新华网广西频道1月4日电(记者李嘉 李倩 车晓蕙)“网络钓鱼”式攻击是一种主要以假冒网站、邮件获取用户各种在线交易的账户、密码的隐蔽诈骗手段。广东省电子商务协会副会长、中山大学管理学院副院长谢康认为,随着家庭数字化、网络宽带化的全面普及和各种银行在线支付、拍买网站、网络游戏等新型消费方式的大量出现,“网络钓鱼”式攻击成为我国电子商务交易安全的巨大威胁。
记者从最近在南宁举行的“大湄公河次区域电子商务培训班”获悉,目前中国已经成为仅次于美国、世界上第二大拥有仿冒域名及网站的国家,占全球域名仿冒总份额的12%。
“网络钓鱼(Phishing)”作为一种网络诈骗手段,算不上新鲜事物,而且没有太多技术含量,主要是利用人们的心理来实现诈骗。专家作了一个形象的比喻:若以真实世界的钓鱼来形容,钓鱼者就相当于“网络诈骗者”,大海就是“网络”,诱饵是包括“急迫口吻的电子邮件”“仿冒网站”“木马程序”“间谍软件”,至于上钩的鱼,那就是使用“信用卡号、网络银行账号密码等敏感信息”的部分用户。
金山反病毒中心综合分析一系列网络安全攻击事件后提出,目前威胁最大的三种网络钓鱼攻击方式为假冒网站、邮件欺骗、木马病毒。
近年来,连续出现的假冒中国银行、农业银行、工商银行的网站中,犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金。如假冒中国银行的域名是www.bank-off-china.com,与中国银行网站www.bank-of-china.com多一个英文字母f;假冒中国工商银行域名是www.1cbc.com.cn,与中国工商银行网站www.icbc.com.cn,也只是“1”和“i”一字之差;假冒中国农业银行域名是www.965555.com,与中国农业银行网站www.95599.com也较为相近。
据广西警方介绍,尽管这些假冒网站已全部被关闭,但由于制作一个新的假冒网站并不需要很高的技术及很大的成本,今后假冒银行网站恐怕还会再出现。
含有木马病毒的邮件与欺骗性邮件的“网络钓鱼”方式攻击对象大多针对拍卖网站和网上银行等线上交易平台。云南大学经济学院博士生导师徐光远说,犯罪分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。
记者在采访中了解到,国内第一例中文混合型病毒“重要文件”冒充一家购物网站邮件迷惑用户,危害仅是可能将盗取个别用户网络银行账号和网络游戏密码等敏感信息;而印度洋大海啸时,香港出现了冒充当地一家慈善机构骗取网络捐款的事件,要求收信人通过一个塞浦路斯的银行账号捐助善款,目的则是要诈骗国内全体网民的慈善捐款。
“网络钓鱼”式攻击引发的交易安全问题已经开始显现出其巨大的破坏力。据广东省电子商务协会的专家介绍,截至2005年6月30日,中国上网人数1﹒03亿,上网计算机约4560万台,网站约67万个。然而,在中国众多网民中,有过网上购物经历的只有18%;在具有网上购物经历的网民中,选择在线支付的仅为37%。
一些已遭“网络钓鱼”多次攻击的公司担心,网络钓鱼式攻击不仅损害了企业业务,也破坏整个电子商务系统和经营方式的信用,对客户参与网络交易的信心提出了极大挑战。云南省圣唐律师事务所陈宇律师说,金融机构、互联网服务提供商和其他服务商必须严肃地解决“网络钓鱼”问题,如果不能极大地减少这种诱饵攻击,那么消费者对在线交易的信任感将会逐渐被侵蚀,最终所有网络交易的参加者都会受到伤害。
专家认为,我国电子商务法律法规很不完善,缺乏明确的法律法规对电子商务进行规范,加大了电子商务活动的风险。因此,应尽快健全电子商务的相关法律法规,明确参与电子商务各方的法律责任,遏制“网络钓鱼”等不良行为和不法行为,解决网络交易安全问题,以推动我国电子商务的快速发展。