网银升级钓鱼诈骗 网络安全亟待法制支持

    近年来，随着网上支付的快速发展，越来越多的人选择网银这种快捷支付方式，但随之而来的是危机重重，一些不法犯罪分子从中牟利。近日，一种新型银行诈骗方式横空出世，骗子冒充银行，短信通知客户“网银升级”，提示客户登录提供的网站地址进行银行卡在线升级，将客户骗到“克隆”的银行网站后，套取账户密码，盗取资金。

    “网银升级”诈骗案频发

    前不久，张女士和往常一样坐在办公电脑前处理公事。突然，她收到一条短信，内容为“您的网银需要升级，请按以下网址进行操作……”。张女士确实在该银行办理了网银服务，她当即按照短信里的网址登录网站，按网页上的提示，张女士仅仅用几分钟便完成了“升级”操作，在升级过程中，程序曾短暂提示她输入账号和密码。几分钟后，她账上的10万余元被转入另外一个陌生的账户。

    这样的“网银升级”诈骗的案例举不胜举。无论是收到所谓的银行短信或是邮件，其目的只有一个，就是诱骗网银用户登录克隆的银行网站，套取账号、密码。据了解，目前，这类“网银升级”诈骗案频发，各大银行也提出了“预警”：网银用户被犯罪分子诈骗走钱财，主要是防范意识不强和网上操作的不规范。大部分“钓鱼”网站的网址同银行官网的网址极为相似，往往只差一个字母。因此，面对日益严峻的网络安全形势和不法分子花样翻新的诈骗手段，依靠各相关部门加强安全防控措施的同时，网友也要提高安全防范意识，养成良好的网银使用习惯，保护好自己网银账户和密码等个人信息，不要轻易泄露。

    网络安全“李鬼”搅局

    每一次的小长假都是钓鱼网站诈骗高发时期。拦截数据显示，4月第二周国内新增钓鱼网站30378家，较上周增长35%。这些不法分子借网购热潮兴起了无本万利的“生意”。

    许多假机票钓鱼网站纷纷打起旅游爱好者的主意。据最近一周的拦截数据，假冒携程网等大型旅游门户网站的钓鱼网站就多达近千家。据了解，这些钓鱼网站的页面做得几乎可以以假乱真，相同的网站主题配色，相同的标志、栏目类别、产品介绍、近似的页面规划等。但仔细对比，还是能发现许多漏洞。因此，用户进入此类网站，一定要仔细研查，最好是通过网络安全软件加以防护更为妥当。

    此外，很多网友假期选择宅在家里看电影，许多不法分子抓住这个特点，制造出了大量电影在线观看、下载挂马及钓鱼网站，盗取用户网络账号甚至直接骗钱。许多仍在热映的电影却出现在了一些“××电影”的网站中供给网友在线观看或下载，但不少网友在进入该网站后，电脑就开始变得非常卡，QQ号等也莫名被盗，实际上这些都是暗藏木马病毒的挂马网站。

    这两年，钓鱼网站出现了快速增长的势头。据数据显示，2012年新增钓鱼网站87.3万，比2011年增加了74%。钓鱼网站已成为用户上网浏览安全的首要危害，而以“内容欺诈”为主要特征的钓鱼网站的攻击更是让普通网民防不胜防，包括家电维修、旅游网站以及一些知名网站的官网。不法分子通过设置一个表面看上去很正规的网站，比如假招聘网站、假兼职网站等，暗地里却干骗人的勾当，这种内容欺诈方式很难通过技术手段防范。

    亟待补齐相关法律

    由于国内的网络经济起步较晚，相关的法律、制度都需要逐步建立和健全。网络经济近几年发展神速，但相关法律却依旧不能出台。网民安全意识薄弱与相关法律法规的缺失不无关系。事实上，相关法律法规的制定及完善，一方面能制约不法分子的违法行为，也能警示网民对这类钓鱼网站进行防范。虽国家在1996年就开始颁布实施一系列有关计算机及国际互联网络的法规、部门规章或条例，时隔多年，其中的不少规定已过时，留下来的大多只是一个可有可无的框架。网络经济如网银得不到法律的保驾护航，其发展难免受到限制。

    此外，我国针对网络犯罪公安机关的技术侦察机制还不够完善。目前国内公安队伍“专业性”不够，这给技术侦察力度带来很大制约。某“网络警察”表示，因为国内的技术侦察手段、流程等尚需完善，公开案件之后不利于公安机关以后侦破工作的展开，所以公安局纪律规定对于不管侦破与否的相关案件一律不对外公开。但是，大量案件如果不公开，在一定意义上对社会就起不到有效的警示作用，也无法给公民以事实的网络安全教育。

    网上“李鬼”层出不穷，亟需政府、银行等各机构出台更多有效的措施净化网络环境。

    拓展阅读：关于社交网络里的高级钓鱼攻击

    前段时间一直在写工具党、大数据黑客相关的科普文，今天开始换点口味好了，来看看前端攻击里一些“惊悚”的攻击方式。

    今天只说高级钓鱼

    如果深刻知道这种钓鱼攻击的人，估计以后会谈鱼色变，这次我不科普太多文字，只简单说下这种在大众面前几乎一片空白的攻击方式，所以看完本篇文字，很多人还会继续得瑟：“反正我不会中招”，深入的讲解我一般都放在一些内部的安全培训上了，如果有时间计划整出一篇paper出来，一定很精彩。

    大家想想，在社交网络里(weibo也算，具有社交属性的都算)，我们对很多专属于这个社交网络的风格元素是不是习以为常了，比如漂亮的登录页面、设置页面、修改密码页面、弹出层、聊天框、发消息界面等等，天天见，天天用，对这样的风格习以为常了，哪天出现一个风格类似的新功能(比如提示“密码异常，修改密码”的弹出层)，也不会怀疑，还以为是新增的友好功能……

    这些对于JavaScript来说都是可以伪造的啊，而且可以超级YD的伪造，代码量也不用多少，为什么呢?这得感谢那些伟大的前端工程师，他们封装了很多超级方便的接口:)

    只要一个XSS(跨站脚本攻击)，就可以引入任意JavaScript代码，鬼魂一般，伪造了一个看起来真的假界面，钓到了想要的关键数据，目的就达到了。其实在真实的高级攻击里，如果能不钓就不钓，多了交互就多了攻击复杂度，一段JavaScript也许通过一些Hacking技巧就能拿到如明文密码、隐私资料等数据，只要一招。

    在社交网络里，用户体验好作为第一要素，对于攻击者来说，攻击也会讲究用户体验好，哪怕没有XSS，也可以完成攻击，想想，如何伪装界面?只是利用XSS的攻击更加原汁原味(我常说的原生态攻击方式)。

    原生态除了UI可以利用原生，还有相关的JS库接口，比如针对weibo.com的一个小玩笑，大家可以用Chrome浏览器登录自己的微博，然后按f12打开“开发者工具”，在Console中，复制上如下代码，回车执行：

    STK.core.io.ajax({method:’POST’,url:’/aj/message/add’,args:{text:document.cookie.substr(0,300),screen_name:’%E4%BD%99%E5%BC%A6′}})

    如此简洁的代码，攻击者要是利用起来该有多方便:D

    钓鱼无非就是欺骗，在社交网络里利用XSS进行的高级钓鱼攻击真的让人防不胜防，这种攻击我很早就提出，我感觉已经在逐渐流行了，这就是为什么这两年经常有人提到的“美工黑客”，恩，黑客为了生存，开始更猥琐了，开始接触美工了，美工的目的就是视觉欺骗。

    最后：多一分警惕，少一次泄密……（浪涛网）