网络钓鱼(Phishing)
目录 |
网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客开始以电话为作案工具,所以用“Ph”来取代“Fishing”中“F”,创造了“Phishing”一词。
网络钓鱼通常是指那些利用欺骗性的电子邮件和经过伪装的银行和电子商务站点来进行诈骗活动,诱骗网民提供一些个人重要信息,如银行账号、密码等,并利用这些获取不正当利益的行为。[1]
利用钓鱼网站骗取网民银行卡或信用卡账号、密码等私人资料的行为,在侵害了网民利益的同时,也触犯了我国相关的法律法规,这些法律包括《民法通则》、《刑法》等。比如:钓鱼网站如果是以盗取银行卡或信用卡账号、密码为目的,对于普通网民来说,钓鱼网站侵犯了网民的财产权;如果网民基于钓鱼网站的欺骗行为处分了自己的财产,钓鱼网站的设立者或使用者又因此获得财产,从而使网民的财产受到损害,当非法获得的财产达到一定数额或欺诈的情节严重时,就构成了诈骗罪;另外,对于钓鱼网站所模仿的正规公司或企业而言,钓鱼网站不仅仅影响了正规公司企业的运营,还对这些企业公司的声誉造成负面影响;更有一些钓鱼网站收集网民的身份信息等等,公民身份信息泄露,对社会的和谐稳定也造成一定程度的隐患。
我国1997年《刑法》设置的与计算机或网络直接有关的犯罪分别是第二百八十五条、二百八十六条、二百八十七条。《刑法修正案(七)》通过后,将本罪的犯罪对象扩大到几乎所有的计算机信息系统,如果情节严重的,均可构成非法侵入计算机信息系统罪。然而,根据《刑法修正案(七)》,行为人如果侵入的是国家事务、国防建设、尖端科学技术系统以外的计算机信息系统,需要达到情节严重的程度才能构成非法侵入计算机信息系统罪,而对那些还没有造成危害后果或者刚刚着手实施钓鱼行为以及其他的一些情节不是很严重的行为,则无力规制。可是,这与“网络钓鱼”本身极具有社会危害性,需要进行《刑法》的规制是不相适应的。由以上分析可以看出,非法侵入计算机信息系统罪是不能规制当前的“网络钓鱼”行为的。
我国《刑法》第二百八十六条规制的是违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行??后果严重的行为。“网络钓鱼”行为中的一种表现形式,即利用木马和黑客技术等手段窃取用户信息的行为,“网络钓鱼”中的此类行为在一定程度上综合了该罪的客观方面,似乎可以此罪来定罪处罚。然而,该罪的三款都要求“后果严重”才能人罪,钓鱼者只窃取了某个人的个人资料或身份信息,很难认定为“后果严重”,因为这里缺乏一个量化标准。
尽管我国刑法中直接规定的与计算机和网络有关的犯罪不能直接规制目前出现的诈取他人身份信息和密码的行为,但有一种特殊的身份信息却因为我国刑法的专门规定可以得到保护,即信用卡资料。如果钓鱼者窃取网络用户信用卡的账号、密码等信息资料,就构成了《刑法》第一百七十七条之一规定的妨害信用卡管理罪。钓鱼者的另外一种行为也可能受到我国现有刑法的规制,即伪造网站时,同时伪造或擅自制造了他人注册商标标识的行为,如果达到情节严重的程度,就构成了《刑法》第二百一十五条规定的非法制造注册商标标识罪。根据以上分析可以看出,我国目前刑法基本上不适应规制当前愈演愈烈的网络钓鱼行为的需要。
1.欺骗性。钓鱼者利用自建站点模仿被钓网站,并结合含有近似域名的网址来加强真实程度。更有甚者会先侵入一台服务器,在服务器上不断重复地做相同的事情,让自己可以更好地脱身,逃避追踪以及调查。1-2
3.针对性。通常与钓鱼者紧密相关的都是一些银行、商业机构等的网站,随着互联网的飞速发展,电子商务、网上购物已经成为与网民息息相关的服务。庞大的网络资金流动,带来了很多的新兴行业,也带来了潜在的安全隐患。
3.多样性。网络钓鱼是一种针对人性弱点的攻击手法,钓鱼者不会千篇一律地去进行攻击,不管是网络还是现实中到处都存在钓鱼式攻击的影子。钓鱼者不会局限于常用的伪造网站、虚假邮件等手法,而是会结合更多的便民服务,以容易接受的形式去诱骗被钓者。从而在更短的时间内获得更好的效果。
4.可识别性。网络钓鱼并不是无懈可击,更不是没有一点破绽。从钓鱼者的角度出发,钓鱼者本身会利用最少的资源去构造自己的钓鱼网站,因为无法去利用真实网站独有的一些资源(如域名、U盾、数字验证等)。因此,在伪造网站方面。会利用近似或者类似的方法来进行欺骗,通常我们可以查看伪造网站,根据经验去识别其真实性。
1.通过发送邮件,以虚假的信息诱使网民上当。不法分子利用邮件的形式大量的发送垃圾邮件,这些邮件一般以中奖、咨询、核实等内容来引诱网民在邮件中填写账号和密码,或是以各种理由要求网民登陆其事先设计好的钓鱼网站提交用户名、密码、账号、身份证号等信息,继而盗取网民资金。例如,某小姐收到的“淘宝网”邮件,其实是钓鱼网站发出的诱饵,它意图通过钓鱼邮件,将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,以获取收信人在此网站上输入的个人敏感信息,进而利用这些敏感信息套取财物。
2.利用大型网站发布虚假的信息进行诈骗。此类犯罪活动一般是利用大型的电子商务网站或者比较知名的购物网站上发布虚假的商品销售信息,犯罪分子在收到被骗人的汇款后就销声匿迹。比如前几年,罪犯佘某建立了奇特器材网,发布出售一些虚假信息,诱骗顾客将货款汇入自己银行账户,然后转移赃款的案件。
3.建立假冒的网上银行、网上证券网站来窃取用户账号和密码。犯罪分子建立起域名和网页内容都与真正的网上银行、网上证券网站非常相似的网站,引诱用户输入账号和密码,进而通过真正的网上银行、网上证券系统来盗取资金。
4.利用木马和黑客技术手段窃取用户账号信息后实施盗取活动。犯罪分子利用发送电子邮件或者网站中隐藏木马等方式来传播木马程序,当有网民感染木马后进行网上交易,木马程序会以键盘记录的方式获取到用户账户和密码。
1.仿制钓鱼网页
网络钓鱼者根据正常的官方网站网页的模样,利用网页制作工具软件进行仿制或利用网站导人来获取网页素材,即使有些内容无法获取到也无关要紧,大多数人都不会清楚地记得被冒仿的网页上都有哪些内容。钓鱼者将仿制好的网页挂靠到一个或多个可公开访问的网站服务器上,这样网络用户就可以通过Internet访问这个页面,这样一个钓鱼网站就制作完成。
2.利用数据库后台技术
网络钓鱼网站的最终结果是要收集骗取上网者的个人账户信息,因此如何捕获收集用户在网页上输人的信息是关键。在获取到网页信息后,钓鱼者会对网页代码根据自我需求性进行相应改变,而且钓鱼者不需像正常网页那样做合法性的反馈校验等那些过程,只是将用户的录入直接传送到特定的后台的数据库或文本文件中,也可以利用特定代码程序将用户输入的内容通过电子邮件发送到钓鱼者的电子信箱中。MySQL和Access数据库编程简单且易维护,是钓鱼者们常用的后台方式,也有钓鱼者利用NOS的漏洞,把制作或订购的木马病毒代码植入到用户计算机中,当用户上网时,将用户输入的隐私信息保存记录下来,或直接发送给钓鱼者。
1.政府有关部门应当依靠技术手段,以技术治网。工信部、公安部等打击“钓鱼网站”的相关部门应建立与“中国反钓鱼网站联盟”的互动对接和信息共享机制。实现官方“打钓”与非官方“打钓”的优势互补,达到快速、及时的效果。鼓励更多电子商务或金融支付网站加入“中国反钓鱼网站联盟”。对加入网站来说也可以提高其安全性,避免钓鱼网站“冒名顶替”,给自身的信誉造成伤害。
2.应该规定网络钓鱼罪。建议以利用身份识别信息实施违法或犯罪行为为目的,故意利用仿冒的电子邮件信息、网页、网络站点或者其他网络技术手段欺诈性地获取网络用户的身份识别信息,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。从打击“网络钓鱼”的角度来说,此种规定当然是可取的。因为,当每一种违法犯罪行为出现时,我们都有理由在刑法中规定一种犯罪,但是,从长远来看,大量新罪的增加会造成对现行刑法体系和结构的冲击。因此,在增设新罪时一定要考虑到这个问题,既要保持现行刑法结构体系的稳定性,又要将一些新出现的犯罪行为纳入到自己的规制之下。
3.完善网络法律法规并应大力宣传有关互联网方面的法律法规,培养网民的法制观念,提高防范意识。提倡规范办网、文明用网,不给钓鱼网站的建立制造便利。作为普通网民,在受钓鱼网站欺骗后要第一时间报警,任何高明的手段,都会留下蛛丝马迹,及早报案,是保护自己权益的最好手段。
1.从网络钓鱼途径预防钓鱼者
引导、诱骗上网用户访问接触钓鱼网站的方法有很多,其中常见的方法有:通过QQ、MSN、Email、微博、论坛、社交网站、博客、等方式发送大量有诱惑性的信息,如促销、打折、抢购、优惠、高回报投资、抽奖、彩票、或交友网站上的异性吸引交往等;进行有目的人侵网站,并非法修改官方网站的相关内容,将其内容链接到钓鱼网站;还有利用网页弹出功能或滚动跳跃窗口等方法来发布虚假公告或其他诱惑信息;最后还有通过在知名门户网站以及搜索引擎中投放广告等手段吸引用户点击进入钓鱼网站。
2.培养分辨真假网站的能力
钓鱼者利用伪装成的合法信息或公告,来迷惑用户的判断。例如,钓鱼者发送电子邮件时会对邮件地址做一定程度的伪装,特别是如果一些用户的电子邮箱或即时通讯工具被人侵,钓鱼者会直接给地址薄或好友列表中的用户发送钓鱼信息,这样接收者就更不会怀疑发送来源和发送内容的有害性。最常见的方式就是对URL进行伪装,这些伪装具有足够的迷惑性,用户上网不细心的话时很难辨出真伪。
3.提高安全意识是防范的关键
大多网民在提交个人信息时,虽然对信息安全问题存在顾虑,但为了获取免费服务、免费产品,或者为了认识更多的朋友,仍还是会在网上填写个人的真实信息。用户对个人信息保护的重视不够,安全意识淡薄,为非法网站的不法行为提供了便利条件。钓鱼网站从代码级别上看也是正常网页,因此电脑上安装的安全防毒软件也不一定会对这类网站做到百分百的防范。
1.建立反钓鱼URL数据库
目前主流的PC安全软件都含有防网络钓鱼的功能。从前面表述的技术细节可以知道,钓鱼网站的URL地址都是特定设置的,所以需要建立反钓鱼网站的URL数据库,即把钓鱼网站可能出现的网站地址和在已有的反钓鱼数据库中的地址相互比判,如果出现和数据库中的官网地址不一样的情况,应该立即停止或者给用户发出警告,以避免上钩受骗。当然上网用户若得知或疑惑自己访问了此类网站,便可使用举报方式告知安全软件防护厂商,把经过分析并确认后的钓鱼网站地址经过软件控制自动送人反钓鱼数据库。还有的安全厂商建立有自己的搜索引擎,通过搜索引擎不间断地抓取疑似网页内容,智能化的分析判断是否为钓鱼网站,并据此建立扩充自己的反钓鱼地址服务器库。这种方法的缺点是需要经常升级更新反钓鱼数据库,原因是每天都会出现更多的新网站,因此这种方式无法防护最新的钓鱼网站。
2.网页实时防护
它是一种先进的网页防护技术,能对用户所访问的网站对象进行智能的动态的判别。对于任何网页内容,浏览器都可以解析为具体的CSS、JavaScript等程序代码。当然钓鱼网站的网页代码的头标记或其他标记处有其共同的某些特征,在对其代码标记的特征进行解析比较获得一个网站信誉参考值,根据信誉参考值来判别该网页是否为钓鱼网页,还可以把有问题的网站IP地址出现的频率和非法非IP的认可度建立IP认证库,用户所访问的IP地址将在IP认证库中被指定为受信任的、可疑的或是被禁止的。据此告知用户该网站是否存在钓鱼危害。
3.结合云计算策略
近些年发展起来的云技术给网络安全防护带来了新的思路,即所谓的“云安全”。主流的云安全软件都有着一群庞大的用户群。把用户接触到的钓鱼网站智能迅速的整合到云安全数据库中,一并分享给网络用户。网络信息库中可以包含前述的各种技术数据,也可以是它们的组合,构成多维的防护屏障。