美国无孔不入的网络诈骗

滑明达　陈　洁

美国的网络诈骗，可谓无孔不入。对骗子们来说，美国大选就是一个行骗敛财的绝好机会。骗子们每天发送近25万电子邮件，建议收到邮件的人投票支持某一位总统候选人。投票方式是拨打以900开头的电话，在电话中回答是支持布什还是克里。但是拨打一次电话对方会扣除1．99美元的费用。该邮件写道，这次活动得到了美国民主党和共和党总统竞选总部的批准，最后的调查结果将提供给竞选总部参考。并且这种垃圾邮件以著名的lycos．com搜索网站的网络入口为伪装，收到邮件的人通常都不会对它们的真实性产生怀疑。他们万万没有想到邮件的实际来源是捷克境内的一个服务商。这仅是层出不穷的网络欺诈事件中的一例罢了。

美国国家网络安全联盟和美国在线公司今年10月25日联合发布的一项全国性调查报告说，因特网用户在家里上网时远不像他们想象的那么安全，大多数用户没有“防火墙”保护，安装的防病毒软件落后而且受到多个暗藏的盗窃信息软件的侵蚀。其中，各类垃圾邮件和“间谍邮件”成为频频发生的网络欺诈的主要工具。

美国大选中发生的网络骗局其实是日益盛行的网络钓鱼的其中一种形式。网络钓鱼 (phishing)是新出现的针对网络用户的严重的信息威胁。这种犯罪活动主要有两种形式：诱骗和伪造网站。美大选中的网络骗局是典型的诱骗。犯罪分子通常用著名的网络服务商如AOL或eBay的帐号，让用户对电子邮件的真实合法性深信不疑。此外，这类邮件通常打着为某个慈善基金募捐的幌子或如美大选的骗局一样要求用户打电话参加某项调查，让用户在不经意间上当受骗。这类诈骗巧妙就巧妙在它使用户在感到安全的时候不自觉地进入套子。

另一种形式就是伪造网站。犯罪分子使其虚假网站看上去象“花旗银行”或者“ PayPal”的网站，受害者会以为他们在访问过去一直在访问的网站。然后用经过巧妙伪装的电子邮件信息，告诉用户如果不点击邮件信息所提供的超链接地址来提交他们的信用卡等财务信息的话，他们的银行帐号将会被冻结。这样就把用户引导到一些虚假网站并进行个人数据和信息的升级。通过这种方法，罪犯得到了用户的机密材料。其实这些信息被国际黑客组织所利用。许多人的银行存款就因此全消失了。在今年发生在香港的一次“钓鱼事件”中，某家银行至少有12名客户被诱使点击一个假冒该银行站点的超链接地址，并在这个假冒站点上捉供了他们的个人财务信息。这不仅给用户带来了经济损失，还让这家金融企业的声誉蒙受重大损害。这类诈骗活动由于网络世界的特殊性，还很难破获。如2004年，一个罪犯向一名MSN的客户从虚假的电子邮件地址 billing@MSN．com发出一份垃圾邮们，提示该用户点击电子邮件超链接登录一个“安全的网站”并重新输入帐号和用户信息，并发送至MSN。这份电子邮件通过在美国、印度以及澳大利亚的互联网服务商不断跳转，掩盖了其真实的目的地。FBI跟踪这一地址，最后发现，信息并未发到MSN帐号，而是到了位于爱荷华州一个私人邮件地址。

通常，一些虚假的网站在用户浏览器显示时会报网址错误。但是，高明的犯罪会采取其它方式避免这种问题。他们会利用合法的网址，并提供弹出式提示要求用户再次输入信息。在这种情况下，用户很难辨别真假，因为网址都是一样的。罪犯通常利用知名的网站以降低用户的怀疑，要求输入帐号信息的邮件会悄悄地出现，这样用户的疑心就会下降。由此可见，这种网络钓鱼作案手段隐蔽性强，成功率高，这也是网络钓鱼日益猖獗的重要原因。

据美国反网络钓鱼工作组统计，仅2004年6月就发生了1422件网络钓鱼攻击事件，比1月的176件增加了8成。许多这类的攻击往往利用有信誉的零售商和主要的电子商务网站来骗收件人。有专家预计随着这些公司采取防范措施，这些犯罪分子将把目标对准更小的无防范意识的企业。值得注意的是，有一些骗子与病毒编写者合作，试图利用病毒在网络上钓鱼，骗取钱财。如计算机蠕虫“mimail”最新版本就是这类尝试。

网络钓鱼不但被用来盗取受害者的钱财，还被用来实施另一种欺诈——身份盗用。身份盗用(identity theft)是一种犯罪分子用非法手段来窃取和使用别人的个人信息以实施经济欺诈的经济犯罪。通常犯罪分子初用用户的个人资料，如名字、地址、社会安全号码、银行帐户号码、信用卡号码和生辰年月日，冒用用户的身份来申请信贷。以这种方式贷来的信用额，犯罪分子可以尽情挥霍，他可以买他想买的任何东西而不必付钱。通常等到身份被盗用的受害者有所觉察的时候，他的信用已经被损害了，讨债的债权人也纷纷前来追债。虽然从法律上来说，受害者不须为犯罪分子盗用其信用资料所造成的金钱损失负责任。不过受害者的信用受到严重的损害，他往往要花很长的时间和不少的麻烦来证明他是自由化盗用的受害者。虽然身份盗用在前网络时代业已存在，但网络时代的到来使这类欺诈行为更为普遍，更方便得手，而且用户更不易觉察。为了盗用别人的身份，犯罪分子经常使用的伎俩除了网络钓鱼外，最为普通的就是设置在线拍卖陷阱，诱导用户提供个人财务信息密码。罪犯在eBay等网站设置在线拍卖陷阱。他们利用合法的商人帐号引导用户进入看起来十分逼真的网站交费。结果，毫无戒心的用户落得个人财两空，而这些罪犯却得到了他们的信用卡号，不但把卡里的钱挥霍一空，还用来申请新的信用卡号。据美国联邦贸易委员会在2003年的报告中估计，2002年的身份盗用受害人数达千万，占美国人口的4．6％。在损失额方面，消费者为50亿美元，企业及金融机构的损失额超过480亿美元。

垃圾邮件的泛滥也让诈骗分子有机可乘，诈骗的方式也是林林总总，花样繁多。据位于加利福利亚的邮件过滤公司“Postini”统计称，2004年只有12％的邮件是合法，其余的全是垃圾邮件。这些垃圾邮件一部分用于传播各种病毒和蠕虫，另一部分主要是用于欺骗性广告，如兜售特效药，或宣传某种投资计划等。如至今还在网上广为流传的金字塔方案。金字塔方案是一种快速致富的方案。它主要指招募新的合作伙伴，建交多层次的产品销售网络。它声称只要用户先期作一小笔投资，他们就能赚好几千美元。让用户沮丧不已的是，他们从没收到承诺的产品或者预期的回报。这样，犯罪分子通过网络诈骗了数以百万计的梦想一夜致富的人。垃圾邮件中的欺骗性广告也让不少人受骗上当。2000年，就发生了这样一宗诈骗案。一对希望收养孩子的夫妻在一个收养网站进行登记，希望网络能使他们梦想成真。不久后，他们收到一封电子邮件，声称费城有个叫费洛的人能提供帮助。几个星期后，弗洛给他们发来一个传真，是一个名为达科塔的孕妇体检表，说她很希望他们能领养即将出生的孩子。兴奋不已的纳卡伊便按弗洛的叮嘱汇去4500美元，作为8500美元酬金的首期定金。钱汇出不久后，弗洛便音讯全无，而达科塔这个人也根本不存在。实际上，这个自称弗洛的人欺骗了包括他们在内的43个家庭，骗取大量钱财。这个案例也引出了另外一种由于网络诈骗而衍生出的犯罪行为，那就是邮件服务公司的工作人员监守自盗。要发送垃圾邮件，掌握大量的邮件地址足关键。于是在供需要求下，盗卖公司用户邮件地址的案件时有发生。如这几天，美国联邦法院正在审理一起这类案件。美国在线的前员工，24岁的詹森•，斯玛萨斯被控盗取公司9千2百万个电子邮件地址，并把这些地址卖给了垃圾邮件发送者而从中牟利。

这些远远不是网络欺诈行为的全部。随着互联网的飞速发展，网络欺诈形式也会越来越多。正如FBI互联网犯罪起诉中心主任丹•；拉金“我们堵住了这个漏洞，他们又会发现另一个漏洞。每年，网络犯罪使商务电子公司和客户损失数亿美元。”为什么网络犯罪有越演越烈之势呢?因特网的，三个特性导致了它会成为犯罪分子作案的首选工具：第一，匿名性；第二，易变性；第三，交互性。

犯罪分子之所以倾心于互联网是因为它允许使用者匿名访问。人们能在世界任何一个角落登陆互联网，且登陆工具简单到只需要一台电脑和一部“猫”，因此要监测到某个登陆者所处的位置是很困难的。然而即使监测到他所处的位置，也不能说事情得已解决，因为即使那些不太会用互联网的用户也能轻易地掩饰自己的身份或把自己伪装成另外的人，这种情况使事情更为复杂。

犯罪分子如此青睐互联网的另一个原因是它永远处于变化之中。互联网网址不断地出现，又不断地消失。上一次访问的网址在第二次访问时可能完全改变了或者永远消失了。这就意味着一旦网页上的非法内容被发现或者利用网络犯罪的情况被发现，改变网页内容或删除网页仅仅是几秒钟的事。

致使因特网成为犯罪分子首选的犯罪工具的最后一个关键因素是它具有交互性。几乎每个人都能以非常低的费用登陆因特网。其结果是，任何人都可以不受限地上传网页，而且所有内容对整个世界都是开放的。这就意味着任何人都能设计引人入胜的假网页来销售热卖产品，或教人如何快速致富，或卖任何可想象的东西。这些假网页可能被上百万人浏览，而且很有可能有人会对这些假信息信以为真，发出一些本应保密的数据，比如说支票账户或信用卡信息。其结果足犯罪分子带着受害者的信用卡里或支票账户里的钱销声匿迹。

因此在防止这些欺诈行为时，首先要让消费者了解网络的基本特性，树立防范意识，不要在网络上轻易透露自己的个人信息或轻信垃圾邮件的种种谎言。不过有些网络欺诈行为仍可以在消费者难以控制的局面下作案，如企业信息遭受非法入侵、信息负责人的非法行为等。这种情况下，银行与信用卡公司等金融机构也应有所提防。不但在办理业务时要仔细审查杜绝信用卡的错误发行，而且把这些损失真正当作欺诈事件，而不是将这些受害损失作为他们继续开展商业活动的必要“费用”来处理。再次，警方应该更积极地防止网络欺诈、加大执法力度，吏广泛地应用网络来侦破此类案件。最后，政府应发挥其公共管理的作用，积极采取各种措施来防范、打击各种网络犯罪行为：逮捕不法入侵者，进行公众教育推广个人电脑应用防病毒保护措施，告诫用户不要点击可疑邮件中的超链接等。只用这样，才能遏止这汹涌而至的网络欺诈的狂潮。