“網絡釣魚”新跡象

　　“網絡釣魚”案件頻現，不但需要每個網民重視聯系方式、身份證號碼、銀行卡信息等個人信息的保護，還需相關機構和部門加大打擊力度

　　文/《瞭望》新聞周刊記者李松

　　“金融行業網站頻頻遭遇網絡釣魚，成為不法分子騙取錢財和竊取隱私的重點目標。我國網絡安全形勢日趨嚴峻復雜，互聯網管理規范亟待加強。”1月11日，在北京召開的“2011中國互聯網產業年會”上，中國互聯網協會副理事長高新民如是疾言。

　　近年來，“網絡釣魚”已成為一種新型的網絡詐騙行為，按當前主流定義，它是指通過欺騙性的電子郵件和偽造的網絡站點等手段來進行網絡詐騙活動，受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通常會將自己偽裝成網上銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息，進而盜竊其財產。

　　“從社會工程學角度看，所謂‘網絡釣魚’是指運用欺詐心理結合電腦科技的新犯罪手法。”國家計算機病毒應急處理中心工程師梁宏這樣認為。

　　中國社會科學院新聞與傳播所所長尹韻公研究員接受《瞭望》新聞周刊記者采訪時表示：“網絡釣魚已日益成為困擾廣大網民、企業及互聯網經濟發展的暗礁，也成為了網絡治理的一個難點。”

　　多位受訪專家認為，“網絡釣魚”已給互聯網健康發展帶來了嚴重損害，應把其作為互聯網治理的重點對象之一。

　　親歷“網絡釣魚”

　　2012年春運，鐵道部首次專門開通了網上購票系統，由于其方便快捷，許多旅客將網絡購票作為首選方式。然而，一些“釣魚”網站也相繼浮出水面，通過設置各種購票“陷阱”騙取錢財。

　　“我在鐵路部門官方網站沒買到火車票，就登錄國內信譽較好的‘去哪兒網’購票，卻通過一個鏈接進入了一家名為‘逍遙行上海營業部’的網站購票，不但沒買到票，還被騙了錢。”家住北京海淀區的蘇女士打算春節帶孩子回南方老家探親，心有余悸地向本刊記者講述她的遭遇。

　　“這個網站看上去很規范，上面列著車次、價格、送票費等信息，還需要旅客填寫姓名、身份證件號碼、手機號碼、送票地址等個人信息。”蘇女士說，“當時我很興奮，沒多想就填好這些信息，并按了‘購買’按鈕。網站提示我選擇通過哪家銀行的網銀付款，我點了建設銀行。”

　　在新打開的“建設銀行”網銀付款頁面上，蘇女士輸入銀行賬號密碼，核對無誤后就點擊付款。當時她想，火車票那么緊張，這個網站能幫她買到票嗎？不放心之下，她就撥打網站上的服務熱線4006976678咨詢。

　　接電話的男子先問了她的手機號碼，隨后告知那趟火車沒票了，可退還票款，叫她去最近的建行ATM。幾分鐘后，蘇女士來到建行ATM網點。對方問：有“申請退款”按鍵嗎？——自然是沒有。他就說按“轉賬匯款”鍵，并解釋說那臺ATM系統沒更新，“申請退款”必須到“轉賬匯款”里面，按他說的“交易代碼”操作才行。

　　“盡管當時我也有些懷疑，但因為著急退款，也就稀里糊涂地按他說的做了。”蘇女士說，“過了一會，我的手機收到了一條銀行扣款短信，被扣去了1580元。”此時，蘇女士才意識到已上當受騙，立刻去附近派出所報了案。

　　1月6日，本刊記者在百度上搜索關于“逍遙行上海營業部”的信息，發現與蘇女士一樣遭遇的人不在少數。

　　本刊記者也去這個網站實際操作，除了沒有最終“轉賬匯款”，蘇女士經歷的一切程序都在本刊記者身上重演。

　　在蘇女士幫助下，本刊記者還找到那家“建設銀行”的網站，其網址為“https://ibsbjstar.ccb.com.cn”，下端標明“中國建設銀行版權所有”字樣。隨后，本刊記者致電中國建設銀行95533熱線，接線員告知上述網站為假冒網站，而該行官方網站網址是“www.ccb.com”。接線員還說，最近他們也陸續接到過此類舉報，并已向相關部門進行了反映。

　　1月10日，本刊記者再次輸入“逍遙行上海營業部”網址時發現，360安全瀏覽器已發出“虛假票務網站”的警示。

　　當本刊記者登錄“去哪兒網”時，看到該網站火車票專欄中已貼出了公告：暫停火車票預訂服務。該公告還提醒，“網上支付需選擇第三方支付平臺，切忌向個人銀行賬戶匯款。一旦收到需要進行銀行匯款或轉賬的要求，消費者要提高警惕。此外，請勿進行任何ATM打款購買火車票、退款等操作。”

　　鐵路工作人員提醒，目前唯一的鐵路部門訂票官網為www.12306.cn，唯一的官方訂票電話為95105105。其他可購買火車票的渠道有火車站窗口、被授權的代售點，只有通過這些正規渠道購票，才能防止上當受騙。

　　直至本刊記者1月12日下午5點發稿時，假冒建行網站的“釣魚”網站，仍處于正常運行狀態。

　　主要“釣魚”手法

　　根據艾瑞咨詢的統計數據顯示，2011年三季度中國支付行業網上支付業務交易規模達到6155億元，同比增長130.7%，環比增幅達到34.8%。

　　互聯網支付業務交易規模的不斷增長，也為黑客“網絡釣魚”提供了更多機會。據中國反釣魚網站聯盟公布，2011年上半年認定并處理的釣魚網站達18782個，與2010年同比增長近兩倍。

　　而中國互聯網絡信息中心發布的報告也顯示，2011年上半年，遭遇過病毒或木馬攻擊的網民為2.17億人，占網民的44.7%。有過賬號或密碼被盜經歷的網民達1.21億人。有8%的網民于調查前的半年內在網上遇到過消費欺詐。

　　尹韻公指出，春節臨近，隨著人們消費需求的大規模增長，也帶來互聯網支付業務交易量猛增，會出現“網絡釣魚”節前“井噴”現象。

　　近年來，從傳統的電話、傳真，到電子郵件、QQ、MSN等即時通訊軟件彈窗，再到社交網站、微博，越來越多的網絡交流平臺載體，都成為黑客進行“網絡釣魚”，誘使網民上當受騙的重要工具。

　　目前“網絡釣魚”手法主要有四種：

　　第一，利用電子郵件，以虛假信息引誘用戶中圈套。這些郵件多以中獎、對賬等內容引誘用戶在郵件中填入金融賬號和密碼，或以各種緊迫的理由要求收件人登錄某網頁提交用戶名、密碼、身份證號、信用卡號等信息，繼而盜竊用戶資金。

　　第二，利用假冒網上銀行、網上證券網站，騙取用戶賬號密碼實施盜竊。建立起域名和網頁內容都與真正的網上銀行系統、網上證券交易平臺極為相似的網站，引誘用戶輸入賬號密碼等信息，進而通過真正的網上銀行、網上證券系統或偽造銀行儲蓄卡、證券交易卡盜竊資金。

　　第三，利用虛假的電子商務進行詐騙。在知名電子商務網站發布虛假商品信息，以所謂“超低價”、“走私貨”、“慈善義賣”、“免稅”等名義出售，在收到受害人的購物匯款后就銷聲匿跡。

　　第四，利用“木馬”和“黑客”技術竊取用戶信息。在發送的電子郵件中或在網站中隱藏“木馬”程序，在感染“木馬”的計算機上進行網上交易時，“木馬”程序即以鍵盤記錄方式獲取用戶賬號和密碼。

　　從以往曝光案例看，“網絡釣魚”詐騙者經常采取以上幾種手法交織、配合進行，欺騙性極強。

　　在多位受訪專家看來，“網絡釣魚”還呈現“扎堆”、“假日”和“熱點”三大效應和“境外域名為主、主動建網站為主、非法入侵掛馬和假冒侵權網站冒頭”等特點。

　　黑色產業鏈初步形成

　　國家計算機網絡應急中心2009年估算，其時國內“網絡釣魚”讓網民的損失已達76億元。也就是說，全國3.16億網民平均每人損失24元；若按其中8788萬的活躍網購用戶來計算，平均每人損失86.5元。

　　2011年瑞星公司發布的互聯網安全報告顯示，2011年上半年新增“釣魚”網站218萬個，超過1億人次的網民受到侵襲，造成的直接經濟損失至少達百億元。

　　本刊記者通過“線人”接觸到的一位圈內人士透露，“釣魚”網站的黑色產業鏈已形成并趨于成熟，從“源代碼編寫——銷售——建立釣魚網站，再到實施釣魚欺詐——騙錢”，都有專職人員提供“一條龍”服務。他稱，“任何懂點電腦操作的人，只要花幾百元錢，都可雇用他們建立一個釣魚網站。”

　　這位圈內人士說，一個“釣魚”網站如果運作得好，每個月可以通過各種渠道獲得近千筆的非法交易，非法盈利有些甚至可達數十萬元。

　　中國反釣魚網站聯盟秘書長齊麟認為，釣魚網站除了使網民和企業遭受巨大的經濟損失外，還嚴重打擊了網民對電子商務的信任度，從而嚴重制約了互聯網經濟的發展，對于網絡治理也提出了更大的挑戰。

　　“‘對象分散、手段多樣、產業鏈完善’的特點，導致了釣魚網站的防患和治理難度加劇。”齊麟介紹，目前的“反釣”工作是分散在各個受害企業中獨立進行的，比如工商銀行、淘寶、中信證券、騰訊、招商銀行等，都設立了自己的“反釣部門”，專門打擊釣魚網站。

　　“由于各企業通常只是針對危害自己的釣魚網站進行處理，這種分散的處理方式也難以形成合力，難以對整個釣魚網站利益鏈形成有效打擊。”齊麟說。

　　瑞星公司一位網絡安全專家指出，很多“釣魚”網站與“掛馬”（在獲取網站或者網站服務器的部分或者全部權限后，在網頁文件中插入一段惡意代碼）網站結合，與流氓軟件結合，與病毒結合，與網民的購物習慣結合，以“分辨域名”方式，普通網民根本無法查證真偽，“釣魚網站的危害，已經逐漸趕上甚至超過病毒給用戶帶來的危害。”

　　國家互聯網應急中心運行管理部處長周勇林曾對媒體表示，作為世界上互聯網應用人口最多的國家，多數中國網民缺乏網絡安全防范意識，且各種操作系統及應用程序漏洞不斷出現，這是導致廣大網民遭遇網絡釣魚的重要原因。

　　提升網絡安全

　　多位受訪專家認為，針對“網絡釣魚”案件頻現，不但每個網民要重視聯系方式、身份證號碼、銀行卡信息等個人信息的保護，還需相關機構和部門加大打擊力度。

　　“在網購過程中，網民一定要提高自身的網絡安全意識，如果遇到需要輸入賬號、密碼的環節，交易前一定要仔細核實網址是否準確無誤。”尹韻公建議，同時，網購用戶應安裝相關網絡防護產品，要及時升級自己的殺毒軟件，全面防護電腦安全，有效防止各類網絡釣魚和欺詐行為。

　　尹韻公還特別提醒，“網絡釣魚”第一步先套取用戶個人信息，如果對方要求到ATM給陌生賬號轉款，實施詐騙的可能性就極大。

　　“釣魚網站與病毒不同，很多釣魚行為、特征分辨需要人工處理，需要耗費極大的人工審核成本。”瑞星公司一位網絡安全專家呼吁，“目前僅僅依靠安全軟件的力量遠遠不夠。政府、企業、用戶能夠聯合起來，共同抵制釣魚網站。”

　　長期研究互聯網的專家、新生代市場監測機構副總經理肖明超認為：“電子商務交易涉及到購物網站、銀行、支付平臺、即時通訊服務等多個環節。因此，網絡釣魚單靠任何一方并不能完全杜絕，而要多方形成合力。”

　　他舉例說，網站要針對“網絡釣魚”的最新變種及時推出安全保障措施，域名管理機構要限制和監督非法域名，安全廠商結合釣魚的最新騙術加強技術創新，同時要對消費者及時提醒和警示，對于網絡釣魚的安全防范的知識教育也很重要，而應盡快出臺法律法規才能更有效地遏制。

　　受訪法律界人士認為，作為一種新型網絡犯罪行為，“網絡釣魚”不僅給網民個人造成了經濟損失，而且嚴重干擾了網絡交易秩序，但由于多數案值不高、違法手段多樣、地域跨度大等因素，導致防范和打擊難度較大。

　　“要從多個方面完善對網絡釣魚等違法行為的法律規制。”北京中盛律師事務所杜立元律師認為，2004年頒布的電子簽名法是我國信息安全方面僅有的一部專門性法律，其他涉及信息安全保護的條款散見于刑法、侵權責任法等法律之中，目前還缺乏一部專門用于規范網絡行為、明確網絡用戶及網絡服務提供者等各方權利義務、有效保障網絡交易及信息安全的綜合性法律。

　　杜立元說，2009年，刑法修正案（七）增加了有關出售、非法提供公民個人信息，竊取、非法獲取公民個人信息，非法獲取計算機信息系統數據以及非法控制計算機信息系統等違法行為規定，加大了對公民個人信息的保護力度，也明晰了網絡黑客犯罪的幾種形態。但是上述規定在犯罪主體、行為方式等方面還有一定限制，不能完全涵蓋新型的網絡犯罪行為，其具體規定也有待細化。

　　有鑒于此，杜立元建議，首先應在立法層面繼續完善網絡交易安全、公民信息保護等方面的法律法規，尤其是要針對“網絡釣魚”等違法行為的特點，出臺具有可操作性的專門性規定，比如相關司法解釋等；其次，要進一步加大對“網絡釣魚”的懲治力度，可以考慮通過提高刑期、罰金數額等方式，增加犯罪成本，從而抑制“網絡釣魚”等違法行為；在網絡監管方面，有關部門應該建立相應的防范機制和聯動機制，多層面、立體式推進網絡安全建設。

　　由于有的“釣魚”網站使用的是設在境外的服務器，杜立元認為還需要加強國際合作，建立跨境網絡安全事件的應對機制，全面提高網絡安全處置能力。□

　　附：去哪兒網針對火車票400詐騙電話的進一步官方回復

　　作為全球最大的中文在線旅行網站，去哪兒網是一家有責任心的企業，一貫本著對消費者負責，對社會負責的態度。去哪兒網也非常感謝多家媒體對我們工作的監察與督促，并真誠接受廣大消費者及各界人士對我們的監督與指導。

　　2012年1月9日，《新民晚報》、《解放日報》、《重慶晨報》報道的火車票詐騙事件，經我們認真核實和調查，其實是由消費者自行在類似百度、谷歌等通用搜索引擎上，搜索 “逍遙行上海營業部”，結果誤搜到來路不明的400電話，并被詐騙團伙誤導，進行了線下ATM機轉賬操作，遭遇了騙局。“逍遙行上海營業部”是去哪兒網火車票代理商之一，也在去哪兒網“擔保通”體系中。但該詐騙電話的獲取渠道系消費者自行在通用搜索引擎搜索到來路不明的400電話導致，并非由去哪兒網和“逍遙行上海營業部”提供。

　　去哪兒網在事發的第一時間就主動聯系了消費者，詳細了解情況后，已經協助消費者一起進行報案，去哪兒網將全程陪同消費者處理后續事件。

　　去哪兒網客服人員與受騙消費者林先生（真實姓名是劉先生）核實確認：當時受騙消費者林先生預訂火車票過程中操之過急，在通用搜索引中搜索到來路不明的400電話，林先生撥打詐騙電話后遭遇了騙局。

　　與消費者聯系內容備有書面記錄及錄音材料，可隨時供警方調閱。后續處理過程，歡迎廣大媒體和去哪兒網一起跟進，幫助消費者用法律武器維護權益。

　　目前此案件的最新情況是，上海陸家嘴派出所1月11日已經就此事件進行了立案，并出具了此案與去哪兒網無關的回執。