网络金融钓鱼原理与传播途径分析

云梦泽

当前，网上银行、金融支付系统等经济系统面临的巨大威胁之一就是网络金融钓鱼。有记录的网络钓鱼发生在1996年前后，当时就有黑客利用电子邮件为诱饵，盗用美国在线的账号和密码。金融钓鱼网站往往利用人性的弱点进行攻击，其迷惑手段不拘泥于某种具体表现形式，而是利用别人时常容易接受的方法来实施“钓鱼”。网络钓鱼的攻击者一般通过发送大量貌似来自于可信银行的欺骗性邮件，诱使被攻击者登录一个与银行网站非常类似的钓鱼网站。没有足够警觉性的网络银行用户会无意中被网络钓鱼欺骗，从而使诈骗者获取受害人在钓鱼网站上输入的个人资料、账户敏感信息，以及银行的交易和转账数据。一旦钓鱼诈骗者获取到这些重要数据，他们会非法侵入客户账户，肆无忌惮地继续获取其他敏感信息，最终将受害者账户上的金融财产非法转移到他们控制的账户。从技术原理上看，网络钓鱼并不高深，之所以造成这么大的影响，究其原因主要是利用了人的无知或人性的弱点。

如图1所示，“钓鱼攻击者”会通过研究真实的银行或者购物网站，采取整站复制和代码修改的手段，得到与目标网站相似度极高的副本，然后将这些副本精心制作成虚假网站，并在网络上发布具有迷惑性的网络地址。如利用www.icbc.com.cc来冒充中国工商银行的网站，利用www.cob.com.cn来冒充中国建设银行的网站。这些具有迷惑性的网址具有很高的欺骗性，随后钓鱼者会通过短信、邮件、彩信、病毒等手段将钓鱼网站的地址发送给受害者。受害者一旦访问钓鱼网站，就会在钓鱼者循循善诱下输入敏感的账号、密码和手机验证码等重要信息。最终，钓鱼者通过这些重要信息完成窃取受害者财产的活动。

网络钓鱼具有成本低、技术实现简单灵活的特点，对网上银行、支付系统、网络购物等日常应用产生了巨大威胁。如造成网上银行客户的经济损失，加大了网络金融钓鱼的打击难度，挫败了一般用户对网络支付新体验、电子交易等先进交易方式的使用信心，从而阻止或妨碍了先进生产力代表的应用的迅速发展与普及。

网络金融钓鱼为达成迷惑、欺骗受害者的目的，一般会采取多种信息传播途径。常见的信息传播途径有以下几种：

第一，钓鱼邮件。网络银行客户会收到来自网络钓鱼攻击者伪造的欺诈邮件，这些邮件看似由银行官方发送，内容一般涉及账单错误记录、积分问题、账户密码过期问题、投资理财顾问咨询等，或是以银行账号被冻结、银行系统升级等不真实理由，要求收件人点击邮件上的链接地址进入虚假银行网站。

第二，伪造电子购物网站。不法分子建立一个虚假的电子商务网站，然后在各种论坛、购物网站发布虚假的商品信息，虚假信息中的商品性价比与市场同类商品相比要高出不少。当客户对该网站销售的便宜商品动心，并通过该网站进行支付时，就会链接到一个伪造的银行支付页面，最终陷入钓鱼骗子的圈套。

第三，诈骗短信。目前，不法分子通过使用伪基站短信网关，以银行名义向客户发送诈骗短信，提出客户有即将到期还未兑换的积分、网银支付系统升级或账户法律问题等，要求客户登录短信中提供的网站进行身份验证，而这个网站地址正是不法分子用于套取客户信息的诈骗网站的地址。

第四，病毒传播。攻击者仿照和制作与银行网站非常相似的网页，并使用与银行网址非常接近的网络域名地址，随后通过电脑病毒程序、垃圾软件等将假网站地址发送到受害者的电子终端，或将诈骗网址注册到搜索引擎，以诱骗客户登录，从而窃取客户银行卡号、密码等信息，达到最终骗取受害者账户资金的目的。

另外，网络金融钓鱼还有一些其他的传播途径。如通过脸书、微博中的短链接散布钓鱼网站链接；在相关内容网站、搜索引擎投放付费网络广告，吸引用户链接钓鱼网站；通过电子邮件、论坛、博客等网站批量发布钓鱼网站链接；通过Skype、飞信等即时通讯工具发送传播钓鱼网站链接；伪装成用户输入网址时易发生的错误，一旦受害者不小心输入错误，就会误入钓鱼网站。

熟悉这些常见的钓鱼网站的传播途径与传播手法，可以较好地帮助网络银行客户发现与规避潜在的钓鱼攻击，从而避免落入圈套，遭受经济损失。

（作者系北京市中国人民大学附属中学高二年级学生）endprint