不是很高。但如何让广大的用户去‘上钩’,这方面的推广成本可能会很高。比如去做搜索引擎优化,把自己的钓鱼网站放到搜索结果的靠前位置,在社交网络里推广钓鱼网站的链接等,这个成本会是很高的。”
钓鱼网站由来已久
叶夫根尼·阿谢夫告诉记者,钓鱼网站的产生几乎与互联网的普及应用同步,“1996年,美国就有钓鱼网站的案例了,后来逐渐波及全球”。相关资料显示,互联网上最早提及“钓鱼网站”(Phishing)一词,是在1996年1月2日美国在线网站(America-online)的一个用户组里。
“在俄罗斯,以骗取金钱为目的的钓鱼网站开始大规模出现的时期是2000年前后。”阿谢夫说,早期钓鱼网站的目标主要是获取有价值的个人信息。“互联网应用在俄罗斯刚起步的时候,上网的费用很贵。俄罗斯的一些黑客制作钓鱼网站的目的是为了获取收费用户的账号和密码,从而使用别人的账号免费上网。”但自从网上交易开始流行之后,钓鱼网站开始把目标对准用户的财产。
“就像钓鱼一样,不法分子会利用钓鱼网站抛出一个诱饵,等待用户上钩。比如说,有些用户害怕自己的账户不安全,不法分子便利用用户的恐惧,冒充一些网站给这个用户发送邮件,说你这个账户有什么问题,然后提供一个链接。用户一旦点击了指向钓鱼网站的链接,访问了钓鱼网站,就有可能暴露自己的个人信息。”阿谢夫说。
引诱用户访问钓鱼网站的伎俩主要有以下几种:冒充银行或微软等网站技术支持向用户发送警告邮件,诱使用户访问钓鱼网站输入账号密码;向用户发送中奖邮件,诱骗用户汇款;向用户计算机中安装木马软件,此类木马软件可以利用即时通讯软件向用户的好友发送钓鱼网站链接;通过C2C在线交易的方式,由卖家向买家发送钓鱼网站链接,获取买家在线支付信息。
立法滞后 网民要学会自我保护
在今年年初举行的中国计算机学会青年计算机科技论坛和去年的中国互联网产业年会上,有专家指出,目前我国对个人信息保护的相关立法滞后,互联网管理规范亟待加强。
阿谢夫告诉记者,并非只有中国存在互联网相关立法滞后的现象,“俄罗斯联邦政府对于阻止网络犯罪的措施也并不是很有效的。没有很合适的法律去阻止相关行为,政府也没有足够的人手去查找到底谁是犯罪分子”。
他介绍说,俄罗斯联邦的法律里也有针对网络犯罪的相关规定,“但这些规定很宽泛,没有办法做非常细致的界定”。“钓鱼网站在俄罗斯比较常见。随着社交网络的兴起,不法分子针对社交网络制作钓鱼网站,获取用户在社交网络上的信息,进而到地下市场转卖的情况也在逐渐增多。”
在立法滞后的情况下,他建议用户增强对互联网服务的辨识能力和自我保护意识。
“互联网是一种服务,我们在享受这种服务之前,先要对其有所了解,例如在需要提交个人账户和密码时,要甄别相关的要求是否合理。”阿谢夫说,“此外,选择合适的安全软件和防火墙,增强自我保护意识也是十分重要的。”
卡巴斯基安全专家建议,如果用户想要在线购物,最好使用一张独立的银行卡。这张卡只用来进行在线交易,而且每次购物前,才给这张卡充值。此外,选择在线商店方面也需要特别注意,最好选择那些知名并且信誉高的在线购物网站。
如果用户对某个购物网站的真实性有所怀疑,可以在网络上搜索一下该网站的联系信息、银行账号详情等,这些信息都可以帮助用户判断其真实性。