一、 瀏覽器后面的罪惡―― 釣魚(yú)網(wǎng)站與欺詐網(wǎng)站的巨大危害

    目前，全球經(jīng)濟(jì)經(jīng)濟(jì)形勢(shì)嚴(yán)峻，導(dǎo)致惡意線上活動(dòng)變本加厲，網(wǎng)絡(luò)犯罪者活動(dòng)日益猖獗，新型網(wǎng)絡(luò)釣魚(yú)犯罪綜合了間諜木馬、詐騙、偽裝等多種手段，造成的經(jīng)濟(jì)損失遠(yuǎn)遠(yuǎn)超過(guò)以往單純的網(wǎng)絡(luò)攻擊，釣魚(yú)網(wǎng)站利用惡意軟件竊取密碼及其他敏感資料的活動(dòng)直線上升，金融服務(wù)業(yè)、拍賣(mài)網(wǎng)站與付款服務(wù)都成為網(wǎng)絡(luò)釣魚(yú)攻擊的主要目標(biāo)。

    據(jù)國(guó)內(nèi)相關(guān)部門(mén)統(tǒng)計(jì)，國(guó)內(nèi)8成以上網(wǎng)民對(duì)于網(wǎng)上提供個(gè)人信息的安全性存在不同程度的擔(dān)憂，文件丟失、計(jì)算機(jī)癱瘓、網(wǎng)銀賬號(hào)被盜、信息資料被竊是當(dāng)前網(wǎng)民最為擔(dān)心的四大安全隱患，近1/4的網(wǎng)民非常擔(dān)心個(gè)人信息安全，從不在網(wǎng)上填寫(xiě)個(gè)人相關(guān)資料。這就是說(shuō)，釣魚(yú)網(wǎng)站除了給網(wǎng)民帶來(lái)經(jīng)濟(jì)損失，給企業(yè)帶來(lái)品牌形象損傷外，最重要的是，使得大批網(wǎng)民對(duì)互聯(lián)網(wǎng)不信任，導(dǎo)致網(wǎng)民減少甚至避免使用某些網(wǎng)絡(luò)應(yīng)用，從而阻礙了我國(guó)互聯(lián)網(wǎng)的健康發(fā)展。

    僅以“全國(guó)列車(chē)時(shí)刻表查詢（http://www.touba.cn）”這個(gè)假冒網(wǎng)站為例，近期該網(wǎng)站就侵襲了將近34萬(wàn)網(wǎng)民。全球“釣魚(yú)”案件自2005年始，正在以每年高于200%的速度增長(zhǎng)，受騙用戶高達(dá)5%。而在近日查到的釣魚(yú)網(wǎng)站中，淘寶、騰訊、百度等知名網(wǎng)站都曾被仿冒，屬于“重災(zāi)區(qū)”。
更值得注意的是，這些從事詐騙的非法釣魚(yú)網(wǎng)站存活時(shí)間較短，通常僅維持一周甚至幾天，最長(zhǎng)也僅為一個(gè)月。此外，欺詐類非法網(wǎng)站通?！按蛞粯寭Q一個(gè)地方”，頻繁開(kāi)設(shè)新網(wǎng)站，給打擊非法網(wǎng)站、事后監(jiān)管帶來(lái)較大的難度。較低的破案率，讓欺詐釣魚(yú)網(wǎng)站實(shí)施詐騙更加變本加厲。

    二、 欺詐網(wǎng)站其實(shí)就在我們身邊―― 細(xì)數(shù)釣魚(yú)網(wǎng)站的犯罪手段

    綜合分析了大量釣魚(yú)網(wǎng)站后發(fā)現(xiàn)，欺詐釣魚(yú)網(wǎng)站具有一定的規(guī)律性，往往與社會(huì)熱點(diǎn)緊密結(jié)合。比如股市火爆時(shí)，假冒券商網(wǎng)站就會(huì)集中暴發(fā);高校招生階段，假冒高校網(wǎng)站就會(huì)異常增多;春運(yùn)時(shí)，假冒車(chē)票交易、查詢網(wǎng)就會(huì)分外活躍。網(wǎng)民登錄釣魚(yú)網(wǎng)站，則有可能被不法分子竊取銀行賬戶、密碼等個(gè)人私密信息;網(wǎng)民在釣魚(yú)網(wǎng)站可能進(jìn)行網(wǎng)上交易，交納會(huì)員費(fèi)、學(xué)費(fèi)、中獎(jiǎng)手續(xù)費(fèi)等，因而蒙受經(jīng)濟(jì)損失。

    網(wǎng)絡(luò)安全專家介紹說(shuō)，每當(dāng)大型節(jié)日臨近，網(wǎng)民們會(huì)加大對(duì)網(wǎng)絡(luò)的使用量，如通過(guò)互聯(lián)網(wǎng)查詢列車(chē)車(chē)次和票價(jià)、查找自己感興趣的網(wǎng)游外掛等。同時(shí)，假日前后也是網(wǎng)上購(gòu)物高峰期，各種各樣的網(wǎng)絡(luò)欺詐釣魚(yú)網(wǎng)站會(huì)通過(guò)論壇、貼吧和即時(shí)聊天工具等發(fā)送虛假中獎(jiǎng)、打折、贈(zèng)送信息，用戶一旦點(diǎn)擊該鏈接即可刻中毒，網(wǎng)上銀行帳號(hào)、密碼隨時(shí)面臨被盜危險(xiǎn)。

    相對(duì)于其他欺詐方式，釣魚(yú)網(wǎng)站詐騙的成本和技術(shù)門(mén)檻相對(duì)較低，不法分子甚至不需要是技術(shù)一流的黑客，只要從網(wǎng)上花10元到數(shù)百元，即可輕松買(mǎi)到不同功能的釣魚(yú)網(wǎng)站和工具，實(shí)施犯罪活動(dòng)。

    不僅如此，部分釣魚(yú)網(wǎng)站還利用欺騙性的電子郵件和偽造的 Web 站點(diǎn)來(lái)進(jìn)行網(wǎng)絡(luò)詐騙活動(dòng)，詐騙者通常會(huì)將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信品牌，騙取用戶私人信息。在這些帶有欺騙性的電子郵件中，內(nèi)容通常會(huì)以“系統(tǒng)升級(jí)”為由，稱“如果不及時(shí)更新個(gè)人信息，個(gè)人賬戶將被終止”，后面附帶有一個(gè)網(wǎng)址鏈接。一旦打開(kāi)這個(gè)鏈接進(jìn)入該網(wǎng)站，網(wǎng)民往往會(huì)泄露自己的私人資料，如信用卡號(hào)、銀行卡賬戶、身份證號(hào)等內(nèi)容。

    三、 欺詐釣魚(yú)網(wǎng)站的利益鏈條―― 如出一轍的誘人騙局

    欺詐釣魚(yú)站獲利的大致流程如下

    1、 制作釣魚(yú)網(wǎng)站

    直接復(fù)制釣魚(yú)攻擊的目標(biāo)網(wǎng)站頁(yè)面。目前，支付寶、財(cái)付通等第三方支付平臺(tái)以及網(wǎng)銀支付平臺(tái)及購(gòu)物平臺(tái)等是模仿重點(diǎn)對(duì)象。

    2、 散布誘惑信息 誘使在釣魚(yú)網(wǎng)站上提交信息

    散布誘惑你輸入個(gè)人隱私信息以及其它重要帳號(hào)和密碼的重要信息的頁(yè)面。

    3、 記錄隱私信息
 
    后臺(tái)數(shù)據(jù)庫(kù)將記錄你的帳號(hào)和密碼。

    4、 盜取利用數(shù)據(jù)

    竊取賬戶資金或利用賬戶中的隱私信息從事一些犯罪活動(dòng)。

    四、 治本之道―― 如何從根本上解決釣魚(yú)網(wǎng)站和欺詐網(wǎng)站

    目前“釣魚(yú)網(wǎng)站”已成為互聯(lián)網(wǎng)安全最大的隱患，嚴(yán)重阻礙電子商務(wù)、在線金融業(yè)務(wù)的正常發(fā)展。特別是2008年9月以來(lái)，金融海嘯在全球蔓延，許多不法分子趁機(jī)制造釣魚(yú)網(wǎng)站非法牟利，上升為國(guó)際性問(wèn)題，企業(yè)為應(yīng)付釣魚(yú)網(wǎng)站付出了大量的精力和成本。這時(shí)，如何有效遏制釣魚(yú)網(wǎng)站，降低處理成本，眾企業(yè)可謂“傷盡腦筋”

    今年中央電視臺(tái)“3•15”晚會(huì)的重要話題之一是保護(hù)人們網(wǎng)上隱私的安全。這一話題非常引人關(guān)注，它提醒人們，在日常上網(wǎng)的過(guò)程中，盡量注意不要讓個(gè)人隱私在網(wǎng)上暴露；同時(shí)，也對(duì)ICP或電子商務(wù)網(wǎng)站，如網(wǎng)上銀行、網(wǎng)上證券、網(wǎng)上購(gòu)物等網(wǎng)站提出了新的要求：網(wǎng)站能否采取有效的技術(shù)措施，一方面證明自己的網(wǎng)站是真實(shí)而非假冒的，另一方面保護(hù)用戶信息傳輸?shù)陌踩?/P>

    從目前的技術(shù)來(lái)看， SSL證書(shū)作為成熟的國(guó)際標(biāo)準(zhǔn)，是目前證明網(wǎng)站的真實(shí)性、保護(hù)用戶隱私信息安全的唯一有效的技術(shù)手段。

    互聯(lián)網(wǎng)所使用的 IP 技術(shù)是明文傳輸信息，這樣，如果您在網(wǎng)站上提交的所有機(jī)密信息不采用加密措施的話，其他人很可能能看到，因?yàn)閺哪碾娔X到網(wǎng)站服務(wù)器要經(jīng)過(guò)許多路徑，許多人能接觸到這些路徑，有可能非法截獲甚至篡改您的機(jī)密信息，比如銀行卡信息等。

    由于SSL證書(shū)能高效地加密網(wǎng)上的信息，并能對(duì)網(wǎng)站的身份進(jìn)行驗(yàn)證，所以，自推出以來(lái)就在歐美地區(qū)獲得了大量部署。再加上，歐美各國(guó)有相應(yīng)的個(gè)人隱私保護(hù)法律法規(guī)，幾乎100%的美國(guó)政府、電子商務(wù)等網(wǎng)站，凡需要用戶登錄的地方，都部署了 SSL證書(shū)。

    反觀我國(guó)，SSL證書(shū)的應(yīng)用情況卻糟糕得多，我國(guó)各種電子政務(wù)、電子商務(wù)、企業(yè)網(wǎng)站，絕大多數(shù)都沒(méi)有部署SSL證書(shū)，也就是說(shuō)，網(wǎng)站根本沒(méi)有采取最基本的安全技術(shù)手段對(duì)網(wǎng)民的機(jī)密信息，如個(gè)人手機(jī)號(hào)碼、家庭地址等進(jìn)行加密，其中重要的原因之一是中國(guó)相關(guān)法律的嚴(yán)重缺失。中國(guó)有關(guān)部門(mén)必須盡快立法來(lái)保護(hù)廣大網(wǎng)民的網(wǎng)絡(luò)隱私權(quán)。

    假銀行網(wǎng)站更是將不少消費(fèi)者們騙得團(tuán)團(tuán)轉(zhuǎn)，但在專家看來(lái)，這些黑客其實(shí)只是耍了三腳貓的伎倆。
實(shí)際上假網(wǎng)站這種欺騙手段十分低級(jí)，出現(xiàn)這類事件的主要原因是用戶對(duì)于網(wǎng)上銀行的正確使用還不是特別了解，對(duì)于網(wǎng)上銀行的安全沒(méi)有足夠的防范意識(shí)，缺少對(duì)于SSL等安全技術(shù)的認(rèn)知。如果客戶能夠正確使用，提高安全意識(shí)，類似假網(wǎng)站騙錢(qián)的事件完全可以避免。

    五、 SSL證書(shū)全線阻擊

    SSL證書(shū)作為最為有效地安全技術(shù)，網(wǎng)站部署后，網(wǎng)民究竟如何通過(guò)數(shù)字證書(shū)識(shí)別欺詐釣魚(yú)網(wǎng)站？

    網(wǎng)站通過(guò)部署SSL證書(shū)，瀏覽器需經(jīng)過(guò)以下5個(gè)方面的檢查后，才會(huì)在頁(yè)面瀏覽器頁(yè)面顯示安全鎖標(biāo)志，同時(shí)地址欄出現(xiàn)“https”字樣，提示頁(yè)面完成了SSL證書(shū)安全加密。

    第一，檢查SSL 證書(shū)是否是由瀏覽器中“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”頒發(fā)？如果不是，則瀏覽器會(huì)有安全警告，為 IE7 瀏覽器的警告信息為“此網(wǎng)站出具的安全證書(shū)不是受信任的證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的，安全證書(shū)問(wèn)題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)，建議關(guān)閉此網(wǎng)頁(yè)，并且不要繼續(xù)瀏覽該網(wǎng)站?！盜E6瀏覽器會(huì)提示 “該安全證書(shū)由您沒(méi)有選定信任的公司頒發(fā)”。

    第二，檢查SSL證書(shū)中的證書(shū)吊銷列表，檢查證書(shū)是否被證書(shū)頒發(fā)機(jī)構(gòu)吊銷？如果已經(jīng)被吊銷，則會(huì)顯示警告信息：“此組織的證書(shū)已被吊銷。安全證書(shū)問(wèn)題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁(yè)，并且不要繼續(xù)瀏覽該網(wǎng)站?！?/P>

    第三，檢查此SSL證書(shū)是否過(guò)期？如果證書(shū)已經(jīng)過(guò)了有效期，則會(huì)顯示警告信息：“此網(wǎng)站出具的安全證書(shū)已過(guò)期或還未生效。安全證書(shū)問(wèn)題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁(yè)，并且不要繼續(xù)瀏覽該網(wǎng)站。”

    第四，檢查部署此SSL證書(shū)的網(wǎng)站的域名是否與證書(shū)中的域名一致？如果不一致，則瀏覽器也會(huì)顯示警告信息：“此網(wǎng)站出具的安全證書(shū)是為其他網(wǎng)站地址頒發(fā)的。安全證書(shū)問(wèn)題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁(yè)，并且不要繼續(xù)瀏覽該網(wǎng)站。”

    第五，IE7瀏覽器會(huì)到欺詐網(wǎng)站數(shù)據(jù)庫(kù)查詢此網(wǎng)站是否已經(jīng)被列入欺詐網(wǎng)站黑名單？如果是，則會(huì)顯示：“IE已發(fā)現(xiàn)一個(gè)已報(bào)告的仿冒網(wǎng)站。仿冒網(wǎng)站假冒其他網(wǎng)站并試圖欺騙您泄漏個(gè)人信息或財(cái)務(wù)信息。建議關(guān)閉此網(wǎng)頁(yè)，并且不要繼續(xù)瀏覽該網(wǎng)站。

    除此之外，網(wǎng)民還可以注意網(wǎng)站的一些特殊站點(diǎn)標(biāo)志，例如國(guó)際著名SSL證書(shū)品牌VeriSign還為部署SSL證書(shū)的網(wǎng)站提供了VeriSign站點(diǎn)簽章標(biāo)志，通過(guò)點(diǎn)擊該標(biāo)志可以查看網(wǎng)站的身份信息。目前VeriSign 站點(diǎn)簽章標(biāo)志（VeriSign Secured® Seal），擁有龐大的用戶群，每天的瀏覽人次數(shù)超過(guò)1.5億次。

    六、 假網(wǎng)站一目了然，教你幾招防身術(shù)―― EV SSL 成為未來(lái)網(wǎng)站安全的新趨勢(shì)

    網(wǎng)站在部署了 SSL 證書(shū)后，除了可以顯示“鎖”標(biāo)記，地址欄“https”字樣，“動(dòng)態(tài)站點(diǎn)簽章標(biāo)志”，是否有更為簡(jiǎn)單的判斷方式？

    當(dāng)然有，目前SSL證書(shū)領(lǐng)域的大哥大EVSSL證書(shū)就有這樣的本事。EV SSL是一種新的安全證書(shū)?？梢宰屜M(fèi)者更加輕松地辨識(shí)網(wǎng)站真?zhèn)?。部署了高端VeriSign EV SSL證書(shū)的網(wǎng)站地址欄會(huì)自動(dòng)變成綠色，地址欄上滾動(dòng)出現(xiàn)網(wǎng)站身份信息及數(shù)字證書(shū)頒發(fā)機(jī)構(gòu)的名稱，提示網(wǎng)站經(jīng)過(guò)了高級(jí)別身份驗(yàn)證。而對(duì)于釣魚(yú)站點(diǎn)，紅色地址欄將自動(dòng)進(jìn)行提示網(wǎng)民注意自身安全。在國(guó)內(nèi)，EVSSL技術(shù)實(shí)際已經(jīng)在我們身邊，VeriSign EV SSL證書(shū)已通過(guò)其官方合作伙伴天威誠(chéng)信數(shù)字認(rèn)證中心開(kāi)始頒發(fā)，目前招商銀行、工商銀行、中信銀行等銀行網(wǎng)站已先后換裝國(guó)際領(lǐng)先的EV SSL證書(shū)。如果你想親自嘗試，不妨登錄這些網(wǎng)站看看自己的地址欄是否也變成綠色。