王汝林先生是中国信息经济学会电子商务专委会副主任,IT168信息化专家委员会副主任,联合国开发计划署特聘创业指导专家。《中国计算机报》、《国际商报》、《智囊》及《中国管理传播网》等专栏作家。
王先生长期从事IT行业发展战略的前瞻性研究和信息化的增值效益研究。在ERP应用中的成功率研究、企业信息化中的资源协同配置研究、网络营销的实战技巧研究、网络营销的创收研究等方面均有冷静的前瞻性思索和独到的学术见解。
王先生不仅有200多篇论文和7部专箸出版。而且参与和主持了格力、奥克斯、张家口媒机集团、北重集团,清华同方等近100余个大型企业集团的发展战略和信息化战略设计的评审和点评。并多次受到中央电视台总编室的邀请,主持和参加了《春节晚会的营销战略策划》、《央视国际网站的营销战略策划》和《我国六大媒体网站竞争力分析》及《提升ERP成功率研究》等重大研究课题。其《中国电子商务发展状况研究报告》《电子商务竞争战略》、《ERP仙境和企业家的眼泪》,《企业信息化急待解决的八大问题》《解读:人才学上的歌德巴赫猜想》,《奥克斯成功实施ERP的“秘密武器”何在》《制造业信息化市场将面临八大变局》《ERP成功率高的十个深层原因分析》等文章,观点鲜明,持论精妙,视点独到,而受到业界广泛的赞誉和转载。其学术成果已经引起了美国、英国、德国和新加坡业界的关注和转载。
王先生不仅在全国网络经济和营销理论界有较高的声望,而且具有帮助和辅导MBA学员和40多家创业企业快速成长的丰富的实战经验,具有独到的市场洞察能力和策划能力,因此,在创业理论研究和实战指导上也有独特的建树,先后编写和出版了7部专著。
下面我们就跟随王先生的脚步,识破“网络钓鱼”的骗局:
网络钓鱼的危害
网络钓鱼的发生其范围之广,影响之大,手段之复杂是少有的。因此,它给网络营销带来了巨大的危害。主要表现在:
恶化了网络营销的生态环境 搞乱了经济秩序
诚信原则,这是商业活动的基础。利用电子商务进行交易必然会涉及到信用问题,比如说商品的品质,网上购物时的支付手段,以及商家的物流配送等环节都会与“信用”二字挂钩。但是,网络钓鱼等诈骗活动,会造成网络信用障碍。严重的影响了网络生态环境的建设。
电子商务交换模式的一个重要特点是要实现从看货到付款的“直接交换”,过渡到以信用工具和信用体系为中介的“间接交换”。这种间接交换的普遍性,就依赖于信用体系的有效性。电子商务的诚信伦理是传统商业伦理的新发展。它建设的好坏对于目前中国市场经济的规范化运作起着至关重要的作用。网络诈骗活动的发展和蔓延将使我们付出极大的信用建设成本,将影响电子商务生态环境建设的进程。
严重的是:这些堂而皇之的阳光下的行骗,不仅将老百姓的钱财顺理成章地据为己有。将一批又一批满怀投资希望的老百姓被“洗”得一穷二白,更搅乱了国家的管理秩序、金融秩序、市场秩序和网上营销秩序。
骗取网民钱财使网民遭受经济损失
网上发布的海关查获的走私物品、二手汽车、超低价手机等诱饵具有极大的诱惑力,又有极大的欺骗性。一旦有人与他们联系,便以代缴税金、邮费、保险费等名义让受害人汇款。
据调查:这类诈骗犯罪涉及全国各地,受骗者既有工人、农民、知识分子,也有国家机关干部;既有城市居民,也有乡村群众。犯罪分子诈骗金额越来越大,几万、几十万,甚至上百万元,使有的受害者倾家荡产,甚至有的机关、企业财会人员不惜动用公款汇给骗子,给国家集体和个人财产造成重大损失。
湖南株洲市某公司出纳员为担任所谓的香港“六合彩”湖南总代理,先后6次挪用公款37万元;广州市某工商局出纳员为得到“六合彩特码”,将200万元公款汇给诈骗犯罪分子。广东省东莞市农民陈某,3天之内先后22次汇款给骗子,一共被骗走101万元。北海市地角村一伙无业青年以出售网络电子游戏的装备为名,诈骗16个省市数百群众的200多万元。所有这些网络诈骗活动都使网民遭受了很大的经济损失,甚至倾家荡产。
挤占信道影响正常通讯秩序
据有关部门统计,国内2.8亿手机用户,平均每天发送的短信数量超过了3亿条。在数量庞大的短信背后,垃圾短信、骚扰短信以及利用短信诈骗的问题也愈加严重。有人做过调查,结果显示几乎100%的手机用户都曾收过陌生的短信服务,从天气预报到广告,从交友信息到时事新闻,从“中奖”到提供“六合彩”特码等,内容五花八门。
在此类犯罪严重的地方,大量的群发短信占用了通信网络,导致一些地方短信中心信道严重阻塞,移动通信基站经常发生信道被挤占,影响了系统的正常运行和手机的正常使用,干扰了群众的日常交往和联系,也阻碍了正常的经济往来。
破坏了网上的诚信交易环境
诚信,一直被认为是中国电子商务发展的最大瓶颈。在中国互联网络信息中心(CNNIC)发布的第十三次、第十四次中国互联网络发展状况统计报告中,认为目前网上交易存在的最大问题是“产品质量、售后服务及厂商信用得不到保障”的用户比例分别为42.1%和43.8%;而中国消费者协会发布的2005年全国投诉情况显示,消费者对于互联网服务的投诉增幅非常惊人,2005年比2004年整整增长了113.5%。
在当前这种存在信用危机的市场环境中,网络交易者的信用缺失,恶化了市场环境,以致出现了守信者步履维艰、消费者提心吊胆的不良局面。
据有关专家分析,中国市场交易中由于缺乏信用体系,使得无效成本占GDP的比重至少为10%-20%。中国人民银行公布的数据显示,中国每年因逃废债务造成的直接损失约1800亿元;国家工商总局统计,由于合同欺诈造成的直接损失约55亿元;还有产品低劣和制假售假造成的各种损失至少有2000亿元。这直接导致了诚信成为当前中国电子商务所面临的最难以逾越的鸿沟。
因此,只有建立一系列诚信的网上交易体系,才能维护消费者的切身利益,促进网上市场的蓬勃发展。如何解决网上交易的失信问题,已首当其冲地摆在了各家电子商务网站面前。但是,有的网站面对可能发生的商业欺诈却无能为力,有的网站对已发生的欺骗行径表现无动于衷,有的虽然提出要采取措施治理失信卖家,但雷声大,雨点稀,很少付诸实际行动。
2005年,电子商务市场也将开始进入向失信挑战的务实发展阶段,消费者无疑会更多地向诚信的一方倾斜。
正因此,近年来,许多有识之士在电子商务资信环境建设上做了大量工作,取得了一定的进展。上海、深圳等城市都已经启动了诚信制度的建设行动。但是,一个国家诚信意识的建立,需要一种整体行动、系统行动。
特别是,针对网上银行交易诈骗伎俩的层出不穷,单靠核实登入客户名称、密码以及教育消费者已不足以防止网络骗局的发生。因此,香港银行界去年6月达成共识,确定网上交易实行双重认证的对策,目前香港银行界最常采用的双重认证方法有多种:不可复制的电子证书;由保安显示器发出只用一次的密码;通过手机短讯发出只用一次的密码等。这种双重确认的安全支付方式,极大的降低了交易风险。但遗憾的是:目前此发尚没有引起我们的高度重视。
目前,中国的网络钓鱼网站占全球钓鱼网站的13%,名列全球第二位。去年一年,公安部侦破网络诈骗案件1350起,去年一季度已侦破网络诈骗、盗窃案件543起,关闭六合彩等欺诈性网站1361个。
网络钓鱼作案手法
这些网络骗子的主要作案手法如下:
1、网上拍卖不给商品
美国联邦贸易委员会最新公布的《扫荡网络诈骗》报告中,列举了全球十大最流行、最猖獗的网上欺诈手法,其中以网上拍卖名列榜首,受害人大多数是中标付款后却收不到商品。据2002美国全国消费者协会调查,去年一年,美国有41%的网上拍卖交易买方投诉被骗,人均损失326美元。而据IFCC调查,网上拍卖活动中发生的诈骗案件占全部网上诈骗案件的43% 。
这种最直白的行谝手法居然在我国也大行其道。山东泰安的王先生,他在雅宝拍卖网上通过网上竞价的方式购买了一部Nokia8810手机。汇款给卖主后,王先生就和这位名叫“kiss590069”的物主失去了联系。后经调查发现:这位“kiss590069”还通过类似的方法,骗取了另外四位网友的钱。在警方的介入下,才得以挽回了损失。类似的案例在网上比比皆是。
2、发送电子邮件以虚假信息引诱用户中圈套
如去年2月份发现的一种骗取美邦银行(Smith Barney)用户帐号和密码的“网络钓鱼”电子邮件,该邮件利用了IE的图片映射地址欺骗漏洞,并精心设计脚本程序,用一个显示假地址的弹出窗口遮挡住了IE浏览器的地址栏,使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时,状态栏显示的链接是虚假的。
当用户点击链接时,实际连接的是钓鱼网站http://**.41.155.60:87/s。该网站页?..突岜缓诳颓匀 ?/a>
3、建立假冒网站骗取用户帐号密码实施盗窃
犯罪分子建立起域名和网页内容都与真正的网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意Html代码,屏蔽住一些可以用来辨别网站真假的重要信息,来窃取用户的真实信息。
例如,曾出现过的某假冒银行网站,网址为1cbc.com.cn。而真正银行网站是icbc.com.cn,犯罪分子利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户。
又如2004年7月发现的某假网站(网址为1enovo.com)而真网站的网址为lenovo.com,诈骗者利用了小写字母l和数字1很相近的障眼法。通过QQ散布“XX集团和XX公司联合赠送QQ币”的虚假消息,引诱用户访问该假网站。
用户一旦访问该网站,首先生成一个弹出窗口,上面显示“免费赠送QQ币”的虚假消息。而就在该弹出窗口出现的同时,恶意网站的主页面就会在后台通过多种IE漏洞下载病毒程序lenovo.exe(TrojanDownloader.Rlay),并在2秒钟后自动转回到真正的网站主页,使用户在毫无觉察中就感染了病毒。
病毒程序执行后,将下载该网站上的另一个病毒程序bbs5.exe,用来窃取用户的传奇帐号、密码和游戏装备。当用户通过QQ聊天时,还会自动发送包含恶意网址的消息。
4、利用虚假的电子商务进行诈骗
从事这类网络诈骗活动的不法分子,大都采用在知名电子商务网站如“易趣”、“淘宝”、“阿里巴巴”等,发布虚假信息,以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种商品。很多人在他们低价的诱惑下上当受骗。
由于网上交易多是异地交易,通常需要汇款。不法分子一般要求消费者先付部分款,再以各种理由诱骗消费者付余款或者其他各种名目的款项,等到钱款或他们的伎俩被识破时,就立即切断与消费者的联系。
5、利用木马和黑客技术窃取用户信息后实施盗窃
木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金必然受到严重威胁。
去年网上出现的、盗取某银行个人网上银行帐号和密码的木马Troj_HidWebmon及其变种,它甚至可以盗取用户数字证书。又如去年出现的木马“证券大盗”,它可以通过屏幕快照将用户的网页登录界面保存为图片,并发送给指定邮箱。黑客通过对照图片中鼠标的点击位置,就很有可能破译出用户的账号和密码,从而突破软键盘密码保护技术,严重威胁网上证券交易安全。
6、网址欺骗
网址欺骗是网络骗子利用人们很难记住众多网址的特点,采用以假乱真的手法进行的又一种 “网络钓鱼”诈骗活动,中国一名捐款者用搜索引擎查找到一个名为“中华慈善总会”的网站chinacharity.cn.net,结果却发现真网址应该为chinacharity.cn。前者比后者只多了个net,已经完全到了以假乱真的地步。
7、利用用户弱口令等漏洞破解猜测用户帐号和密码
不法分子利用部分用户贪图方便的特点,在一些网站设置弱口令的漏洞,对银行卡密码进行破解。如2004年10月,三名犯罪分子从网上搜寻到某银行储蓄卡卡号,然后登陆该银行网上银行网站,尝试破解了弱口令,并屡屡得手。
8、利用手机短信进行诈骗
手机的普及使犯罪分子觉得利用手机短信进行诈骗,十分方便而又快捷。于是,近年来利用手机短信进行诈骗的活动猖獗起来。 由一部储存着手机号码的电脑控制的“群发器”,平均3秒就发出一条短信息。
而更令人震惊的是,被视为高度机密、连警方办案都提取不到的各省市移动电话号码分段表,在犯罪分子的电脑里居然可以查到。不仅如此,作案者的电脑里的控制软件还有自动识别功能。尾数为“8888 ”等吉利数字的手机,给它发出的短信“中奖奖品”起码是一辆汽车。软件设计者显然知道,用数字吉利的电话号码者多是有钱人。而这些犯罪嫌疑人利用自制的手机短信群发器,在1分钟内就可以向全国各地发出一万条诈骗信息,如果一万个人中有几个人上当,他们的收入就很可观了。
网络钓鱼大案曝光
2004年07月30日23:51 CCTV经济半小时中记者调查发现,从6月1日起到7月25日,不到两个月的时间里,全国就破获这类案件1461起。抓获犯罪嫌疑人460多人,打掉的犯罪团伙44个
在手机短信诈骗的发源地安溪县魁斗镇长坑乡等地,短信诈骗分子都是以家族的形式出现,短信诈骗就成了安溪一些人眼中致富的捷径。在短短一年的时间里,这些人用短信发送虚假信息7000多万条,诈骗成功200多次,骗得赃款500多万元。由于当地公安机关的严厉打击,短信诈骗分子已经从福建的安溪向厦门和泉州转移,并且扩散到全国20多个省市。
据了解,这些不法分子可以通过电脑上的群发软件,在几秒钟之内将虚假信息发送到上万个用户的手机上。但不法分子在办理手机入网手续时,往往用的是假的或捡来的身份证,有的是用不明真相的外地民工的身份证。由于目前手机运营商对入网手机采用的是后付费方式,不法分子正是钻了这个空子,通过透支话费的方式大量进行群发短信,然后再更换新的手机号码。
另外,从技术和法律上来讲,手机运营商目前还无法控制这类不良短信的发送。一方面,手机短信本质上属于公民通信隐私,很多通信内容运营商是无权查看的;另一方面,不法分子都是异地号码发送短信,而各家运营商只能对本省范围内自家的号码进行监控,对于外省号码和其他运营商的号码,需经过层层报批才能对其进行相应的管理,这在一定程度上也增大了管理的难度。
针对手机诈骗现象严重的问题,韩国早在2001年起,就采取一户一网、机号一体的手机号码入网登记制,并规定广告商在发布手机短信广告时,必须注明“广告”字样和发送者的单位、电话及手机号码。如果手机用户不愿意接收该信息,所产生的电话费将由广告发送者承担。为保护客户的隐私权,商家在每天晚9时至第二天上午8时之间不得发送短信广告。
韩国还规定,对滥发垃圾短信者将处以最高8500美元的罚款。此后,短信诈骗案大为减少。
网络钓鱼防范办法
为了防范和战胜网络骗术,人们在和网络骗子的斗争中想出了很多办法。这些办法对于防范网络钓鱼起到了重要的作用。
网络营销中一些有效的、具有可操作性的防范措施和技巧很多,这里介绍一些主要方法。
1、申请并安装数字证书
(1)什么是数字证书?
数字证书是驾驶执照、护照和会员卡的电子对应物。您可以通过出示电子数字证书来证明您的身份从而获得访问在线信息或服务的权利。
数字证书将身份绑定到一对可以用来加密和签名数字信息的电子密钥。能够验证一个人使用给定密钥的权利,这有助于防止有人利用假密钥冒充,确保交易中各方身份的真实。
数字证书由CA认证中心发放并使用。一个数字证书一般包括:
·所有者的公钥;
·所有者的名字;
·公钥的失效期:;
·发放机构的名称(发放数字证书的 CA);
·数字证书的序列号;
·发放机构的数字签名等。
被广泛接受的数字证书格式由 CCITT X.509 国际标准定义;因此任何符合 X.509 的应用程序都可读写证书。
数字证书可以向银行或第三方安全认证机构去申请。中国金融认证中心(CFCA)就是金融行业权威的第三方安全认证机构。也是数字证书的发放机构。老百姓申请CFCA证书,可以到已经获该证书审批的多家商业银行进行申请。银行会把申请人的信息传送到CFCA,经审核后,申请人会获得相应的密码,凭这些密码就可登录到CFCA的网站下载数字证书,并把它保存在USBKEY(电子钥匙)上。
作为提供权威数字证书的第三方,如果是由于CFCA原因使客户受到损失,CFCA会承担相应的赔偿责任。目前标准是企业客户最高赔偿80万元,个人客户最高赔偿2万元。
2、规范使用操作
实践证明:规范使用操作其实是一种非常简单的自我保护方式。我们可以从连接来源、证书使用场合等方面,通过规范使用场合来规避和预防网络诈骗案件的发生。
(1)做到“三及时一避免”就是:
及时安装并升级杀毒软件;及时安装个人防火墙;及时安装操作系统补丁,避免下载来路不明的文件,
(2)不在不安全的地点进行在线交易;
使用网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。
(3)不盲目接受英文邮件;
大部分的“网络钓鱼”信件是使用英文,除非你在国外申请该服务,不然应该收到的一般应是中文信件。遇到可疑信件不随意打开,也可转发给网络安全机构。
(4)认真查对短信的来源;
对银行发来的手机短信,如涉及到帐号问题要和银行进行验证性电话确认。
(5)对要求重新输入账号信息要进行电话验证;
但凡我们接到“要求重新输入账号,否则将停掉信用卡账号”之类的邮件应提高警惕性。不仅不要回复或者点击邮件的链接,而且可以使用电话联系对该信息的真伪进行确认。
(6)访问网站一定使用浏览器直接访问。
输入网址前,有必要确认网址的来源。特别是在我们的信箱中经常会收到一些莫名其妙的来信,切不可随意点击邮件中的链接、和随意使用短信既时通信工具如QQ、MSN等。都是不可取的。
网上银行安全操作方法
掌握网上银行安全使用技巧
进行网上支付,有许多严格的使用规则和技巧。很多使用者不注意认真的研看网上银行的支付说明及其相关规定。这是造成失手或被骗的一个重要原因。
为了大家能掌握网上银行安全使用技巧,下面,我们以中国工商银行的网站为例给大家做个介绍。
进入网上银行后,在看到输入框时,不要急于输入信息,此时要检查IE是否启用加密连接(看看是不是有小锁的图标),并检查证书是否有效(双击小锁图标,打开“证书”界面,查看其有效期),最好还要检查证书是否与地址栏的地址相匹配(在“证书”界面中选择“证书路径”,并查看“证书路径”最后一项是不是与地址栏中的地址一致),如果有其中一项不符合或不一致,那么就要先停止支付操作。进行原因追踪。
接下来,为了防止计算机中可能有木马窃取重要的信息,建议输入卡号与密码时采取如下方式:
如卡号为“123456789”,密码为“654321”,输入卡号时先输入“567891234”,再利用剪切/复制功能改为正确的卡号。这样,记录键盘操作的木马就无法取得你正确的卡号。这就避免了木马窃取卡号的风险。
有的银行登录密码和取款密码可以设置为不同的密码,如果银行有这样的服务,请一定将取款密码与查询/登录密码设为不同密码,这样即使查询/登录密码泄漏,也不会影响资金安全。
我们在输入密码时先输入一次错误密码,不仅防止木马记录键盘操作,更可以防止克隆网站情况的发生。一些克隆网站常常会给出“系统忙”、“服务器出错”等信息,假网站的面目就会暴露。
应该指出的是:如果我们使用正确密码登录经常出错,无论什么原因,都应该立刻修改密码。
安装使用“反钓鱼专家”
由于“网络钓鱼”的网络诈骗手段另万人痛恨,因此,制止和反击网络钓鱼的软件和工具应运而生。雅虎中国于5月20日正式免费推出了“反钓鱼专家”下载版本,就是一个可以智能分辨真假银行网址,让用户放心使用网络银行的反击网络钓鱼、为网民提供网上安全交易环境的一款安全服务软件。
下图“反钓鱼专家”的三个不同颜色的提示灯的页面。
采用动态口令密码技术:用刮刮卡输入密码
中国建设银行首推了动态口令密码技术。用刮刮卡输入密码。每张刮刮卡覆盖45个不同的密码。客户在登陆网上银行后,需要输入交易密码时,只要按顺序输入刮刮卡上的密码就行了。
这种动态口令技术在欧洲已有6年多的应用时间,在网上银行发达的北欧十分普及。动态口令是一种动态密码技术。就是客户使用不同的一次性密码,进行身份认证和交易确认。而且每个密码只可以使用一次。不容易被网络骗子发现规律和进行破解。
目前,该项技术已经在辽宁、宁波、浙江三个分行进行了试点。这三个地区的用户应该掌握这种刮刮卡的使用技巧。并且应该注意保管好自已的“刮刮卡”。
采用规范性安全操作方法
防范网络钓鱼等网络欺诈的发生,除了采取多种防范技术和防范措施,还需要采用规范性的、或适应性的具有防范作用的网络操作方法。
·使用软键盘输入密码
在网上银行登录页面输入账户和密码时,最好使用软键盘来实现。现在,有些网上银行比如“中国建设银行”就内置了软键盘。这时,你就可以通过输入法上的软键盘来辅助输入密码。通过软键盘输入密码,可以有效地防止那些通过记录键盘击键记录来达到盗取密码的恶意程序。保护了我们的隐私。
·使用收藏夹避免误入假网站
网络骗子在进行“网络钓鱼”时,就要通过制造形似而实非的假网站,使人们陷入假银行网站的陷阱。针对这种情况,我们在正确登录网上银行后,就可以单击IE浏览器中的“收藏夹→添加到收藏夹”将网上银行网站添加到收藏夹中,下次你就可以直接从收藏夹中调出网上银行页面了。这就防止了误入假网站的陷阱。这是一种简单,有效的对付假网站的办法。
·清除登录网上银行的痕迹
我们在登录网上银行退出后,要将登录网上银行的历史记录清除掉。以避免木马程序跟踪我们的登陆情况,获取我们网上银行的相关信息。
其清除的方法有两种
·其一是使用IE自身的清除功能进行清除。
·其二是利用“上网助手”有选择的清除上网记录。
总之,只要你增强网上风险意识,做到精心操作,规范使用中的操作方法,就能战胜和排除各种网络骗子的干扰,安全的使用网上银行。