数据来源:中国反钓鱼网站联盟
制图:宋嵩
核心提示
收到提醒银行卡升级测试的短信,点击链接网址,上网仅仅十几分钟,账户上的44万元就不翼而飞——最近,安徽桐城的章先生一不小心,就上了“钓鱼网站”的当。
据今年6月份的一项统计,此前一年时间,全国就有6000万网民因网络欺诈损失300多亿元,30%的网购者曾遭遇钓鱼网站攻击。钓鱼网站为何屡禁不止?如何彻底根除钓鱼网站?请看本报记者报道。
误入钓鱼网站,被骗44万元
12月19日,安徽省桐城市公安局治安大队网监中队的民警苏畅向记者介绍了章先生受骗的经过。
章先生在桐城市范岗镇工业园经营一家小企业。12月3日下午,他收到一条手机短信,“提醒”他的银行卡账号需要升级测试。章先生误以为短信是由银行发来的,便将它转发给妻子。
章先生的妻子登录短信上提供的网址“www.bbocbbc.com”,并按提示输入了网银账号、密码、验证码和U盾密码。没想到的是,章先生很快接到一条来自中国银行的短信提示,账户上的44万多元已被转走。
惊慌的章先生立即与银行取得联系,并得知在短短十几分钟的时间内,44万元存款已被转移到多达二三十个账户。章先生随即向桐城市公安局刑警大队报警。后经查实,资金转移到的账户都是一个叫陈鹏的人在兰州开的。
对比中国银行网站和章先生妻子登陆的网站,可以发现中国银行的网址为“www.boc.cn”,而受害人登陆的则是“www.bbocbbc.com”。
盗走章先生巨款的,便是臭名昭著的“钓鱼网站”。所谓“钓鱼网站”,是指不法分子利用各种手段,仿冒真实网站的地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。
“钓”法花样迭出,令人防不胜防
由于欺骗手段的隐蔽性、欺骗方式的多样性,钓鱼网站往往令网民难以识别,导致严重损失。中国互联网络信息中心统计显示,钓鱼网站诱骗支付在网络不安全事件中已经占据首位。
据中国互联网络信息中心副主任齐麟介绍,钓鱼网站主要集中在有较多登录、支付操作的网站或页面,要么是单纯的域名模仿,要么是把域名嵌入到一系列字符串中,具有迷惑性。
据统计,钓鱼网站涉及的重灾区集中在支付交易、金融证券、媒体传播等行业,其中,涉及淘宝网、工商银行、央视和腾讯公司四家单位的钓鱼网站总量占到举报总量的80.09%。
随着网络购物的持续升温以及打击力度的不断加大,各类钓鱼网站也在不断改头换面,表现出新的特点。
据瑞星“云安全”平台监测,钓鱼网站紧跟时下热播的体育赛事、大型选秀、电视相亲等广受欢迎的电视节目设下陷阱,通过发送中奖信息等诱骗网民。
据中国反钓鱼网站联盟秘书处相关负责人介绍,前一段时间,随着“中国好声音”节目的热播,部分不法分子便假借节目组的名义制作钓鱼网站骗取用户信息,从而达到诈骗钱财的目的。
据介绍,节庆日是钓鱼网站猖獗的高峰期。2012年国庆节前一周,某一杀毒软件拦截到的假机票网站就超过430万次,每天新增的票务类钓鱼网站多达上百家。“双十一”期间,中国反钓鱼网站联盟认定并处理钓鱼网站1371个,约占当月处理总量的50%左右。而“双十二”电子商务网站大促销期间,新增钓鱼网站有1万家。
“易容术”加“隐身术”,监管难度大
事实上,钓鱼网站为害已久,各类诈骗案例也不新鲜,在相关部门不断整治的情况下,钓鱼网站为什么还能找到生存的土壤?
专家指出,钓鱼网站的骗术并不高明,无非是精心化装之后,伪装成正规网站的样子,招摇撞骗。但由于网民缺乏充分了解,一旦钓鱼网站被打开,上当的可能性就非常大。
中国反钓鱼网站联盟监测显示,大部分钓鱼网站使用的是免费开放的顶级域名。追查钓鱼网站所用的IP地址发现,绝大部分IP地址位于美国和中国香港,这给钓鱼网站的治理带来不小的难度。
北京邮电大学互联网治理与法律研究中心主任李欲晓指出,目前对于仿冒网站、钓鱼网站的监管存在技术困难,只能通过用户举报或公安机关侦破案件来发现。就域名注册而言,现有的《中国互联网络域名管理办法》不允许相同域名出现,但无法阻止一些人利用类似域名行骗。
钓鱼网站还会通过地下产业链,购买不良网站和流量推广联盟的访问流量,甚至通过购买或搜索引擎优化技术,来获得搜索引擎推广或靠前位置,此外也会利用邮件、即时通讯软件群发消息、微博推送等方式广泛传播链接。
长期研究钓鱼网站的中国人民公安大学李怀胜博士指出,网络诈骗的查处成本比较高。借助于网络的虚拟性和超时空性,钓鱼网站通常不易被司法机关察觉,即使被发觉了,若要固定证据和查证事实又需要投入大量的资源,并需要较高的技术手段。例如,一些网络诈骗采用频繁多次的小额诈骗方式进行,诈骗额无法达到诈骗罪的最低定罪标准,以躲避司法机关的立案处理。
专家建议健全法律法规,防范和打击网络诈骗
中华全国律师协会陈际红指出,随着网络应用的普及,网络诈骗呈现多发趋势,这主要是三方面的原因:一是宏观法律环境不完善,缺少专门性的防范网络诈骗的立法。二是政府部门执法不充分,许多假冒网站没有被及时发现和处理。三是第三方认证组织发育不完善。
李欲晓建议,主管部门、行业协会或者研究机构可以发布“网站相似性报告”,政府相关部门或第三方组织也可以搜集已有的钓鱼网站,制作黑名单,提醒用户注意防范。
李怀胜说,刑法中的诈骗罪条款可以适用大多数网络诈骗。同时,也应研究出台针对钓鱼网站、网络诈骗等的相关法规。
“立法是一项严肃的事情,它需要前期论证,需要足够的犯罪基数的支撑,需要立法技术的跟进,更需要国家立法机关在资源上的投入和政策上的倾斜。打击和防范包括网络诈骗在内的一切网络犯罪,需要政府各部门群策群力,各位阶法律法规协同配合,尤其是制订和完善适应网络时代新的罪情变化的法律法规。”李怀胜说。
专家提醒网民,提高对钓鱼网站的警惕,杜绝贪占小便宜的心理,防患于未然,可以最大程度规避损失。另外,上当受骗后,应当及时向公安机关报案,减少和追回损失,还应当注意采取弥补措施,比如更改银行密码等。