防釣魚拯救我的“電子錢包”

今年1月12日#12316;13日兩天，南京市鼓樓區居民孫先生和徐先生，相繼收到短信稱中國銀行要求登錄網頁進行“中行E令”升級。兩人依言登錄短信中的網址后，不料，個人銀行資料被人“釣走”，分別被騙走64萬元和101萬元。2月17日，南京數十名民警兵分四路，南下福建、廣東等地全力偵破，抓獲了一個詐騙團伙共計13人。該團伙正是實施這一新型電信詐騙案的惡徒。

網絡的發達，使得網銀用戶逐年遞增，尤其是近幾年電子商務的普及，讓網銀用戶增長更為迅速。但是網銀詐騙案件的不斷發生，也敲響了用戶高度關注網銀交易安全性的警鐘。有關信息顯示，截至2010年11月底，中國反釣魚網站聯盟秘書處累計認定并處理的釣魚網站達32496個，其中2010年1月#12316;11月，累計認定并處理釣魚網站20570個，較去年同期大幅上升136%。

在“釣魚”網站頻現、網銀詐欺事件頻發事件后，銀行、第三方支付公司、用戶都應該做出一些反思。

銀行下調

網銀轉賬金額上限

近日，在木樨園做服裝生意的李女士收到了建設銀行發來的網銀轉賬限額調整通知——建設銀行于3月2日起將個人網銀盾客戶轉賬交易單筆限額和日累計交易限額，分別調整為50萬元和100萬元人民幣，此前該行的轉賬限額分別是50萬元和500萬元。

這是繼去年12月份農業銀行調整了個人網銀盾客戶的轉賬限額之后，又一家大型商業銀行將網銀的轉賬標準進行了調整。建行轉賬交易的類型包括客戶向本人或他人賬戶的轉賬與匯款、定活互轉、跨行轉賬、私對公轉賬等。

對于這次限額調整，建行客服人員表示，主要是為了客戶的資金安全著想。此前，中國建設銀行、中國銀行等大型銀行都在其官方網站上發布了警示性信息，提醒客戶在登錄網銀時一定要核實準確地址，中行除了將行內轉賬及跨行轉賬的單筆限額和日累計交易限額分別由100萬元和200萬元，下調至10萬元和20萬元外，還為網銀交易新增了一個“安全閥”。

興業銀行也于3月8日表示，為進一步增強網銀證書的安全性，中國金融認證中心（CFCA）對該行證書簽名控件進行了升級，即日起，客戶進入網上銀行指令簽名頁面后，需要更新簽名控件以繼續操作。該銀行還在3月5日推出了電子銀行統一安全認證體系，將“網銀短信保護”升級為“電子銀行短信口令”，適用于網上銀行、電話銀行、手機銀行轉賬匯款等資金變動類業務。

而前幾日，深發展銀行也通過網站公告：近日發現有不法分子通過短信形式發布欺詐信息，以銀行系統升級或動態編碼器過期需進行更新為由，誘騙客戶登錄假冒網上銀行，盜取客戶網銀用戶名、密碼及動態口令。該行提醒用戶要從銀行門戶網站登錄辦理業務，認清發布消息的號碼是否為銀行專號，同時不要對銀行門戶網站以外的任何網站或他人暴露自己的用戶名、密碼、動態口令等信息。

工商銀行也推出了“防釣魚”安全控件，據說能有效防范釣魚網站（網頁）對客戶賬戶的欺騙和攻擊。

不斷爆出的有客戶被“釣魚網站”騙取賬戶資金的消息，讓越來越多的人開始擔心網銀交易的安全性，為了減少危害的程度，銀行紛紛下調網絡銀行轉賬金額上限，多數銀行也對自己的網銀安全進行了升級。

剖析各種釣魚陷阱

“網絡釣魚”的騙術給人們的上網安全帶來威脅，在網絡購物過程中，這種釣魚欺詐造成的危害又最為直接。

據第三方支付公司匯付天下合規部相關負責人介紹，就網絡釣魚詐騙的種種表現形式來看，大致可分為4種：假冒銀行、第三方支付等鏈接；發送病毒控制用戶電腦從而盜取銀行卡等信息；以銀行付款確認郵件等方式誘騙上當；中獎做局誘騙網友匯款等。

該人士表示，這4種詐騙方式中有兩種最為常見也最隱蔽：第一種是虛假鏈接的傳統型釣魚方式。即網友在網購過程中，當進行到第三方支付平臺要付款時，鏈接到了詐騙分子做的虛假頁面，該頁面在頁面形式、扣款金額等方面做得與原網購網站非常相似，而通過這個虛假頁面進行支付的金額則自動進入了詐騙分子的賬戶。

第二種是當前比較突出的木馬型釣魚方式。這是一種更隱蔽、更可怕的方式，當電腦中了這種木馬病毒，在網購交易中的支付平臺到銀行扣款的環節當中，木馬程序會自動在后臺生成另一筆交易，新的交易指向了一個新的賬戶，銀行的扣款自動到了詐騙分子的賬戶，而網友毫無察覺。

那么，針對這種網友毫無察覺的網絡欺詐行為，第三方支付公司能做些什么，能否凍結這筆欺詐交易？

匯付天下合規部相關負責人表示，“由于騙子發起的是真實訂單（誘騙或操控受害者電腦完成的支付），支付公司系統處理成功后，就需要給商戶付款，不能凍結該筆資金，否則支付公司就違反了商業合同。因此，支付公司目前能做的只是后期將這筆訂單的去向告知客戶，協助警方追查而已。”

支付公司

出招“防釣魚”

針對這種情況，第三方支付公司紛紛出招應對。

匯付天下采取的措施是：對于虛假鏈接釣魚方式，采用時間戳、域名確認、IP地址比對等方式，通過設定交易時間敏感值、核實過濾支付來源的網址、IP識別技術對比訂單生成IP與支付完成的返回IP等，對不一致的進行阻止；而對于木馬病毒這種更加隱性而高級的手段，則采用人機識別技術，有效識別人工操作和木馬的機器操作行為差異，如加驗證碼和二次確認等。“從升級效果看，加驗證碼和二次確認方式，雖然使用戶的便利性受到影響，但對打擊木馬型釣魚效果明顯。”該負責人表示。

去年支付寶公司也聯合銀行推出了風險聯防計劃，主要針對“冒充訂單”騙取消費者付款的行為。支付寶表示，這種反欺詐的技術可以對訂單的買賣雙方身份進行匹配核實，“在用戶接到一個鏈接后，打開時系統就會判斷這個訂單是不是你的，如果不是，系統就會自動中斷鏈接，避免‘釣魚’發生”。

不過，支付寶風險管理部負責人青牛也提醒說，“如果用戶經受不住騙子預先設計的低價誘惑或者沒有遵守網購規則，就會有受騙的可能。”從目前的情況看，“防騙”的核心第三方支付是用戶不要隨意打開別人給的鏈接和文件，并嚴格遵照購物流程操作。

據記者了解，除了支付寶、匯付天下外，易寶支付、財付通等第三方支付平臺也都推出或者升級了自己的風控體系，以打擊釣魚騙術。

除了第三方支付的參與，業界呼吁各界一起努力進行防范，包括商戶、銀行、支付等整個網購流程中的每一個環節都需要加強。例如被騙子利用銷贓的一些網站要加強實名制，一旦警方認定詐騙，被利用銷贓的網站有責任提供騙子的真實身份，并承擔賠付責任；銀行也需要不斷升級防釣魚機制，以免被木馬鉆了漏洞；支付公司也需進一步升級支付平臺的風控能力；而廣大網絡消費者則更要多加留心，比如不要從不明網站下載任何東西，不要輕易點擊電子郵件中的鏈接，在支付過程中，留意鏈接網址，是否是正確的官網鏈接域名等等。

除此之外，有關人士認為，公安部門也必須加強介入給予更多支持。在2011年“兩會”上，全國政協委員、中央財經大學證券期貨研究所所長賀強就提出，當前打擊網上詐騙的過程中，因為涉及數額較小公安機關不能立案的現象確實存在，但對小額網上欺詐，需要加以研究，公安部門必須加強介入和重視。

易觀國際分析師曹飛也表示，加強立法，加強產業鏈的聯合，甚至加強支付平臺之間的技術互通和監控互動，將能更加有效地促進電子商務的健康發展，保障消費者的合法利益不受侵害。“電子支付是所有網上交易的最后一步，也是阻止犯罪得逞的最關鍵環節，從電子支付領域出發，縱向梳理整個產業鏈條，橫向梳理整個互聯網結構，將是凈化互聯網乃至網絡交易環境的一個重要手段。”

鏈接

網銀使用安全提示

工商銀行的相關專業人士建議，用戶應做到以下幾點，以確保網銀安全：訪問銀行網站時直接輸入銀行網址登錄，不要采用超級鏈接的方式間接訪問；如已向不明人員或網站提供網銀密碼，要立即登錄網銀修改密碼，或到柜面重置密碼；查看網銀歡迎頁面上的“上次登錄時間”和實際登錄情況是否相符；每次使用網銀后，點擊頁面右上角的“退出登錄”；下載并安裝由銀行提供的用于保護客戶端安全的控件；不要開啟不明來歷的電子郵件；不要在公共場所使用網銀。