近来,有人假冒中国工商银行或银联的名义,
“网络钓鱼(Phishing)”作为一种网络诈骗手段,算不上新鲜事物,而且没有太多技术 含量,主要是利用人们的心理来实现诈骗。
尽管在安全技术人员眼里“网络钓鱼”只是小菜一碟。但在最近几年中“网络钓鱼”在全世界范围内变得 非常猖獗,数量急剧攀升。 而最近,这股风气也渐渐吹入了我国。尤其对于近期接连出现的利用伪装成“中国银行”“中国工商银行”主页的恶 意网站进行诈骗钱财的事件让我们感觉到“鱼钩”就在我们眼前晃动。
为此,我们制作了“网络钓鱼(Phishing)”专题栏目,以达到普及知识,避免被骗的目的。 详见下 文…
网络钓鱼引起诚信危机
金融机构、互联网服务提供商和其他服务商必须严肃地...全部
“网络钓鱼(Phishing)”作为一种网络诈骗手段,算不上新鲜事物,而且没有太多技术 含量,主要是利用人们的心理来实现诈骗。
尽管在安全技术人员眼里“网络钓鱼”只是小菜一碟。但在最近几年中“网络钓鱼”在全世界范围内变得 非常猖獗,数量急剧攀升。
而最近,这股风气也渐渐吹入了我国。尤其对于近期接连出现的利用伪装成“中国银行”“中国工商银行”主页的恶 意网站进行诈骗钱财的事件让我们感觉到“鱼钩”就在我们眼前晃动。
为此,我们制作了“网络钓鱼(Phishing)”专题栏目,以达到普及知识,避免被骗的目的。
详见下 文…
网络钓鱼引起诚信危机
金融机构、互联网服务提供商和其他服务商必须严肃地解决‘网络钓鱼’问题,如果不能极大地减少这种诱饵攻击,那么消费者对在线交易的信任感将会逐渐被侵蚀,最终所有网络交易的参加者都会受到伤害。
”这些攻击正在破坏整个电子商务系统—经营方式的信用。eBay和其他几十家已遭“网络钓鱼”多次
攻击的公司担心:它不仅损害了业务,而且对客户、对电子商务的信心提出了极大挑战。
“网络钓鱼”已经开始显现出其巨大的破坏力。
根据Pew Internet Life的调查,消费者对电子邮件的信心已经降到了有史以来的最低点。Cyota最近针对在线银行账户持有者的一项调查表明,74%的被调查者表示,由于此项威胁,自己不太可能对来自银行的电子邮件做出回复,而且进行在线购物的可能性降低了。
这意味着,一些合法商业机构如果无法阻止其品牌被欺骗活动继续利用,其在线渠道将可能部分或者彻底失去。
当然受损的还有商业机构的品牌。虽然在很多情况下,品牌所有者并没有错,但这些在线品牌应当具备足够的能力,并用更多的心思来防止消费者犯错误。
APWG旗下一个企业成员因“网络钓鱼”遭到客户起诉,理由是没有履行相应责任。
除了信任,“网络钓鱼”也会给企业和个人带来一些更直接的损失。如果诈骗者钓到用户的信用卡账户信息,无论对于持卡者还是销售商都面临着风险。
另外,为每个用户发行新的信用卡、账号和密码大约需要50多美元,如果是大量客户被钓,成本也是非常惊人的。
责任应该谁负、对网上银行不信任
无论是感染病毒还是上假冒网站被诈骗,由此造成的损失都得由客户自己承担。
证券商一致表示:在投资者开通网上交易的同时,都要签署一份风险揭示书。其中在“风险提示”中,已经明确投资者有义务保管好自己的密码,任何原因的因密码丢失所造成的经济损失都由投资者自行负担。
“证券大盗”的事情是因为投资者的个人电脑系统遭受了病毒,与证券公司网上交易系统的安全性没有太多关系。在“期货精灵”一案中,虽然有客户要求所在的经纪公司赔偿,但法院判决相关的期货经纪公司不必做出赔偿。
“网银大盗”、“证券大盗”带来的损失也只能由用户独立承担。
同样,银行对于客户因上假冒网站遭受的损失,认为不是由银行内部的系统问题或者其他问题造成的,而是因为客户自己保管不慎或者密码的失窃造成的,目前还没有进行赔偿的先例。
用户却认为,采取网上交易的方式是基于对证券、银行等机构的信任,而证券机构收取佣金等费用,也有义务保护股民的投资安全。
那么,责任的板子应该打在谁的头上?
从法律上讲,有过错的行为人要承担他的行为责任,所以需要索赔的对象首先是行骗的个人。
如果是黑客利用漏洞,使用户被动交出用户名密码,这时受损害的消费者有权向银行索赔。也就是说,因为用户的电脑感染木马和上假冒网站造成的损失,证券经营机构没有责任,银行也没有责任,受害者只能向制造病毒和假冒网站的个人索赔。
然而,比索赔更值得关注的,应该是网上交易的安全性问题。据统计,我国目前网上银行用户已达几千万名,每年仅通过网上银行流通的资金就超过万亿元人民币。随着网上支付的日益普及,将会有越来越多的病毒描准网上支付系统。
我们不仅要问:网上交易还安全吗?谁还敢在网上买卖股票、查询账户、网上购物……?
中国互联网络信息中心(CNNIC)2004年公布的相关调查报告显示,不愿选择网上银行的客户中有76%是出于安全考虑。
也就是说,大多数人并不信任网上银行的安全——这对还在起步阶段的国内电子银行业务将造成不小的负面影响。
不少没有申请网上交易的股民也明确表示,国外的网上交易会要求券商保险,而国内目前根本就没有这种规定,出了问题还是自己的事。
对于损失的责任由谁来负,现在仍有争论。但是我们应该看到,网上交易是一个大的趋势,好处也是显而易见的。网上交易的安全链条由银行、购物人和商户网站组成,那么着眼未来,探讨如何共同建立安全的网上交易环境不才是最重要的吗?
Phishing的应对措施
证券机构 是否可以专机专用
证券公司的网上交易安全认证技术只确保数据在传输过程中的安全,至于从客户端发送的数据是否是客户本人的指令,证券商就无能为力了。
被“证券大盗”等病毒盗取账号和密码的股民都是被人利用电脑或公用电话盗买股票的,那么,证券经营机构是否可以为每个电话委托、网上交易的股民提供指定电话交易或指定电脑交易服务,“专机专用”以确保委托信息的真实呢?就像证券机构为了自身安全,规定每个投资者必须在指定的营业部交易一样。
大户室的股民每人都有专用电脑,天天守候,不会被盗用;偶然缺勤,被人串用,还有工作人员的监管记录可查。而那些办理电话委托或网上交易的投资人,都是用的自己的私人电话或联网电脑,或者使用办公室的,一般不会用公用电话委托。
为了股民的投资安全,各证券营业部可以配备来电显示器等设备,用以鉴别委托交易信息是否来自持有人指定的电话。验证密码和指定交易的电话号码,完全吻合、确认真实后,再实施交易,否则拒绝接受委托,甚至报警。
办理指定电话交易,可由股民自愿申请,证券机构为其办理由其本人指定的电话或手机交易,或者由其本人指定的那台电脑交易。这样一来,即使密码被窃,还有指定的电话可以防护,便可大大降低股民的投资风险。
银行 是否更应加强安全防范
网上银行的安全体系一是要保证系统的有效运行,不在客户需要进行交易时中断;还要保障客户的资金安全,防止非法转账的发生。许多类似于“网银大盗”的木马病毒都是通过客户端盗取用户账号和密码,从而盗取网上银行资金的。
所以,目前网上银行最需要考虑的是如何保证客户端的安全。
除了多重的防火墙保护等措施外,数字证书是目前银行对客户端安全防范采取的主要措施,但并不是因此就万无一失。有人在技术上走在银行的前面,或者掌握了网上银行的技术软肋,网上银行就不可避免地存在安全漏洞。
因而,银行是否应该建立一套动态安全体系?注意各种网络技术、安全问题的新动向,然后找出应对方法,并且经常对自己的安全体系进行检查和升级。
很多时候安全厂商招聘技术人员的高流动性会成为用户的最大隐忧,所以在选择时,银行除了要做技术上的要求外,对安全厂商的信誉和内部管理情况也应做更严格的要求,只有在信任的基础上才能共同打造一个坚固的安防盾牌。
个人行为应该更加谨慎
不可否认,对于遭受的损害,用户自己也要负很大的责任。所以在进行网上交易的时候个人的行为应该更加谨慎,注意以下几点:
一、核对网址。
记住自己开户银行的网址,正确登录,每次登录尽量选择直接输入网址登录,避免采用搜索引擎的链接来进入相关银行网站。
不要登录访问陌生网站,更不要下载安装不明来历的软件,不随意打开可疑邮件。交易完成后,请及时退出网上交易程序。
二、保护好自己的网上银行用户名(登录卡号)和密码(登录密码和支付密码)。
同时要保证登录密码与支付密码不相同。
密码应避免与个人资料有关系,不要选用诸如身份证号码、出生日期、电话号码等作为密码。建议选用字母、数字混合的方式,以提高密码破解难度。
密码应妥善保管,避免将密码写在纸上。尽量避免在不同的系统使用同一密码。
定期更改账户密码。
三、做好交易记录。
客户应对网上银行办理的转账和支付等业务做好记录,定期查看“历史交易明细”,定期打印网 上银行业务对账单,如发现异常交易或账务差错,立即与银行联系,避免损失。
做股票等投资的用户应及时打印交割单,定期跟券商核对账户信息。
四、管好数字证书。
网上银行用户应避免在公用的计算机上使用网上银行,不在公共场所下载数字证书,万不得已应 及时删除。
五、对异常动态提高警惕。
对于网上各种中奖、要求提供注册卡号、网上银行密码的各种信息,不可轻信,必要时可以拨打银行服务电话进行核实。对单独出现的要求确认账号、密码的浏览器窗口应立即关闭。
万一发现资料被盗,应立即修改相关交易密码或进行银行卡挂失。暂停使用网上交易。
六、安装防毒软件。
注意安装、升级正版杀毒软件和个人防火墙软件,定期杀毒并经常升级。
七、堵住软件漏洞。
经常安装计算机操作系统补丁,只下载使用官方的网上交易程序升级程序。
八、投资者如果想在营业部之外的地方下单,应该使用其他手段,比如电话委托。
网上订车票 千万别认错 一个名为“长春铁路在线”的网站,以定票的名义从事网络欺骗。
经过调查,制作“长春铁路在线”的是长春市的一名网络管理员,其自行开设了一家订票网站,以诈骗旅客订票款。
三大银行连续出现假冒网站、防范、赔偿
习惯使用网上银行业务的市民要小心了,网上先后出现了假冒中国银行、农业银行、工商银行的网站,这些冒牌网站的共同特点是网址及页面均与真网站相似。
如假冒中国银行的域名是 ,与中国银行网站 多一个英文字母f;假冒中国工商银行域名是 ,与中国工商银行网站 ,也只是“1”和“i”一字之差;而假冒中国农业银行域名是 ,与中国农业银行网站 也较为相近。
不法分子通过设立假冒银行网站,试图骗取该行用户的账号和密码,市民一旦输入了账号及密码,用户的资料就会落入网贼的手中,后果将不堪设想。
尽管这几个假冒网站已全部被关闭,但由于制作一个新的假冒网站并不需要很高的技术及很大的成本,今后假冒银行网站恐怕还会再出现,市民使用网上银行业务时还是要记清自己开户银行的网址,以防给不法分子可乘之机。
上假网站造成损失,银行无赔偿先例
上假网站,钱没了,银行是不是该赔呢?据了解,最近两年,网上金融诈骗在国际上多次发生。我国的香港地区到今年10月份就接到过23起假冒银行网站的报案,其中一起金额就达到66万港元。
对于客户因此遭受的损失,目前还没有银行进行赔偿的先例。
四大行网上银行网址
银行 网址
中国银行
农业银行
工商银行
建设银行
如何防范网上被骗,金融安全提升迫在眉睫
从国际、国内金融业的发展趋势来看,网上银行作为金融创新的重要内容,其发展势头不可阻挡。
如果这时候因噎废食,显然是不明智的。只要采取了足够的技术手段和管理措施,网银交易的安全性是可以确保的,但值得注意的是,网络是一个互动的平台,安全性需要银行和客户共同来维护和保障,客户对个人信息的自我保护意识同样重要。
首先,申请网上银行要通过正式的途径获得银行网站地址。一般有三个途径:到相关银行的网点询问、拨打相关银行客服电话询问、通过权威搜索引擎网上搜索取得。对于以其他形式主动告知的网站地址,不要轻率相信,比如:网络聊天室里的链接、不名邮箱发来的邮件、不明号码发来的手机短信等。
各家银行的网上银行都有操作指引和风险提示,对于只要求输入账号和密码的网站,客户要提高警惕。
其次,不要在网吧等公用计算机上收发个人账户等重要信息资料。
再次,尽量不要共享个人笔记本电脑中的数据。
有的客户在部门间协同作业时需要共享电脑中的信息,但这样有可能通过无线LAN接入服务泄露企业信息或者感染病毒。
此外,还有一些基本的安全措施,如严格保证与银行账户相关联的个人邮箱的私密性,合理设置密码(建议不要用自己的生日)等。
如果发现个人账户金额不对,一定要及时与银行联系核对,必要的时候要报案。
还有几条有关网银操作的提醒,一是要记住自己开户银行网址,每次登录尽量输入网址登录,避免采用搜索引擎的链接。二是对于网上各种要求提供注册卡号、密码的信息,不可轻信,必要时拨打银行服务电话核实。
三是定期查看网上银行余额。四是注意保护好自己的网上银行用户名和密码,登录密码与支付密码不要相同。
金融安全提升迫在眉睫
从1999年招商银行首家开通网上银行服务以来,目前我国能办理网上业务的银行已经超过20家。
但我国银行在网络安全建设技术和资金投入上还存在一些问题。与此同时,由于网络金融犯罪具有低成本、高收益、破获难度大的特点,完全根治网络金融犯罪还是个很大的挑战。两方面的矛盾使得金融安全水平的提升显得尤为迫切。
银行除了通知客户加强安全防范意识外,内部也要加强技术手段上的防范,如技术扫描、安装防火墙、对异常的账号实行监控等等。工行已经推出了一个USBK个人网上银行证书,通过硬件加密的方式验证客户的身份。
USBK个人网上银行证书相当于一个U盘,支付的时候插入计算机接口,这样即使客户不小心丢失了账号、密码,也没有关系,没有这个证书是无法实现网上支付的。
银行卡和ATM机技术也应该得到提高。
在银行提升网上银行软硬件水平、加强防范后,骗子们“骗得/窃取客户信息→网上转移资金/网上支付”的犯罪流程被掐断,但是犯罪分子“骗得/窃取客户信息→制造假卡→灌入信息→上ATM机取款”的这条路子仍可行。
南京就曾发生过犯罪分子制造假卡,从ATM机上盗取上百万元客户资金的案件。“银行卡防伪技术和ATM机防伪识别技术必须不断提高,只有做到魔高一尺道高一丈,才能根本上保证客户银行卡的资金安全!” 。
假银联网站盗取用户信息
网上出现了 、 、 [ ]非法引用”。为保证您的银行卡资料的安全性,访问银联支付网关时,请确认您的浏览器内的地址为: 。据悉,银联已经将3个假冒网站封停。
香港有关部门发现多个伪造银行网站
据悉,香港有关部门迄今已发现5个伪造银行网站,其中2个网站涉及香港银行。
根据香港特区金管局日前发出的通告,已经曝光的包括两个网站,其中一个网址是“ ”,这与香港汇丰银行网站的网址“ ”非常相似。假网站上有一个用户登入的按钮,与香港汇丰银行的用户登入按钮一模一样,假如用户不慎在假网站输入用户名称及密码,款项便会被不法之徒攫取。
汇丰银行近日已发出警告,要求用户防范。
此事已引起国内各大银行高度重视。工行四川省分行有关人士提醒客户,进入网络前要看清网址。该人士称,国内所有银行的网址都经过了互联网网管中心的登记,伪造不易。
招行成都分行人士告知,该行网上银行的开办方式以及客户流程与境外银行大有区别,所有客户必须到银行柜台申请,并下载“证书”,客户的身份证号码、姓名以及登陆密码等数据都存放在银行的主机上,而不是在服务器上面。
即使有伪造的银行网站,想划转客户的资金也不容易。
假银行网站的网页设计仿真度颇高,除了盗用银行的商标之外,连网页内容亦照抄。部分伪造网站甚至还有中文版本。
据悉,自从银行开办网上业务以来,境内网上银行也时常受到“黑客”的攻击,但迄今并没有造成一起损失。
因此蓉城银行提醒客户,在境内网上银行交易,安全性是有保障的。
免费赠送QQ币
最近很多网友在打开QQ后会出现这么一条消息“登陆 **。Cn,免费获赠QQ币”,登陆该网站,发现该网站从网页布局到域名,都仿冒腾讯公司的QQ网站设立,让用户以为是腾讯官方进行的市场促销活动。
当用户按照该网站的提示填入自己的 多位上升到了2000多位。根据业内权威人士分析,每天受骗登陆该网站的人数可达数十万。类似的网络诈骗行为在西方欧美国家已经成为威胁用户安全的一种主流诈骗手段,单单信用卡用户每年遭受的损失就有数十亿美元,因此用户一定不能掉以轻心。
教育部曝光第二批学历查询假网站教育部公布了新发现的五个学历查询的非法网站。这些非法网站造假的伎俩依旧是盗用教育部高校学生司、教育部全国高校学生信息咨询与就业指导中心的名义,盗版中国高等教育学生信息网的风格和内容,利用人们对互联网站名称和域名概念不清的情况,欺骗社会。
同时,教育部公布了真网站的网址( )。
教育部曝光的第二批学历查询非法网站黑名单
1 假冒的中国高等教育学生信息网 http://
2 假冒的中国高等教育学生信息网
3 中国大学生学历信息网
4 中国大学生学历认证网
5 中国大学生网
phishing站点
以中华慈善总会名义骗印度洋海啸捐款
3个假银联的网站,用来盗取用户密码
http://
假冒的中国高等教育学生信息网
假冒的中国高等教育学生信息网
中国大学生学历信息网
中国大学生学历认证网
中国大学生网
**。
cn
通过骗取用户访问以提高访问量
模仿联想主页,埋设木马
假冒中国银行
假冒中国工商银行
假冒中国农业银行
假冒香港汇丰银行网站
假冒北京首放公司埋设木马证券大盗
bank-
假冒中国银联
木马病毒连接假联想主页
不久前,互联网上的许多用户的电脑遭遇到了木马病毒,起因是一则关于“ 联想集团和腾讯公司联合赠送QQ币”的虚假消息,把人们引向一个恶意网站。
离谱的是含有木马病毒主页的网址是 ,而联想网站的地址是 ,两者的区别仅仅只有一个字符:阿拉伯数字“1”和英文字母“I”。这两个字符在电脑屏幕上很难分辨,人们误认为这是联想公司的主页,便毫不犹豫地按下了鼠标左键……在恶意网站被打开时,2秒钟便完成木马病毒种植,然后自动重新链接到真正的联想主页,简直是天衣无缝,用户毫无察觉。
七个绝招应对网上银行盗贼
随着网络技术的普及,越来越多的普通百姓开始利用网上的虚拟银行来处理个人资产,查询、转账、支付或交易。但是,网络安全性又成了不少人的担忧。中国银行专家提醒,网上银行的安全使用有七大“诀窍”。
一是核对网址
要开通网上银行功能,通常事先要与银行签订协议。客户在登录网上银行时,应留意核对所登录的网址与协议书中的法定网址是否相符,谨防一些不法分子恶意模仿银行网站,骗取账户信息。
二是妥善选择和保管密码
密码应避免与个人资料有关系,不要选用诸如身份证号码、出生日期、电话号码等作为密码。建议选用字母、数字混合的方式,以提高密码破解难度。密码应妥善保管,避免将密码写在纸上。
尽量避免在不同的系统使用同一密码,否则密码一旦遗失,后果将不堪设想。
三是做好交易记录
客户应对网上银行办理的转账和支付等业务做好记录,定期查看“历史交易明细”、定期打印网上银行业务对账单,如发现异常交易或账务差错,立即与银行联系,避免损失。
四是管好数字证书
网上银行用户应避免在公用的计算机上使用网上银行,以防数字证书等机密资料落入他人之手,从而使网上身份识别系统被攻破,网上账户遭盗用。
五是对异常动态提高警惕
以中行网上银行为例,在系统运行稳定的情况下不会出现“系统维护”的提示。
若遇重大事件,系统必须暂停服务,中行会提前公告客户。客户如不当心在陌生的“中行网址”上输入了银行卡号和密码,并遇到类似“系统维护”之类的提示,应立即拨打中行客服热线95566进行确认。万一发现资料被盗,应立即修改相关交易密码或进行银行卡挂失。
六是安装防毒软件
为电脑安装防火墙程序,防止个人账户信息遭到黑客窃取。建议安装防病毒软件,并经常升级。
七是堵住软件漏洞
为防止他人利用软件漏洞进入计算机窃取资料,客户应及时更新相关软件,下载补丁程序。
假中国银联网站被查封
。收起