钓鱼网站花样频出危害大
● 现状
钓鱼网站按下葫芦起来瓢
360互联网安全中心发布的《2015年中国互联网安全报告》显示,2015年全年,360互联网安全中心共截获各类新增钓鱼网站156.9万个,相比2014年下降了40.1%;平均每天截获新增钓鱼网站4299个。从单月情况来看,3月(16.8万)、4月(16.9万)、5月(16.1万)的新增钓鱼网站最多。但是,“钓鱼”攻击的次数下降比例相对较少,仅为6.6%。2015年全年,360互联网安全检测产品共为全国用户拦截各类钓鱼网站攻击379.3亿次,相比2014年的406亿略有下降。从单月情况来看,钓鱼网站拦截量大致仍呈现逐步增长态势。另外,在钓鱼网站的拦截量方面,彩票钓鱼占到了72.9%,排名第一;其次是虚假购物,为10.8%;网站被黑占4.9%。在新增的钓鱼网站中,虚假购物的占比最大,达到了44.7%,其次是金融理财13.6%、虚假中奖10.8%位列其后。
“真的,现在上网都得特别小心,不管是电脑上网还是手机上网,稍微不留神就有可能被‘钓’,不敢说每天都能碰到吧,反正一个月碰到几次是有可能的。”说起网络“钓鱼”现象,北京某信息公司IT业务主管吴先生深感忧虑,“很多情况下,拦截手段会稍微晚一点,从而给这些网络骗子以可乘之机。对年轻人来说还好一点,警惕性和网络知识都要多一点,但对中老年人来说威胁就要大得多了。”
从360互联网安全中心发布的的报告来看,2015年360互联网安全产品截获的钓鱼网站新增量和2013年、2014年相比有一定幅度下降。与此同时,在拦截量方面,相比2013年、2014年和2015年的拦截量增长了3至4倍,增长速度惊人。2015年,在拦截的各类钓鱼网站攻击中,PC端为331.3亿次,占360各类终端安全产品拦截钓鱼网站总量的87.4%;手机端为48.0亿次,占12.6%。手机端拦截的总攻击次数和在总拦截量中的占比,均创历史新高。
综合PC和移动端拦截钓鱼网站的地域分布情况,可以看出广东(28.9%)、北京(14.2%)、福建(9.7%)、广西(7.3%)、湖南(5.1%)等五省市拦截次数最高。综合PC端和手机端钓鱼网站情况,新增钓鱼网站服务器的地域分布情况为:大约有41.6%的钓鱼网站服务器分布在境内地区,58.4%在境外地区。从境内新增钓鱼网站服务器地域分布上看,60.5%分布在香港,居于首位;其次分别为广东(7.0%)、北京(6.6%)、浙江(5.6%)、河南(3.4%)。从境外新增钓鱼网站服务器地域分布上看,87.1%分布在美国,接近境外所有钓鱼网站服务器总量的九成。
说起钓鱼网站,经常上网、网购或应用网络金融服务的消费者大多都不陌生。近年来,随着网络消费的快速发展,网络“钓鱼”手段也与日俱增,给消费者造成了难以估量的巨大损失。
全网渗透形势严峻
“搜索引擎、微信、QQ、邮箱、手机短信等等,只要是能下手的地方,各种‘钓鱼’链接就无孔不入、层出不穷。”对于网络钓鱼行为,曾经不小心点击链接而被窃走网银密码的北京消费者李先生心有余悸,“好在那张卡里也就剩几百块钱了,否则损失就更大了。到现在为止,我都不敢轻易打开支付功能了。”
据了解,目前钓鱼网站使用了包括模仿正规网站域名、篡改正规网站页面、特殊设计躲避安检、适配手机定向“钓鱼”等多种花样的“钓鱼”攻击技术来欺骗用户,并与安全厂商“斗法”,而且钓鱼网站的高仿真能力非常强悍,几乎到了以假乱真的程度,所仿冒的对象也是应有尽有。
3月1日,辽宁省消费者协会与中国人民银行沈阳分行发布六大银行服务消费风险提示,揭露“钓鱼”骗术。
骗术一:变身银行官方号码+伪基站。
通过手机和移动互联网实施的诈骗中,利用伪基站群发“假冒银行官方号码+钓鱼网址”的短信依然占据很大比重。消协和银行专家提醒,如遇到类似情况且难辨真伪,可致电相关银行信用卡官方热线进行核实。
骗术二:冒充客服“退款”发送钓鱼网址。
诈骗分子通过利用消费者的真实信息,充当网店客服致电客户,声称商品断货,需要客户提供信用卡卡号、有效期等信息进行退款,随后引诱消费者进入钓鱼网站填入上述信息。一旦消费者上当泄露信息,信用卡就很可能被盗刷。有些不法分子还会冒充老同学、老乡发送假相册,甚至冒充“小三”通过激将法诱骗用户点击链接,其诈骗实质依然是“钓鱼”。
骗术三:微信互动页面嵌入钓鱼网站。
很多不法分子会在微信互动界面中嵌入钓鱼网址,用户在点开链接的同时,其相关个人信息便被盗取。微信红包也被不少不法分子利用,这些人会潜藏在人数较多的微信群中,通过分发嵌入钓鱼网站的红包,来盗取用户信息。专家提醒消费者,千万不能贪图小利,或因为是熟人就点击不明来路的链接与“红包”。
骗术四:开发“山寨”公众号推送钓鱼网址。
赵先生是某手机游戏的热心玩家,他在微信上搜索到某游戏的公众号便添加关注,并在优惠活动界面购买了游戏套餐产品,输入了信用卡信息,结果发生了被盗刷事件。消协和银行专家提醒,在关注公众号时,要认真核对企业的公众号名称以及是否取得微信认证。在下载APP时,也要去正规网站下载安装可靠的安全软件,并注意安装时软件是否试图获取敏感度较高的用户授权。
骗术五:免费WiFi存陷阱。
某银行信用卡专家提示,尽量不要在公共场合随意连接来源不明的无密码WiFi,如果需要链接,也不要有涉及支付类的操作;若看到不明来源的扫二维码、填信息免费送礼品等活动,也不要贪图小便宜。一旦不慎中了木马病毒,应该第一时间修改用户账户密码,立即解除所有网上支付绑定,联系信用卡发卡行,从而确保信用卡安全。
骗术六:代办大额信用卡广告有风险。
诈骗分子通过冒充银行的客服电话、聊天软件或网页等发布虚假办卡信息,号称可以办理高额度信用卡,后以管理费、保证金等各种名目不断收取高额费用,或以办卡需要提交“存款证明”做“流水账”,要求对方提供银行借记卡卡号以及该卡预留的手机号,暗中利用到手的信息将对方借记卡中的资产进行转移。
犯罪成本过低应被重视
调查发现,钓鱼网站的类型主要是模仿正规网站域名:如模仿奇酷、小米、华为手机的钓鱼网站域名,如果光看域名前缀,很容易上当;篡改正规网站页面;冒充商业品牌官网的钓鱼网站;一些适配手机端的钓鱼网站,如冒充银行官网、冒充政府机构等,专门适配手机终端访问页面,迷惑性非常高;其他手机端典型钓鱼网站,如假冒正规手机厂商网站、假冒中国移动积分兑换的钓鱼网站等。
“目前二手交易中的退款诈骗较为流行,如在淘宝或天猫购买东西时,如果卖家让你到QQ上去聊,基本上可以确定就是骗局。因为在旺旺聊天时,旺旺会屏蔽所有非淘宝、非天猫的链接,在任何退款过程中,都不可能要你填写密码或者验证码之类的。”对于刚出现不久的新型网络钓鱼行为——退款诈骗,从事电子商务交易安全业务多年的重庆某信息安全公司刘总经理特别提醒消费者:“尤其是代办信用卡,一定要通过正规渠道办理,银行不会收取任何费用,更不会向客户索要密码等支付信息。”
事实上,虽然网络诈骗行为实施者采取的“钓鱼手段”相对较为隐蔽,但是,如果消费者保持一定的警惕性,同时不要存在贪图小便宜等不良心态,诈骗行为很容易露出马脚:如冒充银行以及其他公司注册的网址会将网址偷梁换柱,将原网址中的字母“O”用数字“0”代替,字母“I”用数字“1”代替,消费者只要稍加辨别就会发现;还有诈骗网站打着“国家税务管理处”“国家彩票管理中心”等一些子虚乌有机构的旗号,只要消费者在网上稍加搜索就会发现,这些单位根本不存在。“之所以网络‘钓鱼’如此猖獗,每年的攻击量高达数百亿次,根本原因还是犯罪成本太低了。”对于网络钓鱼现象愈演愈烈、花样层出的现象,北京市公安系统一位预审警官告诉记者,“其实,我们在具体办案过程中很清楚,这些搞网上钓鱼的,包括写代码的,一开始设计就是恶意的,但这个原罪怎么追究,没法追究,我们只能追究到具体实施诈骗的人,而且很多情况下,如果额度相对较小,消费者一般都不报案,所以涉案金额很难精准化,只能看破案时的具体查获情况,这样一来,对违法犯罪行为的惩处就很难真正到位。”
(本报记者 胡军)