一、 瀏覽器后面的罪惡—— 釣魚網(wǎng)站與欺詐網(wǎng)站的巨大危害

目前，全球經(jīng)濟形勢嚴峻，導(dǎo)致惡意線上活動變本加厲，網(wǎng)絡(luò)犯罪者活動日益猖獗，新型網(wǎng)絡(luò)釣魚犯罪綜合了間諜木馬、詐騙、偽裝等多種手段，造成的經(jīng)濟損失遠遠超過以往單純的網(wǎng)絡(luò)攻擊，釣魚網(wǎng)站利用惡意軟件竊取密碼及其他敏感資料的活動直線上升，金融服務(wù)業(yè)、拍賣網(wǎng)站與付款服務(wù)都成為網(wǎng)絡(luò)釣魚攻擊的主要目標。

據(jù)國內(nèi)相關(guān)部門統(tǒng)計，國內(nèi)8成以上網(wǎng)民對于網(wǎng)上提供個人信息的安全性存在不同程度的擔憂，文件丟失、計算機癱瘓、網(wǎng)銀賬號被盜、信息資料被竊是當前網(wǎng)民最為擔心的四大安全隱患，近1/4的網(wǎng)民非常擔心個人信息安全，從不在網(wǎng)上填寫個人相關(guān)資料。這就是說，釣魚網(wǎng)站除了給網(wǎng)民帶來經(jīng)濟損失，給企業(yè)帶來品牌形象損傷外，最重要的是，使得大批網(wǎng)民對互聯(lián)網(wǎng)不信任，導(dǎo)致網(wǎng)民減少甚至避免使用某些網(wǎng)絡(luò)應(yīng)用，從而阻礙了我國互聯(lián)網(wǎng)的健康發(fā)展。

僅以“全國列車時刻表查詢（http://www.touba.cn）”這個假冒網(wǎng)站為例，近期該網(wǎng)站就侵襲了將近34萬網(wǎng)民。全球“釣魚”案件自2005年始，正在以每年高于200%的速度增長，受騙用戶高達5%。而在近日查到的釣魚網(wǎng)站中，淘寶、騰訊、百度等知名網(wǎng)站都曾被仿冒，屬于“重災(zāi)區(qū)”。

更值得注意的是，這些從事詐騙的非法釣魚網(wǎng)站存活時間較短，通常僅維持一周甚至幾天，最長也僅為一個月。此外，欺詐類非法網(wǎng)站通常“打一槍換一個地方”，頻繁開設(shè)新網(wǎng)站，給打擊非法網(wǎng)站、事后監(jiān)管帶來較大的難度。較低的破案率，讓欺詐釣魚網(wǎng)站實施詐騙更加變本加厲。

二、 欺詐網(wǎng)站其實就在我們身邊—— 細數(shù)釣魚網(wǎng)站的犯罪手段

綜合分析了大量釣魚網(wǎng)站后發(fā)現(xiàn)，欺詐釣魚網(wǎng)站具有一定的規(guī)律性，往往與社會熱點緊密結(jié)合。比如股市火爆時，假冒券商網(wǎng)站就會集中暴發(fā);高校招生階段，假冒高校網(wǎng)站就會異常增多;春運時，假冒車票交易、查詢網(wǎng)就會分外活躍。網(wǎng)民登錄釣魚網(wǎng)站，則有可能被不法分子竊取銀行賬戶、密碼等個人私密信息;網(wǎng)民在釣魚網(wǎng)站可能進行網(wǎng)上交易，交納會員費、學(xué)費、中獎手續(xù)費等，因而蒙受經(jīng)濟損失。

網(wǎng)絡(luò)安全專家介紹說，每當大型節(jié)日臨近，網(wǎng)民們會加大對網(wǎng)絡(luò)的使用量，如通過互聯(lián)網(wǎng)查詢列車車次和票價、查找自己感興趣的網(wǎng)游外掛等。同時，假日前后也是網(wǎng)上購物高峰期，各種各樣的網(wǎng)絡(luò)欺詐釣魚網(wǎng)站會通過論壇、貼吧和即時聊天工具等發(fā)送虛假中獎、打折、贈送信息，用戶一旦點擊該鏈接即刻中毒，網(wǎng)上銀行帳號、密碼隨時面臨被盜危險。

相對于其他欺詐方式，釣魚網(wǎng)站詐騙的成本和技術(shù)門檻相對較低，不法分子甚至不需要是技術(shù)一流的黑客，只要從網(wǎng)上花10元到數(shù)百元，即可輕松買到不同功能的釣魚網(wǎng)站和工具，實施犯罪活動。

不僅如此，部分釣魚網(wǎng)站還利用欺騙性的電子郵件和偽造的 Web 站點來進行網(wǎng)絡(luò)詐騙活動，詐騙者通常會將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信品牌，騙取用戶私人信息。在這些帶有欺騙性的電子郵件中，內(nèi)容通常會以“系統(tǒng)升級”為由，稱“如果不及時更新個人信息，個人賬戶將被終止”，后面附帶有一個網(wǎng)址鏈接。一旦打開這個鏈接進入該網(wǎng)站，網(wǎng)民往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內(nèi)容。

三、 欺詐釣魚網(wǎng)站的利益鏈條—— 如出一轍的誘人騙局

欺詐釣魚站獲利的大致流程如下

(一)、 制作釣魚網(wǎng)站

直接復(fù)制釣魚攻擊的目標網(wǎng)站頁面。目前，支付寶、財付通等第三方支付平臺以及網(wǎng)銀支付平臺及購物平臺等是模仿重點對象。

(二)、 散布誘惑信息 誘使在釣魚網(wǎng)站上提交信息

散布誘惑你輸入個人隱私信息以及其它重要帳號和密碼重要信息的頁面。

(三)、 記錄隱私信息

后臺數(shù)據(jù)庫將記錄你的帳號和密碼。

(四)、 盜取利用數(shù)據(jù)

竊取賬戶資金或利用賬戶中的隱私信息從事一些犯罪活動。

四、 治本之道—— 如何從根本上解決釣魚網(wǎng)站和欺詐網(wǎng)站

目前“釣魚網(wǎng)站”已成為互聯(lián)網(wǎng)安全最大的隱患，嚴重阻礙電子商務(wù)、在線金融業(yè)務(wù)的正常發(fā)展。特別是2008年9月以來，金融海嘯在全球蔓延，許多不法分子趁機制造釣魚網(wǎng)站非法牟利，上升為國際性問題，企業(yè)為應(yīng)付釣魚網(wǎng)站付出了大量的精力和成本。這時，如何有效遏制釣魚網(wǎng)站，降低處理成本，眾企業(yè)可謂“傷盡腦筋”

今年中央電視臺“3?15”晚會的重要話題之一是保護人們網(wǎng)上隱私的安全。這一話題非常引人關(guān)注，它提醒人們，在日常上網(wǎng)的過程中，盡量注意不要讓個人隱私在網(wǎng)上暴露；同時，也對ICP或電子商務(wù)網(wǎng)站，如網(wǎng)上銀行、網(wǎng)上證券、網(wǎng)上購物等網(wǎng)站提出了新的要求：網(wǎng)站能否采取有效的技術(shù)措施，一方面證明自己的網(wǎng)站是真實而非假冒的，另一方面保護用戶信息傳輸?shù)陌踩?/P>

從目前的技術(shù)來看， SSL證書作為成熟的國際標準，是目前證明網(wǎng)站的真實性、保護用戶隱私信息安全的唯一有效的技術(shù)手段。

互聯(lián)網(wǎng)所使用的 IP 技術(shù)是明文傳輸信息，這樣，如果您在網(wǎng)站上提交的所有機密信息不采用加密措施的話，其他人很可能能看到，因為從您的電腦到網(wǎng)站服務(wù)器要經(jīng)過許多路徑，許多人能接觸到這些路徑，有可能非法截獲甚至篡改您的機密信息，比如銀行卡信息等。

由于SSL證書能高效地加密網(wǎng)上的信息，并能對網(wǎng)站的身份進行驗證，所以，自推出以來就在歐美地區(qū)獲得了大量部署。再加上，歐美各國有相應(yīng)的個人隱私保護法律法規(guī)，幾乎100%的美國政府、電子商務(wù)等網(wǎng)站，凡需要用戶登錄的地方，都部署了 SSL證書。

反觀我國，SSL證書的應(yīng)用情況卻糟糕得多，我國各種電子政務(wù)、電子商務(wù)、企業(yè)網(wǎng)站，絕大多數(shù)都沒有部署SSL證書，也就是說，網(wǎng)站根本沒有采取最基本的安全技術(shù)手段對網(wǎng)民的機密信息，如個人手機號碼、家庭地址等進行加密，其中重要的原因之一是中國相關(guān)法律的嚴重缺失。中國有關(guān)部門必須盡快立法來保護廣大網(wǎng)民的網(wǎng)絡(luò)隱私權(quán)。

假銀行網(wǎng)站更是將不少消費者們騙得團團轉(zhuǎn)，但在專家看來，這些黑客其實只是耍了三腳貓的伎倆。

實際上假網(wǎng)站這種欺騙手段十分低級，出現(xiàn)這類事件的主要原因是用戶對于網(wǎng)上銀行的正確使用還不是特別了解，對于網(wǎng)上銀行的安全沒有足夠的防范意識，缺少對于SSL等安全技術(shù)的認知。如果客戶能夠正確使用，提高安全意識，類似假網(wǎng)站騙錢的事件完全可以避免。

五、 SSL證書全線阻擊

SSL證書作為最為有效地安全技術(shù)，網(wǎng)站部署后，網(wǎng)民究竟如何通過數(shù)字證書識別欺詐釣魚網(wǎng)站？
網(wǎng)站通過部署SSL證書，瀏覽器需經(jīng)過以下5個方面的檢查后，才會在頁面瀏覽器頁面顯示安全鎖標志，同時地址欄出現(xiàn)“https”字樣，提示頁面完成了SSL證書安全加密。

第一，檢查SSL 證書是否是由瀏覽器中“受信任的根證書頒發(fā)機構(gòu)”頒發(fā)？

如果不是，則瀏覽器會有安全警告，為 IE7 瀏覽器的警告信息為“此網(wǎng)站出具的安全證書不是受信任的證書頒發(fā)機構(gòu)頒發(fā)的，安全證書問題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)，建議關(guān)閉此網(wǎng)頁，并且不要繼續(xù)瀏覽該網(wǎng)站?！盜E6瀏覽器會提示 “該安全證書由您沒有選定信任的公司頒發(fā)”。

第二，檢查SSL證書中的證書吊銷列表，檢查證書是否被證書頒發(fā)機構(gòu)吊銷？

如果已經(jīng)被吊銷，則會顯示警告信息：“此組織的證書已被吊銷。安全證書問題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁，并且不要繼續(xù)瀏覽該網(wǎng)站。”

第三，檢查此SSL證書是否過期？

如果證書已經(jīng)過了有效期，則會顯示警告信息：“此網(wǎng)站出具的安全證書已過期或還未生效。安全證書問題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁，并且不要繼續(xù)瀏覽該網(wǎng)站?！?/P>

第四，檢查部署此SSL證書的網(wǎng)站的域名是否與證書中的域名一致？

如果不一致，則瀏覽器也會顯示警告信息：“此網(wǎng)站出具的安全證書是為其他網(wǎng)站地址頒發(fā)的。安全證書問題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁，并且不要繼續(xù)瀏覽該網(wǎng)站。”

第五，IE7瀏覽器會到欺詐網(wǎng)站數(shù)據(jù)庫查詢此網(wǎng)站是否已經(jīng)被列入欺詐網(wǎng)站黑名單？

如果是，則會顯示：“IE已發(fā)現(xiàn)一個已報告的仿冒網(wǎng)站。仿冒網(wǎng)站假冒其他網(wǎng)站并試圖欺騙您泄漏個人信息或財務(wù)信息。建議關(guān)閉此網(wǎng)頁，并且不要繼續(xù)瀏覽該網(wǎng)站。

除此之外，網(wǎng)民還可以注意網(wǎng)站的一些特殊站點標志，例如國際著名SSL證書品牌VeriSign還為部署SSL證書的網(wǎng)站提供了VeriSign站點簽章標志，通過點擊該標志可以查看網(wǎng)站的身份信息。目前VeriSign 站點簽章標志（VeriSign Secured? Seal），擁有龐大的用戶群，每天的瀏覽人次數(shù)超過1.5億次。

六、 假網(wǎng)站一目了然，教你幾招防身術(shù)—— EV SSL 成為未來網(wǎng)站安全的新趨勢

網(wǎng)站在部署了 SSL 證書后，除了可以顯示“鎖”標記，地址欄“https”字樣，“動態(tài)站點簽章標志”，是否有更為簡單的判斷方式？

當然有，目前SSL證書領(lǐng)域的大哥大EVSSL證書就有這樣的本事。EV SSL是一種新的安全證書。可以讓消費者更加輕松地辨識網(wǎng)站真?zhèn)?。部署了高端VeriSign EV SSL證書的網(wǎng)站地址欄會自動變成綠色，地址欄上滾動出現(xiàn)網(wǎng)站身份信息及數(shù)字證書頒發(fā)機構(gòu)的名稱，提示網(wǎng)站經(jīng)過了高級別身份驗證。

而對于釣魚站點，紅色地址欄將自動進行提示網(wǎng)民注意自身安全。在國內(nèi)，EVSSL技術(shù)實際已經(jīng)在我們身邊，VeriSign EV SSL證書已通過其官方合作伙伴天威誠信數(shù)字認證中心開始頒發(fā)，目前招商銀行、工商銀行、中信銀行等銀行網(wǎng)站已先后換裝國際領(lǐng)先的EV SSL證書。如果你想親自嘗試，不妨登錄這些網(wǎng)站看看自己的地址欄是否也變成綠色。

（圖：招商銀行綠色地址欄）

（圖：欺詐釣魚網(wǎng)站，難逃火眼）