随着互联网技术及应用的飞速发展和日益普及,我国网民的数量急剧增长。 根据《第29次中国互联网络发展状况统计报告》 和《2011- 2012年度中国互联网安全报告》 , 中国网民规模已经达到5. 13亿, 网络规模稳居世界第一。 同时, 我们必须看到以下严峻现实, 截至2012年3月, 中国反钓鱼网站联盟累计认定并处理钓鱼网站81916个, 占实际网站数的3. 57%, 每天约有超过1 . 2%网民遭遇网络钓鱼, 且70%的钓鱼网站并未被目前已有的安全工具识别。 根据国家计算机网络应急中心估算, 国内网络钓鱼去年让网民损失了76亿元, 给社会带来的间接损失可能超过200亿元。
与此同时, 钓鱼网站的数量呈逐步上升的趋势, 每天增加到800至900个。 金山网络发布的《2011- 2012中国互联网安全研究报告》 表明, 今年每月拦截网民访问次数比去年激增100倍。 因此, 打击网络钓鱼、 应对钓鱼网站已迫在眉睫。
1 钓鱼网站的本质特征
“钓鱼网 站” 是不法分子利用各种技术手段,精心设计与目标组织网站非常相似的仿冒网站, 或者利用网络服务器上的漏洞, 在网站的关键页面中插入危险的网页代码, 以此来骗取用户姓名、 手机号、 通信地址、 身份证号、 银行账号、 网络游戏账号和密码等重要私密信息, 进而盗取受害者银行资金, 假冒受害者进行欺诈性在线交易活动, 假冒受害者向好友发送信息进行行骗, 从而获得非法经济利益。 “钓鱼网站” 实质是一种网络欺诈行为。
2钓鱼网站的识别方法
2.1 安全标志查验法
用户在进行网络交易等重要操作时应养成查看网站身份标识信息的使用习惯。 在使用微软IE 9浏览器、 360安全浏览器、 腾讯浏览器、 阿云浏览器和115浏览器时, 浏览器地址栏右边显示网站身份标识铭牌。 网站身份标识是以浏览器公司作为第三方认证机构, 经过对有认证需求的企业网站进行全面审核并对其身份和安全状态给予确认的服务。
认证通过的企业
网站能得到认证标识, 网民只要看到此标识, 便可放心访问该网站。
2.2 域名结构分析法
对域名结构进行分析是识别钓鱼网站最基本的方法。 域名最前面的http:/ / 或https: / / 是超文本传输协议, 域名的htt*:/ / ……到第一个单斜杠“/ ” 之间,这是域名所在的位置。 在此从后往前倒数的第二个点“. ” 后面的部分才是真正的主域名, 前面的部分是三级、 四级……多级域名, 不要理会, 无论域名前面有多长, 也不管第一个单斜杠以后有多长。 这是识别当前页面网址的主域名属于哪一个网站的唯一必杀技。
2.3 网站地址对比法
当访问某一网站时, 要仔细查看所打开页面后的具体网址, 而不是只看打开网页前的网址。 如果在登陆页面和个人信息填写页面网址出现了跳转, 不是官方域名, 哪怕页面再相似, 都可以断定为钓鱼网站。钓鱼网站一般用外观字形容易混淆的字符来代替使用, 达到迷惑用户的目的。 用户在使用敏感信息和进行电子交易时, 要仔细辨别其不同之处, 比如c和o、 O和0、 a和e、 I和L、 I和1、 L和1等字母和数字从外形看非常相近。
2.4QQ传输验证法
如果是QQ聊天中发来的链接, 要注意链接前的标识, 如果是绿色盾牌并且上面有钓勾标志, 说明此网站为QQ信任的网站, 在大多数情况下访问是安全的;如果是蓝色盾牌并且上面是问号标志, 说明此网站可能存在安全隐患, 访问时要提高警惕。
如果QQ消息中包含网站链接, QQ将根据系统记录为其添加四种不同类型的安全提示图标: “腾讯网图标” 、 “绿色√号图标” 、 “蓝色? 号图标” 和“红色×号图标” 。 当鼠标移到链接前面图标时, 系统会自动弹出相应提示。
前两类为信任网站, 一般都是日访问量较高的大型正规网站, 可放心访问。 第三类属安全性未知的网站, 第四类属于危险网站。
2.5 信息尝试输入法
当收到他人发来的一个网址, 或正在访问一个不太了解的网站, 在不能确定这个网页是否安全时, 可以打开这个网站, 一旦提示需要登录或者输入个人信息时, 您可以采用“信息尝试输入法” , 也就是在登录框内连续多次输入错误的用户名和密码, 此时如果居然还可以登录成功, 那么您就可以断定这个网站为套取用户密码的钓鱼网站了。
2.6网站内容比较法
仔细辨认, 会发现钓鱼网站在字体的颜色和样式上, 与正规网站还是存在一定差异的。 有的图片和字体模糊不清, 有的在网页上没有或很少链接。 用户可以点击栏目或图片中的各个链接, 测试是否能顺利打开。 出现登录界面要求输入验证码时, 可多次刷新更换验证码, 如果只有少量的验证码在循环显示, 完全可断定该网站就是钓鱼网站。 正规的网站验证码是不可能循环和重复的。
2.7 网站备案查询法
通过工信部IC P备案管理网站(ht t p: / / w w w.miibeian. gov. cn/ )可以查询网站拥有者、 网站的基本情况、 ICP经营性许可证和合法备案, 查询网站名称、经营内容是否与备案相符。
3钓鱼网站的防范策略
为了抵制钓鱼网站, 作为被钓鱼网站方可采取如H TT PS协议、 多重密码保护、 动态口令牌、 数字证书认证、 预留验证信息、 短信提醒和用户端安全保护措施等多种方法, 增加被假冒的难度。 作为普通的网络用户, 应对钓鱼网站主要有以下七种防范策略。
3.1 增强安全防范意识
钓鱼网站是利用人们的心理弱点来进行的一种诈骗行为, 之所以有不少人上当受骗, 一是缺乏安全防范意识, 在网上填写有关个人信息, 特别是电子商务和网上银行等重要信息时, 缺乏安全防范意识, 根本没有注意到验证网页的合法性与真实性; 二是相信有天上掉馅饼的好事, 在中“大奖” 或其他物质奖励诱惑下兴奋不已, 放松了戒备; 三是缺乏对网站合法性与真实性进行验证的知识和方法。 要防患于未然, 认识骗局、 认识钓鱼网站, 早发现、 早拒绝, 免受时间和财物的损失。 网上交易时要选择具有良好信誉的知名公司网站, 其中最安全的方法就是手工输入网址,并添加到浏览器的收藏夹中, 以便下次使用。
3.2 使用安全的个人电脑
防火墙能够检查来自网络的信息, 并根据信息的安全性确定这些信息是否能够进入计算机。 Windows操作系统的防火墙只能抵御一些可以预知的外来入侵行为, 而无法预防一些可疑的对外连接。 如要提高防火墙的防御效果, 可以关闭Windows防火墙, 安装瑞星、 360、 天网等第三方防火墙, 有效地应对来自网络的安全威胁。