前言：本站為你精心整理了網(wǎng)絡(luò)釣魚現(xiàn)象與安全分析論文范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

[摘要]文章主要關(guān)注的是對網(wǎng)絡(luò)銀行安全構(gòu)成重大威脅的釣魚欺詐：首先對釣魚欺詐進行了概括性的討論和分析；由于在此前的諸多研究中，客戶的作用與地位往往被忽視，于是文章做了一個旨在了解客戶識別及判斷釣魚欺詐能力的調(diào)查，以充分說明網(wǎng)絡(luò)銀行安全的兩個關(guān)鍵要素是網(wǎng)絡(luò)銀行提供商和網(wǎng)絡(luò)銀行客戶；最后，從客戶視角出發(fā)，提出了一些建議，希望能讓在客戶層面的網(wǎng)絡(luò)安全防御能與提供商層面的安全防御一樣固若金湯。

[關(guān)鍵詞]釣魚欺詐；網(wǎng)絡(luò)銀行提供商；網(wǎng)絡(luò)銀行客戶

由于網(wǎng)絡(luò)技術(shù)的日新月異和人們對方便、迅捷的銀行交易需求的日益高漲，越來越多的銀行都開始不遺余力地推廣網(wǎng)絡(luò)銀行。網(wǎng)絡(luò)銀行作為電子銀行或者電子資金轉(zhuǎn)移的一種重要形式，依靠強大的技術(shù)支持為客戶和企業(yè)提供各種金融服務(wù)?？蛻艨梢岳弥T如PDA/PC或者手提電腦等終端設(shè)備連接到互聯(lián)網(wǎng)后，在任何時間、任何地點進行各種交易，而不必擔(dān)心交通擁塞、停車不便或者事務(wù)繁忙而無法辦理業(yè)務(wù)。

在客戶享受到網(wǎng)絡(luò)銀行提供便捷服務(wù)的同時，詐騙者也同樣蠢蠢欲動：他們對網(wǎng)絡(luò)銀行所帶來的便利覬覦已久，一旦詐騙者能夠成功的截取賬戶信息或者誘騙客戶提供賬戶信息，那么他們也可以在任何時間、任何地點侵入客戶賬戶。這就需要網(wǎng)絡(luò)銀行提供商和網(wǎng)絡(luò)銀行客戶對于網(wǎng)絡(luò)銀行安全保持高度的關(guān)注，對潛在的風(fēng)險保持高度的警惕。

一、釣魚欺詐

（一）釣魚欺詐（Phishing）本義

釣魚欺詐（Phishing）是在20世紀(jì)90年代中期，由黑客創(chuàng)造出來的詞語，它原本指的是竊取美國在線（American-Online）客戶的賬戶。釣魚欺詐讓毫無警覺的網(wǎng)絡(luò)銀行客戶無意中泄露他們的個人信息，從而使詐騙者獲取他們的敏感數(shù)據(jù)。當(dāng)詐騙者獲得這些數(shù)據(jù)后，他們就會非法侵入客戶賬戶，大肆獲取其他敏感信息，最后通常會將客戶賬戶上的資金非法轉(zhuǎn)移到自己的賬戶上或者將客戶的個人資料在黑市上出售。

（二）釣魚欺詐的種類

1.誘騙式釣魚欺詐(Deceptivephishing)。誘騙式釣魚欺詐最常用的載體就是電子郵件：在典型的情況下，詐騙者發(fā)出大量誘騙電子郵件，其中包含有HTML表格和一些誘使客戶填寫表格的敘述；更多情況下，郵件含有超鏈接：只要客戶一點擊，就會將客戶鏈接到一個偽造的網(wǎng)站上。

2.惡意軟件式釣魚欺詐(Malware-basedphishing)。惡意軟件式釣魚欺詐指的是這種釣魚欺詐會讓惡意軟件運行在客戶電腦上。而惡意軟件的傳播主要是通過社會工程式詐騙或者利用安全漏洞進行的。

3.域名欺騙式釣魚欺詐(Pharming)。Pharming這個名字產(chǎn)生于2005年3月的一次大規(guī)模域名服務(wù)緩存毒害事件，它的意思是“域名欺騙式釣魚欺詐”，指的是欺騙客戶在假扮合法網(wǎng)站的非法網(wǎng)站上輸入敏感信息，如密碼、信用卡卡號等的一種欺詐方式。這種方式不需要客戶點擊郵件中的超鏈接，甚至即便是客戶正確的輸入了網(wǎng)頁地址URL，詐騙者仍然可以將客戶鏈接到非法網(wǎng)站上。

4.內(nèi)容植入式釣魚欺詐(Content-injectionphishing)。內(nèi)容植入式釣魚欺詐指的是將惡意內(nèi)容植入合法網(wǎng)站，這些惡意內(nèi)容可能會將客戶鏈接到其他網(wǎng)站，或者在客戶電腦上安裝并運行惡意軟件，從而將數(shù)據(jù)傳輸?shù)结烎~欺詐服務(wù)器上。

5.中間人釣魚欺詐(Man-in-the-middlephishing)。中間人釣魚欺詐是指詐騙者將自己置于客戶與合法網(wǎng)站之間。本應(yīng)傳送到合法網(wǎng)站的內(nèi)容被詐騙者所獲取，他們截留下有用的信息后，繼續(xù)將內(nèi)容傳遞給合法網(wǎng)站，同時也將來自合法網(wǎng)站傳遞給客戶的信息截留后傳遞。中間人釣魚欺詐也可以用作信息流截取。這種釣魚欺詐也有多種不同變化形式，但是通常對中間人釣魚欺詐的定義是：一個網(wǎng)絡(luò)安全的分支，在該欺詐中，詐騙者截取并且很有可能篡改傳輸中的數(shù)據(jù)。

6.搜索引擎式釣魚欺詐(Searchenginephishing)。詐騙者采用的另外一種詐騙手段就是為一些虛假的商品開設(shè)網(wǎng)頁出售，同時搜索引擎如Google，Baidu等索引到這些網(wǎng)頁或者商品。這些商品看上去價廉物美，當(dāng)客戶決定購買這些商品，輸入交易所需的信息后，敏感數(shù)據(jù)就會被詐騙者所獲取。sp;

7.分布式釣魚欺詐(Distributedphishing)。分布式釣魚欺詐是一種新出現(xiàn)的詐騙方式，釣魚欺詐網(wǎng)站所用的主機不是傳統(tǒng)的網(wǎng)絡(luò)提供商而是私人電腦。這是因為如果使用傳統(tǒng)的網(wǎng)絡(luò)提供商所提供的主機構(gòu)建網(wǎng)站，這些網(wǎng)站會很快被反釣魚欺詐聯(lián)盟所甄別并且摧毀。分布式釣魚欺詐的出現(xiàn)對于防治釣魚欺詐來說是一次巨大的挑戰(zhàn)，追蹤分布式主機顯然要比追蹤網(wǎng)絡(luò)提供商的主機困難的多。

（三）釣魚欺詐的變化

在釣魚欺詐的早期，大多數(shù)的詐騙主要依賴含有非法超鏈接的詐騙郵件誘使客戶泄露自己信息。然而，在過去的數(shù)年內(nèi)，詐騙者利用更為先進的技術(shù)手段和更多樣化的載體，使釣魚欺詐的形式更為多樣化。例如近年來出現(xiàn)的網(wǎng)絡(luò)語音欺詐以及短信釣魚欺詐等。

（四）釣魚欺詐流程

如圖-1所示，釣魚欺詐的基本信息流按照其步驟依次如下。

（1）詐騙者為釣魚欺詐做準(zhǔn)備，他們創(chuàng)建域名和服務(wù)器，并將惡意軟件或者詐騙傳播載體植入其中。

（2）詐騙載體通過不同的傳播途徑到達目的地。例如，在誘騙式釣魚欺詐中，詐騙載體通常是含有詐騙內(nèi)容的電子郵件；又如在惡意軟件釣魚欺詐中，詐騙載體往往是惡意程序代碼或者客戶無意中下載的軟件或者是安全漏洞。

（3）客戶做出反應(yīng)，如點擊超鏈接從而被鏈接到欺詐網(wǎng)站或者是鏈接到合法網(wǎng)站，但是其一舉一動被鍵盤記錄軟件所監(jiān)控，從而使自己暴露在潛在的威脅之下。

（4）網(wǎng)站唆使客戶泄露敏感數(shù)據(jù)；這些網(wǎng)站可能是合法網(wǎng)站被植入惡意代碼也可能是非法網(wǎng)站等。

（5）由于惡意服務(wù)器，或者本地運行的惡意軟件，抑或是在監(jiān)聽軟件竊取下，用戶泄露敏感信息，如用戶名或者密碼等。（6）敏感信息通過本地運行的惡意軟件，如鍵盤記錄、屏幕記錄程序或者網(wǎng)頁木馬傳遞給詐騙者。具體傳遞方式取決于釣魚欺詐的具體種類。（7）所獲取的敏感信息被非法使用，以入侵客戶賬戶。（8）詐騙者獲得非法金錢收入或者將這些信息非法出售以斂財。

二、調(diào)查

我們知道，客戶是詐騙者主要的攻擊目標(biāo)，但是這從來未引起足夠的重視。網(wǎng)絡(luò)銀行提供商和研究者應(yīng)該重視供應(yīng)商和客戶之間的密切關(guān)系，重視客戶的看法，尊重他們的選擇，并且積極主動的傾聽他們的建議?；谏鲜隹紤]，筆者設(shè)計了這個調(diào)查。

（一）調(diào)查設(shè)計

1.問卷設(shè)計。問卷共分為3部分，第一部分是選擇題，我們希望了解客戶是否經(jīng)歷過釣魚欺詐以及他們對待釣魚欺詐的一般觀點。第二部分為排序題，要求參與者根據(jù)自己的判斷，對出現(xiàn)的內(nèi)容按照一定的次序進行排列。我們想要了解是哪些方面造成詐騙郵件或者網(wǎng)頁具有迷惑性，同時為什么一些合法的郵件或者內(nèi)容會讓客戶覺得模棱兩可。第三部分是選擇題，我們想了解客戶的一般上網(wǎng)習(xí)慣，這對于有效防止釣魚欺詐至關(guān)重要。整個調(diào)查采用標(biāo)準(zhǔn)化測試，參與者需要在15分鐘之內(nèi)，獨立完成問卷，而且在此期間他們不能上網(wǎng)或者查閱資料。為了讓我們的調(diào)查更具體、更有說服力，在問卷部分結(jié)束后，我們鼓勵所有參與者向我們及時反饋他們的想法或觀點。

2.受訪者選擇。根據(jù)受訪者不同的背景，我們將受訪者分為三組：IT背景、金融背景和其他背景。一共有39名參與者，我們在有效問卷中，隨機從每個組別選出了6份問卷，因此最終有效參與者為18人，年紀(jì)從19歲至45歲不等。我們需要強調(diào)的是：目前幾乎沒有針對中國進行的釣魚欺詐研究，所以我們有意識地僅選擇中國人作為受訪者；因此，調(diào)查結(jié)果將代表性地展示釣魚欺詐在中國的特點以及客戶對待釣魚欺詐的態(tài)度。

（二）調(diào)查結(jié)果

整個調(diào)查帶給我們諸多啟示，這些都有助于我們更好的了解客戶行為，制定防治釣魚欺詐的措施。

1.釣魚欺詐在中國的情況與在北美地區(qū)有所不同。知道釣魚欺詐的參與者比例接近67%，但是這一比例仍然偏低；有些參與者雖然在使用網(wǎng)絡(luò)銀行服務(wù)，但是表示他們從未聽說過釣魚欺詐，這顯然是一個重大的安全隱患。在知道釣魚欺詐的67%中，只有少數(shù)確定他們曾經(jīng)收到過釣魚欺詐郵件，這一點與北美地區(qū)大多數(shù)人都曾收到過釣魚欺詐郵件有著比較明顯的區(qū)別。

2.大多數(shù)人無法真正識別釣魚欺詐郵件。根據(jù)調(diào)查，雖然有75%的參與者說他們“能夠”區(qū)分釣魚欺詐郵件，但他們的理由是：他們從不相信任何含有銀行賬戶信息或者其他個人信息的郵件，而不是他們曾經(jīng)對釣魚欺詐有過比較充分的了解或者熟悉一些簡單判斷釣魚欺詐郵件的辦法。這充分說明了，大多數(shù)中國網(wǎng)絡(luò)銀行客戶對網(wǎng)絡(luò)銀行服務(wù)缺乏信心和熱情，同時也說明了網(wǎng)絡(luò)銀行提供商在盲目推廣他們的產(chǎn)品的時候，沒有積極和客戶交流，沒有積極聽取客戶的反饋。

3.沒有采用可以有效防治釣魚欺詐的方法。87%的受訪者表示，他們在收到釣魚欺詐郵件后，會立即刪除，而不會采取其他行動；只有1位參與者表示，他打算向有關(guān)部門反映，但是他坦言，他并不知道哪個部門會受理此類投訴。這對于網(wǎng)絡(luò)銀行提供商來說是一種巨大的警示：任何一項防治措施，如果沒有客戶真正參與進來，那么這項措施都是毫無益處的。

4.電子郵件最具釣魚欺詐性，手機短信和手機彩信其次，電話和傳真最不具有欺詐性。在所有參與者看來，電子郵件最具釣魚欺詐性，但是他們也對手機短信或者手機彩信釣魚欺詐性的擔(dān)憂快速增加：超過25%的參與者認為短信或者彩信最具釣魚欺詐性。這個特點需要網(wǎng)絡(luò)銀行提供商和研究者充分重視，因為大多數(shù)銀行提供通過手機短信或者手機彩信進行實時交易提醒的服務(wù)，如果詐騙者利用這個漏洞，將會造成更多的損失。

5.客戶對郵件主題比較敏感。大約89%的參與者認為，中獎信息最具釣魚欺詐性，但是其他的郵件主題對于參與者而言幾乎沒有區(qū)別。這說明，目前在中國釣魚欺詐的手段和形式比較單一：一方面釣魚欺詐在控制范圍中，一方面提醒我們一旦詐騙者采用多樣化的手段，就會造成巨大的損失，因為客戶沒有任何防御準(zhǔn)備。

6.郵件的樣式會有一定作用。78%的參與者表示，一旦郵件中含有超鏈接，他們會非常警惕；同時一封郵件過分強調(diào)安全性，他們也會產(chǎn)生懷疑。參與者同時建議，郵件不應(yīng)該作為緊急事件的通知途徑，如果密碼修改、賬戶安全性提示等。

7.第三方的安全認證取決于該認證品牌認可度。調(diào)查中，我們列出了諸多第三方安全認證產(chǎn)品，從已有的品牌McAfee，TrustWatch到編造的品牌BankSecurity。我們發(fā)現(xiàn)，在具有IT背景的參與者中，他們幾乎做出了相同的排序：McAfee,TrustWatch和微軟旗下品牌OneCare是值得信任的，但是對于其他品牌，如FinjanSecureBrowsing由于其在中國較低的知曉度，也被排列在受懷疑的序列中。而對于金融背景和其他背景的受訪者而言，所有品牌都被列為受懷疑序列。部分參與者建議，如果有一個權(quán)威的機構(gòu)或者組織第三方安全認證信息，這樣更容易讓所有人接受和信賴。

8.人們關(guān)心URLs。我們發(fā)現(xiàn)，參與者對網(wǎng)頁的URLs地址非常關(guān)注，同時他們都善于發(fā)現(xiàn)網(wǎng)站地址的細微差別。但SSL安全標(biāo)識作用有限：參與者表示在打開新頁面的時候，他們很少去關(guān)注SSL安全標(biāo)識，同時僅有39%的參與者能夠區(qū)分http和https的區(qū)別。所以，我們再次確信，雖然網(wǎng)絡(luò)銀行提供商、軟件制造商和ISPs竭盡全力強化系統(tǒng)安全，但是如果客戶沒有積極參與其中，所有的措施都顯得事倍功半。

上述結(jié)論充分表明了客戶與網(wǎng)絡(luò)銀行提供商在了解上存在真空區(qū)域，而這正是造成先進的安全系統(tǒng)無法充分發(fā)揮作用的原因。如果我們不對客戶的反饋和看法予以充分的重視，更具威脅的釣魚欺詐將會頻繁襲來。

三、防范措施

眾多的研究者認為，由于詐騙者會持續(xù)不斷的改善其技術(shù)手段，網(wǎng)絡(luò)銀行提供商也應(yīng)該深化并精化其技術(shù)設(shè)備以構(gòu)建更為安全的網(wǎng)絡(luò)安全系統(tǒng)。我們?yōu)?，進行技術(shù)優(yōu)化固然重要，然而他們卻完全忽視了網(wǎng)絡(luò)銀行客戶。只有結(jié)合提供商和客戶的力量，才能讓使兩者進行良性互動、協(xié)同共“戰(zhàn)”。

（一）在交易前進行教育

網(wǎng)絡(luò)銀行提供商應(yīng)該確保在客戶進行交易前，對他們進行足夠的安全教育。

1.熟悉交易流程。有位調(diào)查參與者在訪問中表示，雖然他沒有系統(tǒng)了解過釣魚欺詐，但是由于他非常熟悉網(wǎng)絡(luò)交易的整個過程，一旦交易中有任何異常，他都能立刻察覺。所以，我們建議網(wǎng)絡(luò)銀行提供商應(yīng)該讓客戶充分熟悉交易流程，從而構(gòu)建起第一道有效防線。

2.熟悉常見釣魚欺詐手法。我們已經(jīng)證實，如果客戶對常見的釣魚欺詐手法有一定了解的話，那么客戶會更容易避免釣魚欺詐的襲擊。從這個角度而言，網(wǎng)絡(luò)銀行提供商在客戶開戶的時候，就應(yīng)該充分告之客戶常見的釣魚欺詐手法，因為預(yù)防措施永遠比事后補救更為有效。

3.熟悉銀行正確的工作方式。網(wǎng)絡(luò)銀行提供商應(yīng)該使客戶了解銀行正確的工作方式，客戶了解的越清楚，他們被詐騙者誤導(dǎo)的可能性就越低。比如，客戶應(yīng)該清楚，雖然銀行會給客戶打電話進行業(yè)務(wù)處理，但是他們永遠不會索要客戶的個人敏感信息，比如密碼、PINs等，而且客戶決不能信任在電子郵件中出現(xiàn)的所謂的“客服電話”等，當(dāng)需要撥打客服電話時，客戶可以從銀行卡背面找到。這些都有助于使客戶進一步識別釣魚欺詐。

（二）在交易中進行溝通

交易中，客戶與網(wǎng)絡(luò)銀行提供商進行及時有效的溝通會有效降低釣魚欺詐的影響，就算客戶受到釣魚欺詐的襲擊，雙方也可以采取有效的措施進行彌補，以避免更大程度的損失。

1.定期發(fā)送提示資料。釣魚欺詐手段隨時隨地都在進行變化，為了使客戶能夠及時了解最新動態(tài)，定期發(fā)送相關(guān)提示資料可以讓網(wǎng)絡(luò)銀行提供商與客戶進行有效的溝通；這樣可以盡可能降低由于新式釣魚欺詐手段所帶來的伴隨效應(yīng)。

2.多渠道交易提示。通常來說，當(dāng)賬戶發(fā)生資金變動時，網(wǎng)絡(luò)銀行提供商會通過電子郵件或者短信或者依據(jù)客戶定制發(fā)送資金變動信息。但是這就存在著一個明顯而危險的漏洞，如果客戶面臨中間人釣魚欺詐，詐騙者就能截取從銀行發(fā)給客戶的提示信息。因此，如果采用多渠道交易提示，毫無疑問這會大幅度增加詐騙者進行欺詐的難度，而不會對客戶造成任何額外的不便。

（三）在交易后進行反饋

客戶的反饋常常會幫助銀行做出許多有益的改善，因此網(wǎng)絡(luò)銀行提供商應(yīng)該鼓勵客戶積極反饋信息，并且也應(yīng)該主動的與客戶進行聯(lián)系，從而讓客戶與他們的互動更為充分。

1.提供商主動提供交易安全報告。對于客戶來說，如果他進行了大量的交易，而僅僅在某個交易發(fā)生釣魚欺詐，他很容易忽視，從而遭受莫名的損失。因而，網(wǎng)絡(luò)銀行提供商可以定期向客戶發(fā)送交易安全報告，在報告中，提供商可以詳細列出交易的金額、時間，并且根據(jù)IP地址顯示交易地址以及瀏覽器類型等信息。一旦有任何異常信息，網(wǎng)絡(luò)銀行提供商應(yīng)該醒目標(biāo)識并等待客戶確認，同時這還可以借助數(shù)據(jù)挖掘工具對交易記錄進行分析。超級秘書網(wǎng)

2.建立無障礙反饋通道，鼓勵客戶反饋。我們已經(jīng)在調(diào)查中指出，很多客戶想要與網(wǎng)絡(luò)銀行提供商進行溝通，但是他們從來沒有找到合適的方式。因此，我們建議網(wǎng)絡(luò)銀行提供商開設(shè)無障礙反饋通道，這樣可以讓客戶與網(wǎng)絡(luò)銀行提供商進行無縫對接式交流。

（四）用科技手段保障交易

最后，我們還可以充分利用技術(shù)手段確保各個環(huán)節(jié)都萬無一失。目前，各家銀行主要采用兩種交易工具來確?？蛻艚灰讜r的安全。

1.動態(tài)密碼卡。動態(tài)密碼卡在收到交易指令后，會隨機產(chǎn)生交易動態(tài)密碼，這就彌補了傳統(tǒng)靜態(tài)密碼的不足。對于那些企圖“推斷”出密碼的詐騙者來說，這種方式應(yīng)該是牢不可破的。2.U盾。U盾在芯片中保存有身份真實文件和加密數(shù)據(jù)，它具有唯一性和不可復(fù)制性，充分確保了數(shù)據(jù)的真實性和準(zhǔn)確性。理論上，采用U盾作為交易工具，任何詐騙者都無法破解其密碼。

四、結(jié)論

我們必須意識到網(wǎng)絡(luò)銀行安全的兩個關(guān)鍵要素——網(wǎng)絡(luò)銀行提供商和網(wǎng)絡(luò)銀行客戶，兩者相輔相成、缺一不可。但是目前存在于客戶與網(wǎng)絡(luò)銀行提供商之間的“代溝”仍然讓詐騙者有機可乘。一方面，我們需要密切關(guān)注釣魚欺詐的發(fā)展趨勢，并且積極利用先進的信息技術(shù)；另一方面，我們建議網(wǎng)絡(luò)銀行提供商應(yīng)該充分尊重客戶，因為后者是整個網(wǎng)絡(luò)銀行體系不可或缺的一環(huán)，也是詐騙者試圖突破的一環(huán)。

為了保證整個網(wǎng)絡(luò)交易的安全，網(wǎng)絡(luò)銀行提供商應(yīng)該采用互動式體系，在交易前對客戶進行充分教育，在交易過程中充分的與客戶進行溝通同時在交易結(jié)束后，主動與客戶進行聯(lián)系，獲取客戶反饋；此外利用先進的技術(shù)手段，一定能夠確保安全、穩(wěn)定的網(wǎng)絡(luò)交易環(huán)境，從而為客戶提供可靠、便捷的網(wǎng)絡(luò)銀行服務(wù)。

[參考文獻]

[1]FinancialManagementService,www.fms.treas.gov/eft.