网络百科新概念
提示
 正文中的蓝色文字是词条,点击蓝色文字可进入该词条页面;
 正文中的红色文字是尚待创建的词条,点击红色文字可进入创建词条页面;
 欢迎参与词条创建或编辑修改!人人为我,我为人人。共同建设中文百科在线,共创知识文明!
zwbkorg
关注微信,获取更多信息
阅读 5278 次 历史版本 5个 创建者:hcl112233 (2012/3/23 11:10:39)  最新编辑:我心永恒 (2015/12/15 14:35:12)
钓鱼网站
拼音:Diàoyú Wǎngzhàn (Diaoyu Wangzhan)
钓鱼网站
        钓鱼网站
  钓鱼网站是指以克隆银行电子商务网站等手段骗取用户账号,用以非法牟利的网站。不法分子利用各种手段,仿冒真实网站URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,企图非法骗取用户银行信用卡账号、密码等私人资料,以此达到非法套现的目的。电子商务、金融证券、即时通讯是排名前三的钓鱼网站类型。

  钓鱼网站的页面与真实网站界面完全一致,要求访问者提交账号和密码。一般来说钓鱼网站结构很简单,只有一个或几个页面,URL和真实网站有细微差别。专家提醒,网民在查找信息时,应该特别小心由不规范的字母数字组成的CN类网址,最好禁止浏览器运行JavaScript和ActiveX代码,不要上一些不太了解的网站。钓鱼网站近来在全球频繁出现,严重地影响了在线金融服务、电子商务的发展,危害公众利益,影响公众应用互联网的信心,必须进行严厉打击。   

定义解释


  钓鱼网站按狭义的角度来讲,就是你打开一个网页,你认为这个网页是新浪或者搜狐,但其实它不是,它通过跳转的方式到了另外一个网站。为什么要这样做呢?就是它编造了一些信息想获得你的帐号密码。广义上的钓鱼网站可能意义更广泛一些,就是网络欺诈的一种行为,通过上网的方式获取你的各种资讯,目的以谋利为主。通俗一点说,普通的网民就成了鱼,而背后的那只黑手就是钓鱼网站。

案例分析

钓鱼网站进行网络欺诈
  钓鱼网站进行网络欺诈

  2010年12月9日,浙江绍兴市连续发生6起网上银行盗窃案件,累计案值上百万元。上述案件中,受害人均收到陌生手机号码发送的短信,提示其银行网银动态口令将于次日过期,让其尽快登入中国银行的官方网站进行升级。受害人在按照短信提示的网址登录该网站并按照指引操作后,其网银账户内款项被迅速转走。

  据不完全统计,2010年12月份以来,仅浙江省已发同类案件40余起,涉案金额上千万元。另据了解,江苏广东北京等地也有很多类似案件发生,涉案总额巨大。

  这种针对网络金融的犯罪手段为何能屡屡得手?据绍兴市公安局网警支队副支队长吴佳瑾介绍,这类网络金融犯罪的作案手法主要有以下几个特点:

  一是短信群发“善意”提醒,诱使网民上网操作。在此类案中,犯罪团伙有针对性地选择江浙等经济发达地区的用户作为作案对象。由于这些对象文化层次相对较高,防范心理较强,普通的诈骗手法已无法得手,进而选择“密码丢失索取”“网络升级提示”等“善意”提醒诱惑网民。

  二是境外注册网站域名,逃避互联网监管。在所有已发案件中,犯罪嫌疑人开设假网站使用的域名均不在国内注册,都是在境外网站注册的免费域名。由于目前对境外域名注册行为无法实施有效管理,使得域名注册人的信息难以获取。

  三是高仿真网站制作,欺骗网民透出账户密码。要获取网民的网银账户及密码,必须配套几可乱真的银行假网站。在同类案件中,犯罪嫌疑人均制作极为精美、与真实网站相似程度极高、普通用户无法识别的钓鱼网站。在网民登录网站后,网站页面有相应的提示性指引,简单操作后,网民的账户密码就被钓鱼网站所记录。

  四是连贯的转账操作,迅速转移网银款项。在获取网民的网银账户密码后,犯罪嫌疑人迅速登陆真实银行网银网站窃取资金。网银的动态口令卡所提供的动态口令只有时间很短的有效期,犯罪嫌疑人在极短时间内完成网银转账操作,达到窃取的目的。

牟利模式

网络钓鱼
    钓鱼网站网络“钓鱼”

  钓鱼网站的五大牟利模式:

  1、黑客通过钓鱼网站设下陷阱,大量收集用户个人隐私信息,通过贩卖个人信息或敲诈用户;

  2、黑客通过钓鱼网站收集、记录用户网上银行账号、密码,盗取用户的网银资金;

  3、黑客假冒网上购物、在线支付网站,欺骗用户直接将钱打入黑客账户;

  4、通过假冒产品和广告宣传获取用户信任,骗取用户金钱;

  5、恶意团购网站或购物网站,假借“限时抢购”、“秒杀”等噱头,让用户不假思索地提供个人信息和银行账号,这些黑心网站主可直接获取用户输入的个人资料和网银账号密码信息,进而获利。  

传播途径

网络钓鱼攻击
      网络钓鱼攻击

  目前互联网上活跃的钓鱼网站传播途径主要有八种:

  1、通过QQMSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接;

  2、在搜索引擎、中小网站投放广告,吸引用户点击钓鱼网站链接,此种手段被假医药网站、假机票网站常用;

  3、通过Email、论坛、博客SNS网站批量发布钓鱼网站链接;

  4、通过微博Twitter中的短连接散布钓鱼网站链接;

  5、通过仿冒邮件,例如冒充“银行密码重置邮件”,来欺骗用户进入钓鱼网站;

  6、感染病毒后弹出模仿QQ、阿里旺旺等聊天工具窗口,用户点击后进入钓鱼网站;

  7、恶意导航网站、恶意下载网站弹出仿真悬浮窗口,点击后进入钓鱼网站;

  8、伪装成用户输入网址时易发生的错误,如gogle.com、sinz.com等,一旦用户写错,就误入钓鱼网站。  

手机钓鱼


  手机钓鱼比电脑钓鱼更诱惑、更隐蔽、更误导,不但更能骗到用户个人资料、账号,还更难被察觉。目前钓鱼网站的黑手已开始伸向新生的手机银行业务。相关诈骗份子最重要的行骗手段就是诱导消费者开通手机银行业务并骗取密码,随即通过手机修改密码进而转走钱财。另外,现在有很多的恶意软件会伪装成热门的应用来盗取用户的密码用户,在进行网银支付、手机炒股等操作时一定要小心。

  用户如何才能够尽量避免被“钓鱼”呢?网秦首席安全专家邹仕洪博士建议用户注意以下几点,不要随意打开陌生信息发给你的网站链接,看清短信内容再操作也不迟;认清各大安全网站网址的安全标志,例如淘宝支付网址前有个三角号里面是一个“支”字;目前,网秦推出的网秦安全6.0有完全保护手机系统安全,实时防护钓鱼攻击。

  同时,他表示,单靠用户和安全厂商的努力还是不够的,需要一个强有力的机构出面强化各方协调,从立法、执法等给予网银交易安全保护,加强监管机构、公安机关等有关部门的防范风险管理,从而更好地打击手机诈骗黑色经济。  

危害影响

网上银行支付陷阱
     网上银行支付陷阱

  据360安全中心发布的《2011-2012年度互联网安全报告》显示,360全年拦截钓鱼网站访问量总计高达惊人的21.5亿次。

  《报告》指出,仅2011年,360安全卫士共截获各类钓鱼网站501078家,拦截钓鱼网站访问量总计高达21.5亿次,以此计算,360日均拦截量为590.1万次。在钓鱼网站最为活跃的2011年3月,日均拦截量达到惊人的792.6万次。其中,虚假购物类网站数量最多,占比高达30.73%,包括假冒淘宝、手机充值欺诈网站、网游交易欺诈网站,以及模仿知名品牌的山寨购物网站等。

  伴随着互联网与人们日常生活的切合日益紧密,网络钓鱼欺诈业已成为影响电子商务进一步发展的最大障碍,一方面直接危害公众利益,另一方面也影响公众对互联网的使用热情和信心。因此打击钓鱼网站,政府监管机构、公安部门、银行、电子商务商家、电子支付企业、即时通讯服务提供商等各方应该加强合作,共同打击网络钓鱼欺诈恶行,共建基础互联网安全。 

防范方法

钓鱼网站
       钓鱼网站

  据瑞星安全专家介绍,传统的钓鱼网站诱导用户进行付款操作后便提示错误,这会让用户马上就能发现被骗,而这种新的钓鱼网站提供了一个看似真切、实则虚假的订单和物流信息查询系统。用户不仅能在这里看到订单号,还提示货物已经进入物流派送状态,使用户在付款后被一直蒙在鼓里等待快递上门,当发现手机不见踪影、感到被骗后,该钓鱼网站已经无法打开。显然,这些虚假的订单和物流信息是这种钓鱼网站行骗的新障眼法。

  专家表示,网络购物的普及让不法分子有机可乘,这些人利用钓鱼网站进行诈骗的手法也是花样频出,提醒广大用户一定要注意,网民应学会如何识破假冒钓鱼网站骗局:

  第一、查验“可信网站”。通过第三方网站身份诚信认证辨别网站真实性。目前不少网站已在网站首页安装了第三方网站身份诚信认证——“可信网站”,可帮助网民判断网站的真实性。

  “可信网站”验证服务,通过对企业域名注册信息、网站信息和企业工商登记信息进行严格交互审核来验证网站真实身份,通过认证后,企业网站就进入中国互联网络信息中心(CNNIC)运行的国家最高目录数据库中的“可信网站”子数据库中,从而全面提升企业网站的诚信级别,网民可通过点击网站页面底部的“可信网站”标识确认网站的真实身份。网民在网络交易时应养成查看网站身份信息的使用习惯,企业也要安装第三方身份诚信标识,加强对消费者的保护。

  第二、核对网站域名。假冒网站一般和真实网站有细微区别,有疑问时要仔细辨别其不同之处,比如在域名方面,假冒网站通常将英文字母I被替换为数字1,CCTV被换成CCYV或者CCTV-VIP这样的仿造域名。

  第三、比较网站内容。假冒网站上的字体样式不一致,并且模糊不清。仿冒网站上没有链接,用户可点击栏目或图片中的各个链接看是否能打开。学会核对网站信息,用户可以通过搜索引擎等手段来核对团购网站和域名是否相匹配。

  第四、查询网站备案。通过ICP备案可以查询网站的基本情况、网站拥有者的情况,对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站,根据网站性质,将予以罚款,严重的关闭网站。

  第五、查看安全证书。目前大型的电子商务网站都应用了可信证书类产品,这类的网站网址都是“https”打头的,如果发现不是“https”开头,应谨慎对待。

  第六、建议选择正规的上网入口,例如通过hao.rising.cn等可信度高的网址导航站进入团购网。

  第七、 一定要使用具有防钓鱼功能的安全软件,如安装永久免费的具有智能防钓鱼功能的瑞星防火墙(http://pc.rising.com.cn/rfw.html),并保持正常升级,打开相应的监控功能。

  第八、提高防范意识,不要有贪便宜的心理,尽量和欲购买物品的官方确认该团购网站是否有销售的资质;

  第九、选择安全的付款方式,尽量选择货到付款,尤其是金额较大的商品。

打击机构

中国反钓鱼网站联盟

  由国内多家银行证券机构、电子商务网站和域名注册管理和服务机构等组成的“中国反钓鱼网站联盟”于2008年7月18日宣布成立,旨在通过域名技术管理手段,及时终止“钓鱼网站”对金融系统的危害。

  CN域名是全球注册量最大的域名,目前国内所有的银行、证券、保险等金融服务机构的网络都使用CN域名,一旦“钓鱼网站”有目的地攻击金融系统,后果不堪设想。“钓鱼网站”具有存活期短、危害大等特点,通过传统的司法手段很难对其进行有效打击。

  据网络安全专家介绍,使用相似域名制作“钓鱼网站”是国际上非常流行的做法,因此国际上的流行惯例是通过域名技术管理手段来打击“钓鱼网站”。

  我国域名注册管理机构中国互联网络信息中心(CNNIC)承担反钓鱼网站联盟秘书处的职责。据介绍,反钓鱼网站联盟的处理流程是:接到联盟成员对疑似钓鱼网站的投诉后,由秘书处通知第三方技术支持机构进行网页保全和技术分析,进行判定;一旦认定为钓鱼网站,则由CNNIC通知域名注册服务机构和注册者,停止该域名解析;如果在一段时间内该域名解析仍没有停止,则由域名注册管理的最高机构CNNIC直接停止域名解析。

  “中国反钓鱼网站联盟”是我国首次成立的类似机构,特别成立了由工业和信息化部、公安部中国科学院等部门十多位专家领导组成的“专家指导委员会”,国家计算机病毒应急处理中心和国家计算机网络应急技术处理协调中心担任第三方技术认定机构。

  目前“中国反钓鱼网站联盟”成员单位包括:工商银行农业银行中国银行中国建设银行华夏银行光大银行、银河证券、腾讯淘宝、支付宝等几十家金融机构和电子商务网站,以及中国万网、中企动力、厦门中资源、厦门华商盛世、阿里巴巴、ChinaSpringboardInc.等国内主要的域名注册服务机构。



    3
    1
    申明:1.中文百科在线的词条资料来自网友(一些人是某学科领域的专家)贡献,供您查阅参考。一些和您切身相关的具体问题(特别是健康、经济、法律相关问题),出于审慎起见,建议咨询专业人士以获得更有针对性的答案。2.中文百科的词条(含所附图片)系由网友上传,如果涉嫌侵权,请与客服联系,我们将及时给予删除。3.如需转载本页面内容,请注明来源于www.zwbk.org

    词条保护申请

  • * 如果用户不希望该词条被修改,可以申请词条保护
    * 管理员审核通过后,该词条会被设为不能修改

    注意:只有该词条的创建者才能申请词条保护

联系我们意见反馈帮助中心免责声明
Copyright © 2010 zwbk.org 中文百科在线 All rights reserved.京ICP证090285号