網(wǎng)絡(luò)金融釣魚原理與傳播途徑分析

云夢澤

當(dāng)前，網(wǎng)上銀行、金融支付系統(tǒng)等經(jīng)濟系統(tǒng)面臨的巨大威脅之一就是網(wǎng)絡(luò)金融釣魚。有記錄的網(wǎng)絡(luò)釣魚發(fā)生在1996年前后，當(dāng)時就有黑客利用電子郵件為誘餌，盜用美國在線的賬號和密碼。金融釣魚網(wǎng)站往往利用人性的弱點進行攻擊，其迷惑手段不拘泥于某種具體表現(xiàn)形式，而是利用別人時常容易接受的方法來實施“釣魚”。網(wǎng)絡(luò)釣魚的攻擊者一般通過發(fā)送大量貌似來自于可信銀行的欺騙性郵件，誘使被攻擊者登錄一個與銀行網(wǎng)站非常類似的釣魚網(wǎng)站。沒有足夠警覺性的網(wǎng)絡(luò)銀行用戶會無意中被網(wǎng)絡(luò)釣魚欺騙，從而使詐騙者獲取受害人在釣魚網(wǎng)站上輸入的個人資料、賬戶敏感信息，以及銀行的交易和轉(zhuǎn)賬數(shù)據(jù)。一旦釣魚詐騙者獲取到這些重要數(shù)據(jù)，他們會非法侵入客戶賬戶，肆無忌憚地繼續(xù)獲取其他敏感信息，最終將受害者賬戶上的金融財產(chǎn)非法轉(zhuǎn)移到他們控制的賬戶。從技術(shù)原理上看，網(wǎng)絡(luò)釣魚并不高深，之所以造成這么大的影響，究其原因主要是利用了人的無知或人性的弱點。

如圖1所示，“釣魚攻擊者”會通過研究真實的銀行或者購物網(wǎng)站，采取整站復(fù)制和代碼修改的手段，得到與目標(biāo)網(wǎng)站相似度極高的副本，然后將這些副本精心制作成虛假網(wǎng)站，并在網(wǎng)絡(luò)上發(fā)布具有迷惑性的網(wǎng)絡(luò)地址。如利用www.icbc.com.cc來冒充中國工商銀行的網(wǎng)站，利用www.cob.com.cn來冒充中國建設(shè)銀行的網(wǎng)站。這些具有迷惑性的網(wǎng)址具有很高的欺騙性，隨后釣魚者會通過短信、郵件、彩信、病毒等手段將釣魚網(wǎng)站的地址發(fā)送給受害者。受害者一旦訪問釣魚網(wǎng)站，就會在釣魚者循循善誘下輸入敏感的賬號、密碼和手機驗證碼等重要信息。最終，釣魚者通過這些重要信息完成竊取受害者財產(chǎn)的活動。

網(wǎng)絡(luò)釣魚具有成本低、技術(shù)實現(xiàn)簡單靈活的特點，對網(wǎng)上銀行、支付系統(tǒng)、網(wǎng)絡(luò)購物等日常應(yīng)用產(chǎn)生了巨大威脅。如造成網(wǎng)上銀行客戶的經(jīng)濟損失，加大了網(wǎng)絡(luò)金融釣魚的打擊難度，挫敗了一般用戶對網(wǎng)絡(luò)支付新體驗、電子交易等先進交易方式的使用信心，從而阻止或妨礙了先進生產(chǎn)力代表的應(yīng)用的迅速發(fā)展與普及。

網(wǎng)絡(luò)金融釣魚為達成迷惑、欺騙受害者的目的，一般會采取多種信息傳播途徑。常見的信息傳播途徑有以下幾種：

第一，釣魚郵件。網(wǎng)絡(luò)銀行客戶會收到來自網(wǎng)絡(luò)釣魚攻擊者偽造的欺詐郵件，這些郵件看似由銀行官方發(fā)送，內(nèi)容一般涉及賬單錯誤記錄、積分問題、賬戶密碼過期問題、投資理財顧問咨詢等，或是以銀行賬號被凍結(jié)、銀行系統(tǒng)升級等不真實理由，要求收件人點擊郵件上的鏈接地址進入虛假銀行網(wǎng)站。

第二，偽造電子購物網(wǎng)站。不法分子建立一個虛假的電子商務(wù)網(wǎng)站，然后在各種論壇、購物網(wǎng)站發(fā)布虛假的商品信息，虛假信息中的商品性價比與市場同類商品相比要高出不少。當(dāng)客戶對該網(wǎng)站銷售的便宜商品動心，并通過該網(wǎng)站進行支付時，就會鏈接到一個偽造的銀行支付頁面，最終陷入釣魚騙子的圈套。

第三，詐騙短信。目前，不法分子通過使用偽基站短信網(wǎng)關(guān)，以銀行名義向客戶發(fā)送詐騙短信，提出客戶有即將到期還未兌換的積分、網(wǎng)銀支付系統(tǒng)升級或賬戶法律問題等，要求客戶登錄短信中提供的網(wǎng)站進行身份驗證，而這個網(wǎng)站地址正是不法分子用于套取客戶信息的詐騙網(wǎng)站的地址。

第四，病毒傳播。攻擊者仿照和制作與銀行網(wǎng)站非常相似的網(wǎng)頁，并使用與銀行網(wǎng)址非常接近的網(wǎng)絡(luò)域名地址，隨后通過電腦病毒程序、垃圾軟件等將假網(wǎng)站地址發(fā)送到受害者的電子終端，或?qū)⒃p騙網(wǎng)址注冊到搜索引擎，以誘騙客戶登錄，從而竊取客戶銀行卡號、密碼等信息，達到最終騙取受害者賬戶資金的目的。

另外，網(wǎng)絡(luò)金融釣魚還有一些其他的傳播途徑。如通過臉書、微博中的短鏈接散布釣魚網(wǎng)站鏈接；在相關(guān)內(nèi)容網(wǎng)站、搜索引擎投放付費網(wǎng)絡(luò)廣告，吸引用戶鏈接釣魚網(wǎng)站；通過電子郵件、論壇、博客等網(wǎng)站批量發(fā)布釣魚網(wǎng)站鏈接；通過Skype、飛信等即時通訊工具發(fā)送傳播釣魚網(wǎng)站鏈接；偽裝成用戶輸入網(wǎng)址時易發(fā)生的錯誤，一旦受害者不小心輸入錯誤，就會誤入釣魚網(wǎng)站。

熟悉這些常見的釣魚網(wǎng)站的傳播途徑與傳播手法，可以較好地幫助網(wǎng)絡(luò)銀行客戶發(fā)現(xiàn)與規(guī)避潛在的釣魚攻擊，從而避免落入圈套，遭受經(jīng)濟損失。

（作者系北京市中國人民大學(xué)附屬中學(xué)高二年級學(xué)生）endprint