今年上半年病毒和木马的数量和危害性都在减弱,但钓鱼网站却异军突起成为互联网的最大威胁,据估计,网络钓鱼给社会带来的间接损失超过200亿元。
病毒、木马是害群之马,恐怕是会用电脑的人都知道的常识,但如果现在告诉你,曾经的一代“毒王”在互联网时代已经“退位让贤”,你会不会感到惊讶?根据一份最新的安全报告显示,今年上半年病毒和木马的数量和危害性都在减弱,但钓鱼网站却异军突起成为互联网的最大威胁,据估计,网络钓鱼给社会带来的间接损失超过200亿元。有安全专家表示,钓鱼网站的最大威胁在于目前尚没有完全可靠的技术手段将其封杀,而且钓鱼网站背后已经形成了完整的利益链,让钓鱼网站处于难以遏制的状态。
网购网站成受害重灾区
网络钓鱼成新“毒王”
安全厂商瑞星发布的《2010上半年互联网安全报告》显示,上半年互联网上流传的病毒总数比去年同期下降了53.7%,被病毒感染的网民数字为5.96亿人次,比去年同期的11.2亿人次大幅下降;瑞星监测到的挂马网站总数也比去年同期大降90%。这两组数字显示病毒和木马对网民的危害已经大为减弱。
但这并不意味着我们现在上网更安全了。报告指出,网络钓鱼的黑色产业链初步形成,以医药、美容、成人用品、证券咨询等传统行业受害最为严重。这给受害者带来极大的经济损失,有的网民甚至会被骗数十万元。整个网络钓鱼行业给社会带来的间接损失可能超过200亿元。
网络钓鱼“黑链条”
网络钓鱼(英文为Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击),传统意义上指的是利用伪造银行网站的方式,窃取用户银行账号的行为。但随着网络应用越来越复杂,中国互联网上出现了很多对其“发扬光大”的诈骗形式。比如在2008年5月,汶川地震期间,就有黑客仿造“中国红十字会网站”,企图骗取捐款。
瑞星安全专家指出,随着传统病毒产业链遭受专业安全软件的有效遏制,导致黑客和不法分子开始逐步将获取经济利益的手段转向网络钓鱼,这是钓鱼网站成为目前互联网上主要危害之一的原因。除黑客以外,一些黑心的虚假广告商、恶意团购网站和色情网站为在短期内扩大收益,也不惜借助网络钓鱼来欺骗用户牟取暴利。
据了解,网络钓鱼的牟利方式很多样化,钓鱼网站或大量收集个人隐私信息,通过贩卖个人信息或敲诈用户牟利;或记录用户网上银行账号、密码,盗取用户的网银资金。时下流行的网购也是钓鱼者的主要目标,假冒网上购物、在线支付网站往往能欺骗网民直接将钱打入黑客账户;恶意团购网站或购物网站也可能假借“限时抢购”、“秒杀”等噱头,骗取用户个人信息和银行账号;国内知名C2C商城淘宝网、B2C网站京东商城,乃至第三方支付平台快钱等都曾经经受假冒钓鱼网站的侵害,钓鱼者已经明目张胆地将陷阱布置到了普通网民的脚下。
钓鱼危害单靠技术难解决
网络钓鱼为何会如此泛滥?安全专家分析指出:目前杀毒软件通常使用的URL辨别法来处理钓鱼网站,但现在黑客已经采用了频繁更换域名、更换URL的方式来绕过这种传统方式的拦截,这是造成钓鱼网站屡打不绝的技术层面原因。
而且,钓鱼网站与病毒不同,很多钓鱼行为、特征分辨需要人工处理,可能耗费极大的人工审核成本,规模不足的安全厂商无法承担先期巨大的投入,因此其技术门槛较高。“就目前的安全行业来讲,现今对于钓鱼网站还主要是通过URL来进行辨别,对于直接带毒或者带有安全问题的假冒QQ、假冒淘宝等网站进行防范和打击。但这些网站只占钓鱼网站的一小部分,没有最终解决大量网民遭到假购物、假医疗等钓鱼网站威胁的问题。”
专家指出,从监管层面上看,对于钓鱼网站的打击和治理同样存在较大的困难。目前,国家和权威部门对于“钓鱼网站”还没有明确的定义,行业内也没有对钓鱼网站做出特别明确的公认的辨别办法。另外,目前的“反钓鱼工作”是分散在各个受害厂商中独立进行的,比如工商银行、淘宝、中信证券、腾讯、招商银行等,都设立了自己专门的反钓鱼部门和安全部门,从事打击钓鱼网站的工作。如果这些网站能联合起来,共同行动,就可以对“钓鱼网站”进行全面围剿。
|