網(wǎng)絡(luò)釣魚
編輯: 問法網(wǎng)小編
2015-06-23 21:28:32
閱讀數(shù):300
導(dǎo)讀:網(wǎng)絡(luò)釣魚通常是指那些利用欺騙性的電子郵件和經(jīng)過偽裝的銀行和電子商務(wù)站點(diǎn)來進(jìn)行詐騙活動(dòng)���,誘騙網(wǎng)民提供一些個(gè)人重要信息�,如銀行賬號(hào)����、密碼等��,并利用這些獲取不正當(dāng)利益的行為�����。
一����、網(wǎng)絡(luò)釣魚行為的定性
利用釣魚網(wǎng)站騙取網(wǎng)民銀行卡或信用卡賬號(hào)�����、密碼等私人資料的行為�����,在侵害了網(wǎng)民利益的同時(shí)�����,也觸犯了我國(guó)相關(guān)的法律法規(guī)��,這些法律包括《民法通則》���、《刑法》等����。比如:釣魚網(wǎng)站如果是以盜取銀行卡或信用卡賬號(hào)����、密碼為目的,對(duì)于普通網(wǎng)民來說�,釣魚網(wǎng)站侵犯了網(wǎng)民的財(cái)產(chǎn)權(quán);如果網(wǎng)民基于釣魚網(wǎng)站的欺騙行為處分了自己的財(cái)產(chǎn)���,釣魚網(wǎng)站的設(shè)立者或使用者又因此獲得財(cái)產(chǎn)����,從而使網(wǎng)民的財(cái)產(chǎn)受到損害���,當(dāng)非法獲得的財(cái)產(chǎn)達(dá)到一定數(shù)額或欺詐的情節(jié)嚴(yán)重時(shí)�,就構(gòu)成了詐騙罪���;另外����,對(duì)于釣魚網(wǎng)站所模仿的正規(guī)公司或企業(yè)而言,釣魚網(wǎng)站不僅僅影響了正規(guī)公司企業(yè)的運(yùn)營(yíng)���,還對(duì)這些企業(yè)公司的聲譽(yù)造成負(fù)面影響�;更有一些釣魚網(wǎng)站收集網(wǎng)民的身份信息等等�����,公民身份信息泄露�����,對(duì)社會(huì)的和諧穩(wěn)定也造成一定程度的隱患�����。
我國(guó)1997年《刑法》設(shè)置的與計(jì)算機(jī)或網(wǎng)絡(luò)直接有關(guān)的犯罪分別是第二百八十五條�����、二百八十六條����、二百八十七條?��!缎谭ㄐ拚?七)》通過后�����,將本罪的犯罪對(duì)象擴(kuò)大到幾乎所有的計(jì)算機(jī)信息系統(tǒng)�,如果情節(jié)嚴(yán)重的�����,均可構(gòu)成非法侵入計(jì)算機(jī)信息系統(tǒng)罪����。然而,根據(jù)《刑法修正案(七)》���,行為人如果侵入的是國(guó)家事務(wù)���、國(guó)防建設(shè)、尖端科學(xué)技術(shù)系統(tǒng)以外的計(jì)算機(jī)信息系統(tǒng)���,需要達(dá)到情節(jié)嚴(yán)重的程度才能構(gòu)成非法侵入計(jì)算機(jī)信息系統(tǒng)罪����,而對(duì)那些還沒有造成危害后果或者剛剛著手實(shí)施釣魚行為以及其他的一些情節(jié)不是很嚴(yán)重的行為,則無力規(guī)制�����?�?墒?,這與“網(wǎng)絡(luò)釣魚”本身極具有社會(huì)危害性,需要進(jìn)行《刑法》的規(guī)制是不相適應(yīng)的����。由以上分析可以看出,非法侵入計(jì)算機(jī)信息系統(tǒng)罪是不能規(guī)制當(dāng)前的“網(wǎng)絡(luò)釣魚”行為的�。
我國(guó)《刑法》第二百八十六條規(guī)制的是違反國(guó)家規(guī)定,對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除���、修改����、增加����、干擾,造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行??后果嚴(yán)重的行為��。“網(wǎng)絡(luò)釣魚”行為中的一種表現(xiàn)形式,即利用木馬和黑客技術(shù)等手段竊取用戶信息的行為�,“網(wǎng)絡(luò)釣魚”中的此類行為在一定程度上綜合了該罪的客觀方面,似乎可以此罪來定罪處罰��。然而�,該罪的三款都要求“后果嚴(yán)重”才能人罪�����,釣魚者只竊取了某個(gè)人的個(gè)人資料或身份信息��,很難認(rèn)定為“后果嚴(yán)重”����,因?yàn)檫@里缺乏一個(gè)量化標(biāo)準(zhǔn)。
盡管我國(guó)刑法中直接規(guī)定的與計(jì)算機(jī)和網(wǎng)絡(luò)有關(guān)的犯罪不能直接規(guī)制目前出現(xiàn)的詐取他人身份信息和密碼的行為�����,但有一種特殊的身份信息卻因?yàn)槲覈?guó)刑法的專門規(guī)定可以得到保護(hù)��,即信用卡資料���。如果釣魚者竊取網(wǎng)絡(luò)用戶信用卡的賬號(hào)���、密碼等信息資料����,就構(gòu)成了《刑法》第一百七十七條之一規(guī)定的妨害信用卡管理罪�����。釣魚者的另外一種行為也可能受到我國(guó)現(xiàn)有刑法的規(guī)制����,即偽造網(wǎng)站時(shí),同時(shí)偽造或擅自制造了他人注冊(cè)商標(biāo)標(biāo)識(shí)的行為�,如果達(dá)到情節(jié)嚴(yán)重的程度,就構(gòu)成了《刑法》第二百一十五條規(guī)定的非法制造注冊(cè)商標(biāo)標(biāo)識(shí)罪���。根據(jù)以上分析可以看出����,我國(guó)目前刑法基本上不適應(yīng)規(guī)制當(dāng)前愈演愈烈的網(wǎng)絡(luò)釣魚行為的需要��。
二�、網(wǎng)絡(luò)釣魚的特點(diǎn)
1.欺騙性。釣魚者利用自建站點(diǎn)模仿被釣網(wǎng)站,并結(jié)合含有近似域名的網(wǎng)址來加強(qiáng)真實(shí)程度�����。更有甚者會(huì)先侵入一臺(tái)服務(wù)器�����,在服務(wù)器上不斷重復(fù)地做相同的事情����,讓自己可以更好地脫身��,逃避追蹤以及調(diào)查��。1-2
3.針對(duì)性���。通常與釣魚者緊密相關(guān)的都是一些銀行����、商業(yè)機(jī)構(gòu)等的網(wǎng)站���,隨著互聯(lián)網(wǎng)的飛速發(fā)展����,電子商務(wù)、網(wǎng)上購物已經(jīng)成為與網(wǎng)民息息相關(guān)的服務(wù)��。龐大的網(wǎng)絡(luò)資金流動(dòng)�,帶來了很多的新興行業(yè),也帶來了潛在的安全隱患��。
3.多樣性���。網(wǎng)絡(luò)釣魚是一種針對(duì)人性弱點(diǎn)的攻擊手法�����,釣魚者不會(huì)千篇一律地去進(jìn)行攻擊�,不管是網(wǎng)絡(luò)還是現(xiàn)實(shí)中到處都存在釣魚式攻擊的影子��。釣魚者不會(huì)局限于常用的偽造網(wǎng)站���、虛假郵件等手法�����,而是會(huì)結(jié)合更多的便民服務(wù)���,以容易接受的形式去誘騙被釣者�。從而在更短的時(shí)間內(nèi)獲得更好的效果�。
4.可識(shí)別性。網(wǎng)絡(luò)釣魚并不是無懈可擊�,更不是沒有一點(diǎn)破綻。從釣魚者的角度出發(fā)�����,釣魚者本身會(huì)利用最少的資源去構(gòu)造自己的釣魚網(wǎng)站���,因?yàn)闊o法去利用真實(shí)網(wǎng)站獨(dú)有的一些資源(如域名�、U盾��、數(shù)字驗(yàn)證等)�。因此�,在偽造網(wǎng)站方面。會(huì)利用近似或者類似的方法來進(jìn)行欺騙����,通常我們可以查看偽造網(wǎng)站,根據(jù)經(jīng)驗(yàn)去識(shí)別其真實(shí)性�����。
三、網(wǎng)絡(luò)釣魚的主要欺騙方式
1.通過發(fā)送郵件��,以虛假的信息誘使網(wǎng)民上當(dāng)��。不法分子利用郵件的形式大量的發(fā)送垃圾郵件���,這些郵件一般以中獎(jiǎng)���、咨詢、核實(shí)等內(nèi)容來引誘網(wǎng)民在郵件中填寫賬號(hào)和密碼���,或是以各種理由要求網(wǎng)民登陸其事先設(shè)計(jì)好的釣魚網(wǎng)站提交用戶名����、密碼��、賬號(hào)���、身份證號(hào)等信息��,繼而盜取網(wǎng)民資金��。例如��,某小姐收到的“淘寶網(wǎng)”郵件�,其實(shí)是釣魚網(wǎng)站發(fā)出的誘餌,它意圖通過釣魚郵件���,將收信人引誘到一個(gè)通過精心設(shè)計(jì)與目標(biāo)組織的網(wǎng)站非常相似的釣魚網(wǎng)站上��,以獲取收信人在此網(wǎng)站上輸入的個(gè)人敏感信息���,進(jìn)而利用這些敏感信息套取財(cái)物。
2.利用大型網(wǎng)站發(fā)布虛假的信息進(jìn)行詐騙�����。此類犯罪活動(dòng)一般是利用大型的電子商務(wù)網(wǎng)站或者比較知名的購物網(wǎng)站上發(fā)布虛假的商品銷售信息�����,犯罪分子在收到被騙人的匯款后就銷聲匿跡���。比如前幾年,罪犯佘某建立了奇特器材網(wǎng)���,發(fā)布出售一些虛假信息����,誘騙顧客將貨款匯入自己銀行賬戶,然后轉(zhuǎn)移贓款的案件���。
3.建立假冒的網(wǎng)上銀行�����、網(wǎng)上證券網(wǎng)站來竊取用戶賬號(hào)和密碼�。犯罪分子建立起域名和網(wǎng)頁內(nèi)容都與真正的網(wǎng)上銀行��、網(wǎng)上證券網(wǎng)站非常相似的網(wǎng)站�����,引誘用戶輸入賬號(hào)和密碼��,進(jìn)而通過真正的網(wǎng)上銀行�����、網(wǎng)上證券系統(tǒng)來盜取資金�����。
4.利用木馬和黑客技術(shù)手段竊取用戶賬號(hào)信息后實(shí)施盜取活動(dòng)。犯罪分子利用發(fā)送電子郵件或者網(wǎng)站中隱藏木馬等方式來傳播木馬程序�����,當(dāng)有網(wǎng)民感染木馬后進(jìn)行網(wǎng)上交易��,木馬程序會(huì)以鍵盤記錄的方式獲取到用戶賬戶和密碼���。
四���、網(wǎng)絡(luò)釣魚技術(shù)原理
1.仿制釣魚網(wǎng)頁
網(wǎng)絡(luò)釣魚者根據(jù)正常的官方網(wǎng)站網(wǎng)頁的模樣,利用網(wǎng)頁制作工具軟件進(jìn)行仿制或利用網(wǎng)站導(dǎo)人來獲取網(wǎng)頁素材��,即使有些內(nèi)容無法獲取到也無關(guān)要緊�,大多數(shù)人都不會(huì)清楚地記得被冒仿的網(wǎng)頁上都有哪些內(nèi)容。釣魚者將仿制好的網(wǎng)頁掛靠到一個(gè)或多個(gè)可公開訪問的網(wǎng)站服務(wù)器上����,這樣網(wǎng)絡(luò)用戶就可以通過Internet訪問這個(gè)頁面,這樣一個(gè)釣魚網(wǎng)站就制作完成�����。
2.利用數(shù)據(jù)庫后臺(tái)技術(shù)
網(wǎng)絡(luò)釣魚網(wǎng)站的最終結(jié)果是要收集騙取上網(wǎng)者的個(gè)人賬戶信息��,因此如何捕獲收集用戶在網(wǎng)頁上輸人的信息是關(guān)鍵��。在獲取到網(wǎng)頁信息后��,釣魚者會(huì)對(duì)網(wǎng)頁代碼根據(jù)自我需求性進(jìn)行相應(yīng)改變���,而且釣魚者不需像正常網(wǎng)頁那樣做合法性的反饋校驗(yàn)等那些過程��,只是將用戶的錄入直接傳送到特定的后臺(tái)的數(shù)據(jù)庫或文本文件中���,也可以利用特定代碼程序?qū)⒂脩糨斎氲膬?nèi)容通過電子郵件發(fā)送到釣魚者的電子信箱中。MySQL和Access數(shù)據(jù)庫編程簡(jiǎn)單且易維護(hù)�����,是釣魚者們常用的后臺(tái)方式��,也有釣魚者利用NOS的漏洞��,把制作或訂購的木馬病毒代碼植入到用戶計(jì)算機(jī)中�,當(dāng)用戶上網(wǎng)時(shí),將用戶輸入的隱私信息保存記錄下來����,或直接發(fā)送給釣魚者���。
五、遏制網(wǎng)絡(luò)釣魚行為的措施
(一)法律措施
1.政府有關(guān)部門應(yīng)當(dāng)依靠技術(shù)手段��,以技術(shù)治網(wǎng)�。工信部、公安部等打擊“釣魚網(wǎng)站”的相關(guān)部門應(yīng)建立與“中國(guó)反釣魚網(wǎng)站聯(lián)盟”的互動(dòng)對(duì)接和信息共享機(jī)制���。實(shí)現(xiàn)官方“打釣”與非官方“打釣”的優(yōu)勢(shì)互補(bǔ)�,達(dá)到快速�、及時(shí)的效果。鼓勵(lì)更多電子商務(wù)或金融支付網(wǎng)站加入“中國(guó)反釣魚網(wǎng)站聯(lián)盟”��。對(duì)加入網(wǎng)站來說也可以提高其安全性�,避免釣魚網(wǎng)站“冒名頂替”,給自身的信譽(yù)造成傷害���。
2.應(yīng)該規(guī)定網(wǎng)絡(luò)釣魚罪��。建議以利用身份識(shí)別信息實(shí)施違法或犯罪行為為目的�,故意利用仿冒的電子郵件信息、網(wǎng)頁��、網(wǎng)絡(luò)站點(diǎn)或者其他網(wǎng)絡(luò)技術(shù)手段欺詐性地獲取網(wǎng)絡(luò)用戶的身份識(shí)別信息�,處三年以下有期徒刑�����、拘役或者管制����,并處或者單處罰金。從打擊“網(wǎng)絡(luò)釣魚”的角度來說�����,此種規(guī)定當(dāng)然是可取的��。因?yàn)?����,?dāng)每一種違法犯罪行為出現(xiàn)時(shí)����,我們都有理由在刑法中規(guī)定一種犯罪,但是,從長(zhǎng)遠(yuǎn)來看���,大量新罪的增加會(huì)造成對(duì)現(xiàn)行刑法體系和結(jié)構(gòu)的沖擊�����。因此��,在增設(shè)新罪時(shí)一定要考慮到這個(gè)問題���,既要保持現(xiàn)行刑法結(jié)構(gòu)體系的穩(wěn)定性,又要將一些新出現(xiàn)的犯罪行為納入到自己的規(guī)制之下����。
3.完善網(wǎng)絡(luò)法律法規(guī)并應(yīng)大力宣傳有關(guān)互聯(lián)網(wǎng)方面的法律法規(guī),培養(yǎng)網(wǎng)民的法制觀念��,提高防范意識(shí)���。提倡規(guī)范辦網(wǎng)�����、文明用網(wǎng)��,不給釣魚網(wǎng)站的建立制造便利���。作為普通網(wǎng)民�,在受釣魚網(wǎng)站欺騙后要第一時(shí)間報(bào)警����,任何高明的手段�,都會(huì)留下蛛絲馬跡,及早報(bào)案����,是保護(hù)自己權(quán)益的最好手段。
(二)個(gè)人防范措施
1.從網(wǎng)絡(luò)釣魚途徑預(yù)防釣魚者
引導(dǎo)��、誘騙上網(wǎng)用戶訪問接觸釣魚網(wǎng)站的方法有很多���,其中常見的方法有:通過QQ���、MSN、Email����、微博、論壇、社交網(wǎng)站�、博客、等方式發(fā)送大量有誘惑性的信息����,如促銷、打折��、搶購���、優(yōu)惠���、高回報(bào)投資、抽獎(jiǎng)�、彩票、或交友網(wǎng)站上的異性吸引交往等��;進(jìn)行有目的人侵網(wǎng)站�,并非法修改官方網(wǎng)站的相關(guān)內(nèi)容,將其內(nèi)容鏈接到釣魚網(wǎng)站�����;還有利用網(wǎng)頁彈出功能或滾動(dòng)跳躍窗口等方法來發(fā)布虛假公告或其他誘惑信息�;最后還有通過在知名門戶網(wǎng)站以及搜索引擎中投放廣告等手段吸引用戶點(diǎn)擊進(jìn)入釣魚網(wǎng)站�����。
2.培養(yǎng)分辨真假網(wǎng)站的能力
釣魚者利用偽裝成的合法信息或公告���,來迷惑用戶的判斷。例如����,釣魚者發(fā)送電子郵件時(shí)會(huì)對(duì)郵件地址做一定程度的偽裝,特別是如果一些用戶的電子郵箱或即時(shí)通訊工具被人侵�����,釣魚者會(huì)直接給地址薄或好友列表中的用戶發(fā)送釣魚信息�����,這樣接收者就更不會(huì)懷疑發(fā)送來源和發(fā)送內(nèi)容的有害性�����。最常見的方式就是對(duì)URL進(jìn)行偽裝���,這些偽裝具有足夠的迷惑性����,用戶上網(wǎng)不細(xì)心的話時(shí)很難辨出真?zhèn)巍?/p>
3.提高安全意識(shí)是防范的關(guān)鍵
大多網(wǎng)民在提交個(gè)人信息時(shí)���,雖然對(duì)信息安全問題存在顧慮����,但為了獲取免費(fèi)服務(wù)�、免費(fèi)產(chǎn)品,或者為了認(rèn)識(shí)更多的朋友���,仍還是會(huì)在網(wǎng)上填寫個(gè)人的真實(shí)信息���。用戶對(duì)個(gè)人信息保護(hù)的重視不夠,安全意識(shí)淡薄�,為非法網(wǎng)站的不法行為提供了便利條件。釣魚網(wǎng)站從代碼級(jí)別上看也是正常網(wǎng)頁�,因此電腦上安裝的安全防毒軟件也不一定會(huì)對(duì)這類網(wǎng)站做到百分百的防范。
1.建立反釣魚URL數(shù)據(jù)庫
目前主流的PC安全軟件都含有防網(wǎng)絡(luò)釣魚的功能�。從前面表述的技術(shù)細(xì)節(jié)可以知道,釣魚網(wǎng)站的URL地址都是特定設(shè)置的�,所以需要建立反釣魚網(wǎng)站的URL數(shù)據(jù)庫,即把釣魚網(wǎng)站可能出現(xiàn)的網(wǎng)站地址和在已有的反釣魚數(shù)據(jù)庫中的地址相互比判�,如果出現(xiàn)和數(shù)據(jù)庫中的官網(wǎng)地址不一樣的情況���,應(yīng)該立即停止或者給用戶發(fā)出警告,以避免上鉤受騙���。當(dāng)然上網(wǎng)用戶若得知或疑惑自己訪問了此類網(wǎng)站�����,便可使用舉報(bào)方式告知安全軟件防護(hù)廠商�����,把經(jīng)過分析并確認(rèn)后的釣魚網(wǎng)站地址經(jīng)過軟件控制自動(dòng)送人反釣魚數(shù)據(jù)庫����。還有的安全廠商建立有自己的搜索引擎����,通過搜索引擎不間斷地抓取疑似網(wǎng)頁內(nèi)容���,智能化的分析判斷是否為釣魚網(wǎng)站�,并據(jù)此建立擴(kuò)充自己的反釣魚地址服務(wù)器庫����。這種方法的缺點(diǎn)是需要經(jīng)常升級(jí)更新反釣魚數(shù)據(jù)庫���,原因是每天都會(huì)出現(xiàn)更多的新網(wǎng)站,因此這種方式無法防護(hù)最新的釣魚網(wǎng)站��。
2.網(wǎng)頁實(shí)時(shí)防護(hù)
它是一種先進(jìn)的網(wǎng)頁防護(hù)技術(shù)����,能對(duì)用戶所訪問的網(wǎng)站對(duì)象進(jìn)行智能的動(dòng)態(tài)的判別。對(duì)于任何網(wǎng)頁內(nèi)容��,瀏覽器都可以解析為具體的CSS�、JavaScript等程序代碼。當(dāng)然釣魚網(wǎng)站的網(wǎng)頁代碼的頭標(biāo)記或其他標(biāo)記處有其共同的某些特征����,在對(duì)其代碼標(biāo)記的特征進(jìn)行解析比較獲得一個(gè)網(wǎng)站信譽(yù)參考值,根據(jù)信譽(yù)參考值來判別該網(wǎng)頁是否為釣魚網(wǎng)頁���,還可以把有問題的網(wǎng)站IP地址出現(xiàn)的頻率和非法非IP的認(rèn)可度建立IP認(rèn)證庫���,用戶所訪問的IP地址將在IP認(rèn)證庫中被指定為受信任的、可疑的或是被禁止的�����。據(jù)此告知用戶該網(wǎng)站是否存在釣魚危害。
3.結(jié)合云計(jì)算策略
近些年發(fā)展起來的云技術(shù)給網(wǎng)絡(luò)安全防護(hù)帶來了新的思路��,即所謂的“云安全”���。主流的云安全軟件都有著一群龐大的用戶群��。把用戶接觸到的釣魚網(wǎng)站智能迅速的整合到云安全數(shù)據(jù)庫中���,一并分享給網(wǎng)絡(luò)用戶。網(wǎng)絡(luò)信息庫中可以包含前述的各種技術(shù)數(shù)據(jù)��,也可以是它們的組合�����,構(gòu)成多維的防護(hù)屏障��。
