云夢(mèng)澤

當(dāng)前，網(wǎng)上銀行、金融支付系統(tǒng)等經(jīng)濟(jì)系統(tǒng)面臨的巨大威脅之一就是網(wǎng)絡(luò)金融釣魚。有記錄的網(wǎng)絡(luò)釣魚發(fā)生在1996年前后，當(dāng)時(shí)就有黑客利用電子郵件為誘餌，盜用美國(guó)在線的賬號(hào)和密碼。金融釣魚網(wǎng)站往往利用人性的弱點(diǎn)進(jìn)行攻擊，其迷惑手段不拘泥于某種具體表現(xiàn)形式，而是利用別人時(shí)常容易接受的方法來(lái)實(shí)施“釣魚”。網(wǎng)絡(luò)釣魚的攻擊者一般通過(guò)發(fā)送大量貌似來(lái)自于可信銀行的欺騙性郵件，誘使被攻擊者登錄一個(gè)與銀行網(wǎng)站非常類似的釣魚網(wǎng)站。沒(méi)有足夠警覺(jué)性的網(wǎng)絡(luò)銀行用戶會(huì)無(wú)意中被網(wǎng)絡(luò)釣魚欺騙，從而使詐騙者獲取受害人在釣魚網(wǎng)站上輸入的個(gè)人資料、賬戶敏感信息，以及銀行的交易和轉(zhuǎn)賬數(shù)據(jù)。一旦釣魚詐騙者獲取到這些重要數(shù)據(jù)，他們會(huì)非法侵入客戶賬戶，肆無(wú)忌憚地繼續(xù)獲取其他敏感信息，最終將受害者賬戶上的金融財(cái)產(chǎn)非法轉(zhuǎn)移到他們控制的賬戶。從技術(shù)原理上看，網(wǎng)絡(luò)釣魚并不高深，之所以造成這么大的影響，究其原因主要是利用了人的無(wú)知或人性的弱點(diǎn)。

如圖1所示，“釣魚攻擊者”會(huì)通過(guò)研究真實(shí)的銀行或者購(gòu)物網(wǎng)站，采取整站復(fù)制和代碼修改的手段，得到與目標(biāo)網(wǎng)站相似度極高的副本，然后將這些副本精心制作成虛假網(wǎng)站，并在網(wǎng)絡(luò)上發(fā)布具有迷惑性的網(wǎng)絡(luò)地址。如利用www.icbc.com.cc來(lái)冒充中國(guó)工商銀行的網(wǎng)站，利用www.cob.com.cn來(lái)冒充中國(guó)建設(shè)銀行的網(wǎng)站。這些具有迷惑性的網(wǎng)址具有很高的欺騙性，隨后釣魚者會(huì)通過(guò)短信、郵件、彩信、病毒等手段將釣魚網(wǎng)站的地址發(fā)送給受害者。受害者一旦訪問(wèn)釣魚網(wǎng)站，就會(huì)在釣魚者循循善誘下輸入敏感的賬號(hào)、密碼和手機(jī)驗(yàn)證碼等重要信息。最終，釣魚者通過(guò)這些重要信息完成竊取受害者財(cái)產(chǎn)的活動(dòng)。

網(wǎng)絡(luò)釣魚具有成本低、技術(shù)實(shí)現(xiàn)簡(jiǎn)單靈活的特點(diǎn)，對(duì)網(wǎng)上銀行、支付系統(tǒng)、網(wǎng)絡(luò)購(gòu)物等日常應(yīng)用產(chǎn)生了巨大威脅。如造成網(wǎng)上銀行客戶的經(jīng)濟(jì)損失，加大了網(wǎng)絡(luò)金融釣魚的打擊難度，挫敗了一般用戶對(duì)網(wǎng)絡(luò)支付新體驗(yàn)、電子交易等先進(jìn)交易方式的使用信心，從而阻止或妨礙了先進(jìn)生產(chǎn)力代表的應(yīng)用的迅速發(fā)展與普及。

網(wǎng)絡(luò)金融釣魚為達(dá)成迷惑、欺騙受害者的目的，一般會(huì)采取多種信息傳播途徑。常見(jiàn)的信息傳播途徑有以下幾種：

第一，釣魚郵件。網(wǎng)絡(luò)銀行客戶會(huì)收到來(lái)自網(wǎng)絡(luò)釣魚攻擊者偽造的欺詐郵件，這些郵件看似由銀行官方發(fā)送，內(nèi)容一般涉及賬單錯(cuò)誤記錄、積分問(wèn)題、賬戶密碼過(guò)期問(wèn)題、投資理財(cái)顧問(wèn)咨詢等，或是以銀行賬號(hào)被凍結(jié)、銀行系統(tǒng)升級(jí)等不真實(shí)理由，要求收件人點(diǎn)擊郵件上的鏈接地址進(jìn)入虛假銀行網(wǎng)站。

第二，偽造電子購(gòu)物網(wǎng)站。不法分子建立一個(gè)虛假的電子商務(wù)網(wǎng)站，然后在各種論壇、購(gòu)物網(wǎng)站發(fā)布虛假的商品信息，虛假信息中的商品性價(jià)比與市場(chǎng)同類商品相比要高出不少。當(dāng)客戶對(duì)該網(wǎng)站銷售的便宜商品動(dòng)心，并通過(guò)該網(wǎng)站進(jìn)行支付時(shí)，就會(huì)鏈接到一個(gè)偽造的銀行支付頁(yè)面，最終陷入釣魚騙子的圈套。

第三，詐騙短信。目前，不法分子通過(guò)使用偽基站短信網(wǎng)關(guān)，以銀行名義向客戶發(fā)送詐騙短信，提出客戶有即將到期還未兌換的積分、網(wǎng)銀支付系統(tǒng)升級(jí)或賬戶法律問(wèn)題等，要求客戶登錄短信中提供的網(wǎng)站進(jìn)行身份驗(yàn)證，而這個(gè)網(wǎng)站地址正是不法分子用于套取客戶信息的詐騙網(wǎng)站的地址。

第四，病毒傳播。攻擊者仿照和制作與銀行網(wǎng)站非常相似的網(wǎng)頁(yè)，并使用與銀行網(wǎng)址非常接近的網(wǎng)絡(luò)域名地址，隨后通過(guò)電腦病毒程序、垃圾軟件等將假網(wǎng)站地址發(fā)送到受害者的電子終端，或?qū)⒃p騙網(wǎng)址注冊(cè)到搜索引擎，以誘騙客戶登錄，從而竊取客戶銀行卡號(hào)、密碼等信息，達(dá)到最終騙取受害者賬戶資金的目的。

另外，網(wǎng)絡(luò)金融釣魚還有一些其他的傳播途徑。如通過(guò)臉書、微博中的短鏈接散布釣魚網(wǎng)站鏈接；在相關(guān)內(nèi)容網(wǎng)站、搜索引擎投放付費(fèi)網(wǎng)絡(luò)廣告，吸引用戶鏈接釣魚網(wǎng)站；通過(guò)電子郵件、論壇、博客等網(wǎng)站批量發(fā)布釣魚網(wǎng)站鏈接；通過(guò)Skype、飛信等即時(shí)通訊工具發(fā)送傳播釣魚網(wǎng)站鏈接；偽裝成用戶輸入網(wǎng)址時(shí)易發(fā)生的錯(cuò)誤，一旦受害者不小心輸入錯(cuò)誤，就會(huì)誤入釣魚網(wǎng)站。

熟悉這些常見(jiàn)的釣魚網(wǎng)站的傳播途徑與傳播手法，可以較好地幫助網(wǎng)絡(luò)銀行客戶發(fā)現(xiàn)與規(guī)避潛在的釣魚攻擊，從而避免落入圈套，遭受經(jīng)濟(jì)損失。

（作者系北京市中國(guó)人民大學(xué)附屬中學(xué)高二年級(jí)學(xué)生）endprint