摘要：明天就是“3·15”消费者权益保护日，投资周刊将目光锁定近来备受关注的网络支付安全问题。近年来，随着网购、网上理财等网上消费越来越多，不法分子通过钓鱼网站频频窃取用户的密码。去年11月中旬到春节前两个月时间，全国有数百人因为泄露金融信息而损失几千、几万到几十万甚至上百万。据了解，这类案件的破案率低，追回损失的可能性小，造成的危害已经引起全社会高度重视。解决之道无外乎两个：堵住漏洞，提高警惕。

第1页:信息泄露瞬间损失百万网络购物安全 第2页:信息泄露瞬间损失百万网络购物安全

　名词解释
　　
　　网络钓鱼是指不法分子假冒银行网站或仿冒银行网上购物支付网页，诱使客户输入银行卡号、网上银行密码或口令以盗取客户信息，实施违法的活动。当前网络钓鱼将重点放在了伪造与正规机构极度相似的域名和网页以欺骗网民，使消费者误以为是自己在正规的网站操作，由于目前“钓鱼网站”的伪装极为高明，再加骗子根据受骗对象的情况进行适当的鼓动，使一些警惕性不高的网民受骗上当，轻则造成姓名、手机号、通信地址、银行账号和密码等用户私密信息泄漏，重者造成经济损失。
　　
　　热点
　　
　　个人金融信息泄露有增多趋势
　　
　　根据金山网络统计，2010年，新增钓鱼网站数量明显一路走高，1-10月，平均每天新增的与网络购物相关的钓鱼网站约为1500个。有近28%的互联网用户遭遇过虚假钓鱼网站、诈骗交易、交易劫持、网银被盗等针对网络购物的安全攻击。另有统计显示，钓鱼网站中，打着淘宝网、腾讯网、银行旗号的钓鱼网站举报量位列前三位，占九成以上。在这些“钓鱼网站”中，以“假中奖”及“假购物网站”居多，占总量的90%以上。
　　
　　这些网站大部分行动迅速，寿命很短。据瑞星最新发布的《2010年第三季度网络钓鱼报告》显示，现在每天出现的新“钓鱼网站”，其中二成左右的寿命只有1天，而“短命”的主要原因是为了躲避打击。
　　
　　看起来技术含量不高的网络钓鱼，却让越来越多的网购人群深受其害。根据金山网盾数据中心的数据，2010年11月，每日新发现的钓鱼网站数量都在300个左右，其中80%的钓鱼网站都会被买家或者卖家点击，在被网购用户点击到的这240个钓鱼网站中有20%-30%交易成功。
　　
　　据了解，一个钓鱼网站只要在一天之内获得一笔成功交易记录，就可以在短短两分钟之内把你支付账户里的存款全部吞掉。一个被活跃运作的钓鱼网站，每个月可以通过各种渠道获得近千笔的非法交易。据瑞星提供的数据，今年第三季度因“钓鱼”诈骗遭受的直接及间接经济损失，比去年同期大幅上升，据估算可能高达50亿元至70亿元。而单个网银被盗案例甚至涉及金额上达数百万。
　　
　　金山网络专家分析表示，这类案件迅速增加的原因在于钓鱼网站的制作简单，投资少见效快。同时，传统安全软件对钓鱼网站的识别还不够及时准确。再加上网民的安全意识薄弱，疏忽大意普遍存在，一旦上当受骗之后，还存在电子取证难的问题，致使网络钓鱼的危害急剧飙升。而2010年，病毒木马和钓鱼网站相互勾结、相互推广的情况也并不少见。可牛安全专家表示，目前“钓鱼欺诈”已经取代传统的木马病毒成为了用户上网安全的主要威胁。
　
　　分析
　　
　　利用病毒技术盗取信息
　　
　　钓鱼网站究竟是如何从你的网银里偷走钱的呢？记者发现，目前钓鱼网站网银诈骗路径一般是，首先第一步向银行网银用户发送诈骗短信，例如“尊敬的网银用户：你的银行口令将于于次日过期，请尽快登陆www.××××.com(一个伪装银行主页)进行升级，给您带来的不便敬请谅解。”
　　
　　第二步便是诱导网银用户上“钓鱼网站”。诈骗短信中提及的网站基本和银行官方网站一模一样，网银用户在登陆“钓鱼网站”时真实信息立即被窃取。
　　
　　盗了网银用户信息后，非法分子会快速进行转账，将该网银用户资金调出。犯罪分子用窃取来的网银用户真实的用户名、密码、动态口令、身份信息登录网上银行官方页面，在动态口令还没来得及更新的时候就将帐户金额转走。而在1分钟的时间里，犯罪分子没有来得及在动态口令变化的时间之内转走账上金额时，钓鱼网站会向网银提示，系统忙，升级失败，重新输入新的动态口令快速转账。
　　
　　绝大部分山寨银行网页不仅与真正的银行官网长相几乎一模一样，网址也极具迷惑性，很多时候其网址仅比官网多了一个后缀或几个字母。
　　
　　“同欺诈下载一样，钓鱼网站也是一种低技术含量的威胁，但网站采用的骗术却能屡屡得手。而数字大盗病毒实现了病毒技术和钓鱼网站近乎完美的结合，给网购网银用户构成严重威胁。”金山网络专家指出，目前病毒木马与钓鱼网站相互“勾结”越发突出，大量病毒木马会在用户桌面弹出钓鱼网站的广告页面，用低价、中奖等诱饵，令网民上当受骗。
　　
　　据监测，2010年出现的绑架型木马还会通过篡改浏览器，锁定主页等方式，将用户的主页引导到其指定的网址导航站，通过修改用户桌面图标或收藏夹的网址，使用户防不胜防地掉入欺诈钓鱼的陷阱。
　　
　　目前互联网上活跃的钓鱼网站传播途径：
　　
　　1.通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接。2.在搜索引擎、中小网站投放广告，吸引用户点击钓鱼网站链接，此种手段被假医药网站、假机票网站常用。
　　
　　3.通过Email、论坛、博客、SNS网站批量发布钓鱼网站链接。
　　
　　4.通过微博、Twitter中的短连接散布钓鱼网站链接；通过仿冒邮件，例如冒充”银行密码重置邮件”，来欺骗用户进入钓鱼网站。
　　
　　5.感染病毒后弹出模仿QQ、阿里旺旺等聊天工具窗口，用户点击后进入钓鱼网站。
　　
　　6.恶意导航网站、恶意下载网站弹出仿真悬浮窗口，点击后进入钓鱼网站。7.伪装成用户输入网址时易发生的错误，如gogle.com、sinz.com等，一旦用户写错，就误入钓鱼网站。
　　
　　应对
　　
　　支付环境安全急需升级
　　
　　2010年，针对网购的钓鱼网站给网民造成重大损失。针对目前诈骗案件多发态势，不少银行已经与公安机关建立了打击电子银行犯罪活动的联动机制，协助公安机关实施快速打击。但金山软件预计，2011年这方面的攻击数量还会持续增长。“针对骗术的鉴定和拦截仍然需要不断改进，目前的成功率仍然不够理想。网络骗术花样不断翻新，当一种骗术成功率不高时，骗子们就会尝试新招数。”专家分析指出。不断完善网上银行技术防范措施，加强交易欺诈监控已经成为了银行迫切要解决的问题。
　　
　　钓鱼案例多发后，目前很多网上支付安全控件或者密码的安全性受到了多方质疑。钓鱼网站频频得手，但国内现有处理机制都难以有效制止。对“网络钓鱼”的诈骗行为，工信部和公安部目前都设有专门的监管机构，其他各大部委也都有专门的监管机构负责行业内的网络安全管理。但由于“钓鱼网站”频繁出现，现有的处理机制很难及时有效制止。
　　
　　不过，目前国内已经建立专门协调此问题的组织。“中国反钓鱼网站联盟”并非官方机构，它的成员包括了域名管理机构、注册服务机构，以及银行证券类、电子商务类、网络安全类等企业，目的就是为了发现和治理“钓鱼网站”，主要是针对假冒其成员单位的“钓鱼网站”。该联盟在接到涉及联盟成员的投诉后，权威技术鉴定机构会立即对其进行判定，一经认定，两个小时内暂停其域名解析，终止欺诈行为，从处理的及时性上大大降低了“钓鱼网站”所造成的危害。
　　
　　但专家也指出，联盟的成员单位目前还是有限，对于层出不穷的“钓鱼网站”，国内反钓鱼网站协调机制和反钓鱼网站综合治理体系的建设还需进一步推进。另外，国家有关的法律法规也有待进一步完善。
　　
　　“支付控件和电子口令等方式虽然免费，也有一定的安全性，但是现在钓鱼网站让人很难准确识别，防不胜防，一不小心就可能上当受骗，一旦密码被人骗取，就可以随意从你的帐户转钱。我以前就遇到过这种情况。”这种情况下，线下安全确认似乎是一个比较原始但有用的方法。一位用户在网上交流区表示，支付机构保证给客户提供一个安全可靠的网络支付环境，责无旁贷。