有人把我当作一条鱼
十二月 26, 2007 – 1:58 am |Tags:
有一天,我在hotmail邮箱的收件箱中收到了一封自称来自Paypal的邮件,电邮英文标题的意思是,一个叫Charles的人给你的Paypal账户汇了10美刀,请确定查收。内文里有确定地址。看上去这是一个很普通的服务邮件,我的鼠标移动到“确定”链接地址上,突然,我发现这个域名地址中虽然包括Paypal这个词,但还有一个前缀。显然,这不是来自Paypal的电邮。我突然醒悟过来,有人在把我当作一条鱼!某人在世界的某个角落等着调取我的Paypal帐号的密码。
我还是点开了那个链接,果然,页面设计得和Paypal一模一样,如果我没有觉察这里面的猫腻为了那10美刀贸然输入了用户名密码的话,那我就真的成了别人钩上的一条鱼。
这个假冒Paypal的网站被称作钓鱼网站,转译自英文的“phishing”,phishing是个合成词,前缀phi取自phreak,意思是偷接电话线,以phi取代fishing组成的phishing用来描述钓鱼网站靠模仿其他站点窃取网络用户储存在网站上面的钱的行为。除此之外,这里面还有另外一层意思——愿者上钩。钓鱼网站经常会以汇入10美刀或者赠送Q币之类的小恩小惠来做饵,一旦吞下这个耳,整条鱼都会被它吊走了。
钓鱼网站不是新鲜玩意儿,至少在五六年前在英文网络中就比较常见了。在我国却是这一两年才引起人们的警惕,原因是这两年网络购物消费习惯的养成。这两年造成比较大的影响的网站几乎全是瞄着银行去的,比如假冒中国工商银行(icbc.com.cn)的1cbc.com.cn,假冒中国农业银行(95599.cn)的95569.cn,假冒香港汇丰银行(hsbc.com.cn)的hkhsbc.com。有个钓鱼者更狠,模仿中国银联做了个网站叫cnbank-yl.com.cn,想通吃所有银行。
与木马相比,钓鱼网站从不含蓄往往直奔主题“我要你的钱”,这也是他们瞄向银行和Paypal这样的网络支付工具的直接原因。国内没有具体的统计数据表明网民因钓鱼网站的经济损失,市场分析公司Gartner今年6月的一份报告说,在美国有350万人曾在钓鱼网站中招,230万人因此蒙受了经济损失,而且损失还挺大,人均达1250美刀。这份报告还说,在过去两年里全球钓鱼网站数量足足翻了一番。上网人口越来越多,在这些钓鱼者眼里差不多就是绿盈盈的美元啊。
网态险恶,钓鱼叵测。人们开始着手反击计划。第一步就是尽快识破钓鱼网站,然后迅速歼灭之,现在钓鱼网站的存活时间基本控制在5天以内。另一股反击力量来自技术界,微软在新版IE浏览器中加强了对钓鱼网站的识别功能。Google也在自己的搜索结果中标明哪些网站存在潜在危险。网络安全公司也开发了一系列的网络安全软件,比如金山公司的金山网镖,一旦访问到钓鱼站点,用户就会收到弹出窗口的安全提示。Paypal这样的网络支付工具也开始制定数字签名,用户登录Paypal站点时,IE地址栏呈绿色,相反如果是钓鱼网站的话就会显示警告红色。
当然,所有的防范措施都不能做到百分之百。但我并不担心,即使上面提到的Paypal账户被钓走我也无所谓,因为所有经过那里的钱我都及时转到了我的工行账户上。而我的工行账户要开启,需要USB Key这个硬件设备。我相信,钓鱼者再厉害,也钓不走我的USB Key。
for QUO
