網絡金融釣魚原理與傳播途徑分析

云夢澤

當前，網上銀行、金融支付系統等經濟系統面臨的巨大威脅之一就是網絡金融釣魚。有記錄的網絡釣魚發生在1996年前后，當時就有黑客利用電子郵件為誘餌，盜用美國在線的賬號和密碼。金融釣魚網站往往利用人性的弱點進行攻擊，其迷惑手段不拘泥于某種具體表現形式，而是利用別人時常容易接受的方法來實施“釣魚”。網絡釣魚的攻擊者一般通過發送大量貌似來自于可信銀行的欺騙性郵件，誘使被攻擊者登錄一個與銀行網站非常類似的釣魚網站。沒有足夠警覺性的網絡銀行用戶會無意中被網絡釣魚欺騙，從而使詐騙者獲取受害人在釣魚網站上輸入的個人資料、賬戶敏感信息，以及銀行的交易和轉賬數據。一旦釣魚詐騙者獲取到這些重要數據，他們會非法侵入客戶賬戶，肆無忌憚地繼續獲取其他敏感信息，最終將受害者賬戶上的金融財產非法轉移到他們控制的賬戶。從技術原理上看，網絡釣魚并不高深，之所以造成這么大的影響，究其原因主要是利用了人的無知或人性的弱點。

如圖1所示，“釣魚攻擊者”會通過研究真實的銀行或者購物網站，采取整站復制和代碼修改的手段，得到與目標網站相似度極高的副本，然后將這些副本精心制作成虛假網站，并在網絡上發布具有迷惑性的網絡地址。如利用www.icbc.com.cc來冒充中國工商銀行的網站，利用www.cob.com.cn來冒充中國建設銀行的網站。這些具有迷惑性的網址具有很高的欺騙性，隨后釣魚者會通過短信、郵件、彩信、病毒等手段將釣魚網站的地址發送給受害者。受害者一旦訪問釣魚網站，就會在釣魚者循循善誘下輸入敏感的賬號、密碼和手機驗證碼等重要信息。最終，釣魚者通過這些重要信息完成竊取受害者財產的活動。

網絡釣魚具有成本低、技術實現簡單靈活的特點，對網上銀行、支付系統、網絡購物等日常應用產生了巨大威脅。如造成網上銀行客戶的經濟損失，加大了網絡金融釣魚的打擊難度，挫敗了一般用戶對網絡支付新體驗、電子交易等先進交易方式的使用信心，從而阻止或妨礙了先進生產力代表的應用的迅速發展與普及。

網絡金融釣魚為達成迷惑、欺騙受害者的目的，一般會采取多種信息傳播途徑。常見的信息傳播途徑有以下幾種：

第一，釣魚郵件。網絡銀行客戶會收到來自網絡釣魚攻擊者偽造的欺詐郵件，這些郵件看似由銀行官方發送，內容一般涉及賬單錯誤記錄、積分問題、賬戶密碼過期問題、投資理財顧問咨詢等，或是以銀行賬號被凍結、銀行系統升級等不真實理由，要求收件人點擊郵件上的鏈接地址進入虛假銀行網站。

第二，偽造電子購物網站。不法分子建立一個虛假的電子商務網站，然后在各種論壇、購物網站發布虛假的商品信息，虛假信息中的商品性價比與市場同類商品相比要高出不少。當客戶對該網站銷售的便宜商品動心，并通過該網站進行支付時，就會鏈接到一個偽造的銀行支付頁面，最終陷入釣魚騙子的圈套。

第三，詐騙短信。目前，不法分子通過使用偽基站短信網關，以銀行名義向客戶發送詐騙短信，提出客戶有即將到期還未兌換的積分、網銀支付系統升級或賬戶法律問題等，要求客戶登錄短信中提供的網站進行身份驗證，而這個網站地址正是不法分子用于套取客戶信息的詐騙網站的地址。

第四，病毒傳播。攻擊者仿照和制作與銀行網站非常相似的網頁，并使用與銀行網址非常接近的網絡域名地址，隨后通過電腦病毒程序、垃圾軟件等將假網站地址發送到受害者的電子終端，或將詐騙網址注冊到搜索引擎，以誘騙客戶登錄，從而竊取客戶銀行卡號、密碼等信息，達到最終騙取受害者賬戶資金的目的。

另外，網絡金融釣魚還有一些其他的傳播途徑。如通過臉書、微博中的短鏈接散布釣魚網站鏈接；在相關內容網站、搜索引擎投放付費網絡廣告，吸引用戶鏈接釣魚網站；通過電子郵件、論壇、博客等網站批量發布釣魚網站鏈接；通過Skype、飛信等即時通訊工具發送傳播釣魚網站鏈接；偽裝成用戶輸入網址時易發生的錯誤，一旦受害者不小心輸入錯誤，就會誤入釣魚網站。

熟悉這些常見的釣魚網站的傳播途徑與傳播手法，可以較好地幫助網絡銀行客戶發現與規避潛在的釣魚攻擊，從而避免落入圈套，遭受經濟損失。

（作者系北京市中國人民大學附屬中學高二年級學生）endprint