钓鱼网站
目录
“钓鱼网站”是不法分子利用各种技术手段,精心设计与目标组织网站非常相似的仿冒网站,或者利用网络服务器上的漏洞,在网站的关键页面中插入危险的网页代码,以此来骗取用户姓名、手机号、通信地址、身份证号、银行账号、网络游戏账号和密码等重要私密信息,进而盗取受害者银行资金,假冒受害者进行欺诈性在线交易活动,假冒受害者向好友发送信息进行行骗,从而获得非法经济利益。“钓鱼网站”实质是一种网络欺诈行为。
1.群发短信“善意”提醒,诱使网民上网操作;
2.境外注册域名,逃避网络监管;
3.高仿真网站制作,欺骗网名透露户口密码;
4.连贯转账操作,迅速转移网银款项。
1.假冒中央电视台、腾讯等“抽奖网站”。如假冒“非常 6 +1 抽奖”、“腾讯 QQ 庆典抽奖”节目中奖信息骗取网民钱财,该类钓鱼网站的主要特征是谎称用户中奖,诱使网络用户填写身份信息和银行账户信息,让用户深信自己已经中奖,进行诈骗活动,骗取所谓公证费、税金、手续费、汇费等。
2.假冒证券交易网站、手机充值网站、网游交易网站和各类网上银行等在线支付页面,以银行对帐或银行密码重置等内容为引诱,直接获取用户网上银行账号、密码,盗取用户的网银资金。
3.通过假冒产品和广告宣传获取用户信任,收集用户个人隐私信息,骗取用户金钱,贩卖用户个人信息,甚至是敲诈用户。
4.假冒旅游、票务、医疗药品、团购、淘宝等网站,假借“限时抢购”、“秒杀”、“团购”等噱头,以所谓“超低价”、“免税”、“走私货”等名义出售商品,让用户不假思索地提供个人信息、网银账号和密码、支付宝账号密码,进而获利。随着电子商务的应用普及,网购人群成为钓鱼网站主要欺诈目标。
黑客通过钓鱼网站设下陷阱,大量收集用户个人隐私信息,通过贩卖个人信息或敲诈用户;
黑客通过钓鱼网站收集、记录用户网上银行账号、密码,盗取用户的网银资金;
黑客假冒网上购物、在线支付网站,欺骗用户直接将钱打入黑客账户;
通过假冒产品和广告宣传获取用户信任,骗取用户金钱;
恶意团购网站或购物网站,假借“限时抢购”、“秒杀”等噱头,让用户不假思索地提供个人信息和银行账号,这些黑心网站主可直接获取用户输入的个人资料和网银账号密码信息,进而获利。
目前互联网上活跃的钓鱼网站传播途径主要有八种:
通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接;
在搜索引擎、中小网站投放广告,吸引用户点击钓鱼网站链接,此种手段被假医药网站、假机票网站常用;
通过Email、论坛、博客、SNS网站批量发布钓鱼网站链接;
通过微博、Twitter中的短连接散布钓鱼网站链接;
通过仿冒邮件,例如冒充“银行密码重置邮件”,来欺骗用户进入钓鱼网站;
感染病毒后弹出模仿QQ、阿里旺旺等聊天工具窗口,用户点击后进入钓鱼网站;
恶意导航网站、恶意下载网站弹出仿真悬浮窗口,点击后进入钓鱼网站;
伪装成用户输入网址时易发生的错误,如gogle.com、sinz.com等,一旦用户写错,就误入钓鱼网站。
为了实现钓鱼攻击,网络钓鱼攻击者会根据真实网站进行仿冒,传播散发大量的包含着容易使用户混淆链接的钓鱼邮件和短信,而这些链接则指向了钓鱼者所伪造的钓鱼网站,来吸引尽可能多的用户,诱使他们登录并输入自身隐私信息。
钓鱼网站的一般过程:
(1)攻击者研究真实网络站点
(2)制作、发布仿冒站点
(3)大范围传播仿冒站点
(4)用户访问仿冒站点
(5)钓鱼者窃取受害者个人财产
当我们登录一些网站后,发现其制作十分粗糙或与常见网站有很大差距,应当提高警惕防范意识,要认真核对网站的真实性,不要在此类网站透露您的任何信息,包括账号、密码、联系方式等,以免造成损失。
1 查验“可信网站”
通过第三方网站身份认证辨别网站的真实性。可信网站查验是通过中国互联网络信息中心
(CNNIC) 验证服务来鉴别网站真实性的方法。通过认证后的网站进入CNNIC运行的我国最高目录的“可信网站”数据库中,网络用户可点击网页底部的“可信网站”验证标识,确认该网站的真实身份,查看其验证信息与安全信息。“可信网站”在网站身份证明、数据传输加密、木马病毒监控、网页篡改监护和网站运行监护等方面都能得到有效保护。
2 核对网站域名
仔细核对网站的域名,辨别不同之处,找出真假网站的细微差别。对域名结构进行分析是识别钓鱼网站最基本的方法。了解域名结构,就能迅速识破钓鱼网站。
域名最前面的 http: / /或 https: / /是超文本传输协议,域名的 http: / /……到第一个单斜杠“/”之间,这是域名所在的位置。在此从后往前倒数的第二个点“.”后面的部分才是真正的主域名,前面的部分是三级、四级……多级域名,不要理会。无论域名前面有多长,也不管第一个单斜杠以后有多长。这是识别当前页面网址的主域名属于那一个网站的唯一必杀技。
3 比较网站内容
查看网站上的字体样式、图片和栏目链接等。仔细辨认,会发现钓鱼网站在字体的颜色和样式上,与正规网站还是存在一定差异的。有的图片和字体模糊不清,有的在网页上没有或很少链接。用户可以点击栏目或图片中的各个链接,测试是否能顺利打开。出现登录界面要求输入验证码时,可多次刷新更换验证码,如果只有少量的验证码在循环显示,完全可断定该网站就是钓鱼网站。正规的网站验证码是不可能循环和重复的。
4 查询网站备案
通过工信部ICP 备案管理网站可以查询网站拥有者、网站的基本情况、ICP 经营性许可证和合法备案,查询网站名称、经营内容是否备案相符。
5 VeriSign 信任签章
利用该签章,查看网站拥有者的情况,及最近恶意软件扫描的情况等。
VeriSign 天威诚信标识是全球范围内最为可信的安全站点标志,在浏览器地址栏的右侧显示VeriSign 标识。它采用 128 位强制加密技术,能自动激活浏览器显示“锁”型安全标志,地址栏以“https”开头的页面意味着在客户端浏览器和Web 服务器之间已建立起一条安全加密通道,此时用户在线输入的银行卡号、交易密码等机密信息,在网络传输过程中将不会被截获、窃取和修改。
VeriSign 天威诚信标识通过浏览器地址栏颜色对网站的安全等级进行区分: 绿色为安全可靠网站,网上银行均为绿色; 蓝色为较安全; 黄色为可疑网站; 红色为网址在黑名单中的,有恶意代码的,属于不安全网站。
目前支付宝等网上支付平台都应用了可信证书,网址都是以“https”开头的,如果不是以“https”开头,应谨慎访问和使用。
6 金色安全锁
当我们访问网站时,如果浏览器的下框显示一个金色安全锁,则一般我们认为是安全的网站。
互联网是一个巨大的信息交流平台,需要政府和网络服务机构加强管理,协调广大网民,共同努力相互配合,从自身做起,履行好自身的责任和义务。为了有效的防范钓鱼网站攻击,一方面需要加强对网络环境的监管,建立举报网络平台,组织相应机构来打击防范钓鱼网站;另一方面需要加大对防范钓鱼网站、保护自身信息财产的安全知识的普及。主要包括用户识别可疑站点、防范钓鱼网站的能力,在遭遇钓鱼攻击欺诈后,也能保持冷静,不慌忙,及时报警并采取相应措施来减少损失。
在立法层面,要建立和完善相应的法律法规,明确相应的法律含义和内容,明确各项事务所遵循的法律法规、明确相应部门所承担肩负的责任义务和权力。同时,加强相应的监督,使相应的部门机构明确自身职责并履行。进一步整合各界资源,在完善的法律法规的坚实法律基础和保障下,共同努力,为打击钓鱼网络犯罪、维护网络安全和稳定、维护人民利益。
钓鱼网站攻击者一般会利用各种手段,制作大量的钓鱼网站,并在钓鱼网站实施完成攻击后关闭,因此单个的钓鱼网站存活时间很短,有的再加上境外的注册和托管,导致单一的监管机构很难发挥它的作用。尽管有关部门和机构已成立了专门的打击钓鱼网站、反对恶意虚假网站等的组织机构,但是还远远不够。因此,需要完善相应的机制,如:有效的风险转移机制、反钓鱼应急预案、法律援助计划、开放的反馈和举报机制、多方协作的反钓鱼合作平台等等。从而,在多方面、多角度来打击钓鱼网站,维护网络环境的稳定,保护人民的合法利益。
打击钓鱼网站,维护和谐网络环境,不仅需要打击,更需要防患于未然,需要全方位各部门协作沟通,需要完善相应的机制法规、构建相应的平台,需要宣传安全意识,从而使每个人每个部门行动起来,共同致力于打击钓鱼网站,维护网络环境的安全有序,维护我们的利益。
1.中国反钓鱼网站联盟并非官方机构,主要是针对假冒其成员单位的钓鱼网站。国家需要有打击钓鱼网站的统一协调机制和治理体系,需要进一步完善打击钓鱼网站的法律法规。
2.钓鱼网站之所以如此猖獗并能够频频得手,主要是利用了人们疏于防范的心理以及贪图便宜的弱点,利用人们的信任、恐惧、贪婪和善良等。这些网站的网页代码是完全合法的,也不包含任何恶意代码、电脑病毒和木马,既没有发生木马偷袭,也没有遭受黑客攻击,涉及的只是社会工程学技巧。因此,不可能完全通过杀毒软件来发现,也不可能完全通过技术手段来防范。
3.有的钓鱼网站利用境外的服务器注册,受害者上当受骗报案后,因网站的地域而性往往难以对其进行追查处理。有的网站注册名称是临时性的,电话号码也是网络软件虚拟生成的。
4.有的钓鱼网站为了逃避打击,实行的是游击战术经常变换网址,打一枪换一个地方。钓鱼网站制作手法也是花样频出,有的会根据访问人数,自动关闭,自动生成新的地址。作案后网址和电话都会改变,这些层出不穷的钓鱼网站给案件的侦破带来了很大的难度。
5.钓鱼网站的制造手法也在不断翻新,让广大网民防不胜防。从直接复制伪造知名网站的页面,到利用 XSS 的漏洞攻击、制造多次跳转来达成钓鱼的目的。从起初的简单模仿网页到利用合法网站服务器程序上的漏洞,在站点的关键网页中插入恶意代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用 cookies 窃取用户信息。
6.有的钓鱼网站利用黑客技术、漏洞注入、脚本欺骗等多种手段,增强了隐蔽性和欺骗性,更加难以发现。如有的病毒会模仿 QQ,在电脑的右下角做闪烁性的提醒,点击之后出现假冒的QQ 弹窗,接着便进入“QQ 中奖”骗局网页。
7.钓鱼网站制作成本、违法成本极低,形成了黑色产业链,诈骗行为发生后关联方又互相推诿,受害者难以维权。有的正规商业公司也参与到了钓鱼网站“产业链”当中,形成了庞大的灰色网络势力,网民成为了钓鱼网站最大的受害者。
钓鱼在大多数情况下是关于你的银行账号、密码、信用卡资料、社会保障卡号以及你的电子货币账户信息。关于用户的Pay Pal、yahoo邮件、Email及其他免费邮件服务。只要记住上述那些正式公司绝不会通过电子邮件让你提供任何信息。如果你收到类似要求,让你提供资料,或者在邮件中带有指向网站的链接,那么它一定是网络钓鱼诈骗。
专家提醒,网民在查找信息时,应该特别小心由不规范的字母数字组成的CN类网址,最好禁止浏览器运行JavaScript和ActiveX代码,不要上一些不太了解的网站。
专家为此提出以下建议:
从不点击电子邮件中的链接来输入你的登录信息或者密码。相反,如果你认为电子邮件可能是合法的,那么用你的Internet浏览器或者Netscape浏览器直接访问公司网站。(不要从一封可疑的电子邮件中复制粘贴URL地址。)
总是使用公司的官方网站来提交个人信息。如果在线发送信息,那么应该使用一个安全服务器在公司的官方网站上操作。
如果还是怀疑电子邮件所说的,就给公司打个电话。
总是在你的手机或者笔记本中保存你经常打交道的公司的正确联系电话号码,并且只使用你保存的那个号码。例如,如果你在汇丰银行有一个账户,那么保存正确联系号码,并且只使用那个号码。永远也不要相信邮件中的电话号码。
像电话号码一样,总是在你的收藏夹中保存正确的网站地址,并且使用他们做与那个公司有关的任何事情,永远也不要相信电子邮件中的网站链接。
不要轻易点击别人短信中的链接,一旦点击就可能进入不法分子设置的钓鱼网站。
不要随便打开别人发来的彩信。
不要轻易在一些网站、论坛下载和安装手机应用,特别是一些游戏软件。
在下载手机应用之后,要先使用手机杀毒软件对这些应用进行检测,再进行安装。
1、截至2014年12月30日,联盟当月已认定并处理钓鱼网站3575个,其中,以旅游、票务等预订类网站为仿冒对象的钓鱼网站呈现上涨趋势。有关专家表示,元旦前后,网民网上报团、预订线路或购买机票,务必要小心谨慎,注意借助中网“可信网站”验证来核验网站的真实身份,避免误入钓鱼网站的“陷阱”。
2、就在2015年元旦前后,烟台不少市民接到了假冒“
民警介绍,类似案件近期在全国各地出现频率较高。犯罪嫌疑人在银行营业时段使用软件假冒银行客服号,通过群发短信,以“银行卡的积分可兑换现金”骗取受害人信任。当受害人点击短信中的银行网址链接,即跳转至一个克隆的银行网站。
据介绍,受害人登录钓鱼网站后,会根据网页要求输入银行账号、密码和验证码,犯罪嫌疑人就利用受害人输入的账号和密码在银行官方网站上进行转账操作。在“克隆”网站提示被害人输入验证码,嫌疑人会根据验证码将被害人账户中的资金转出。
附件列表
故事内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。