您现在的位置: 
防网络钓鱼诈骗 别上钩就没事
作者:CNET 人气:
【字体:大 中 小】
发布时间:2004-12-28 01:11:33
Matt Hines撰.唐慧文译
现年33岁的俄克拉何马州工程师Steve Krabill认为,要避免上网络钓鱼(phishing)的当很简单:什么人也别信。
一项网络测验摆出十封不同的电子邮件,要受试者挑出其中哪些是网络钓鱼骗局的实例,Krabill的解答是把每一封都标明为假冒的。其实有三封是真的,但在这位工程师的心目中,无论如何他还是通过测验。
服务于金属回收设备制造商Osborn Engineering公司的Krabill说:「在网络上跟我有生意往来的公司,不会发电子邮件要我提供个人数据。就是这么简单。我晓得,只要我不回复任一封信,就不会受骗。」
网络钓鱼是当前世界上蔓延最快的一种诈骗行为。尽管消费者是最明显的受害者,但伤害范围扩散得很广--连公司的财务和声誉都可能受创,甚至可能瓦解消费者对电子商务安全的信心。
安全软件制造商赛门铁克公司(Symantec)产业解决方案经理Kim Legelis说:「网络钓鱼者挟持品牌诈财,打击消费者对那些品牌的信赖感。那正是网络钓鱼迥异于其它网络威胁之处。」
骗徒通常寄发伪造的电子邮件,看起来与银行、电子商务网站这类可信赖公司所发出的电子邮件无异。钓鱼信函企图引诱民众上仿冒网站,然后要求他们提供私密的个人数据。黑客于是利用那些数据盗取受害者账户内的存款。
根据网络隐私观察机构Truste的调查报告,上网者当中,每十人就有七人曾经收到钓鱼邮件,而其中又有15%受骗、果真交出个人资料。
防治网络钓鱼工作小组(APWG)的意见调查发现,金融服务业在这些诈骗案中首当其冲,而花旗银行(Citibank)又名列攻击名单上的榜首。网络公司如eBay的在线付款子公司Paypal,以及Google的网页邮件信箱Gmail,也常遭到冒名顶替。
「对许多金融服务公司而言,全球信息网是开发新商机、提高销售额和降低客户服务成本非常重要的管道,对电子商务公司而言就更不用说了,」Legelis说:「倘若消费者对那种管道失去信心,对这些行业会产生深远的负面影响。」
企业必须花大笔的钱,来修补网钓诈财造成的损失。在许多个案中,顾客的损失都由公司赔偿;企业也拨出经费向顾客倡导防范诈财之道;为回复因网钓诈欺而受损的品牌声誉,付出的代价更是难以估计。
就网钓对生意的威胁来看,那些钱花得恰当。电子邮件安全公司MailFrontier最近所做的意见调查结果显示,40%的受访美国消费者表示,他们会转向网络身分防窃保护更周全的银行或信用卡公司。94%的受访者说,金融机构有责任让他们免受网钓以及类似骗术的伤害。另有52%的人觉得,服务提供者在保护他们的个人数据方面做得不够。
网钓造成的问题很多,并无简单的解决办法。有些企业希望藉教育倡导,能让更多消费者像Krabill一样提高警觉。其它公司则寄望于技术解决之道,例如用地址认证机制和软件过滤器,来区分哪些是合法的电子邮件、哪些则是诈骗信函。
信息科技(IT)与电子商务跨业合作,已催生许多协力打击网钓的同业组织。APWG便是其中之一,由各个不同的组织指派专家组成,包括信用卡追踪业者Experian、软件巨人微软公司和信用卡巨擘威士忌(Visa)都共襄盛举。
本月上旬,APWG为一项全球性的电子邮件认证策略背书。该组织相信,此计划可协助打造支持因特网协议(IP)地址确认与数字签章的技术,以反制垃圾邮件和网钓攻击。
APWG秘书长Peter Cassidy说,该组织正设法在消费者和企业的利益之间取得平衡点,让两者的利益都受到保护。他认为,从防诈欺经验中汲取教训,是吓阻网钓的关键所在。
「据我们观察,目前网钓诈骗案每个月以50%的速度增加,而且正转向诸如点对点(P2P)运算等新平台,想到就令人毛骨悚然,」Cassidy说:「1970年代时,诈欺事件瘫痪了邮购型录业者的生意,迫使信用卡公司采取行动。我们现在也必须采取同样的作法。」
反网钓的一大力量是加强消费者倡导。Krabill完成的MailFrontier网钓常识测验即倡导一个观念--从许多案例来看,网络骗徒所制作的钓鱼电子邮件很难分辨真伪。
摩根大通银行(JPMorgan Chase)信用卡服务部防伪管理资深副总裁Mike Cunningham说:「消费者实在必须对网络钓鱼和其它形式的骗术有更深入的认识。」他说,金融服务公司「会竭尽所能尽快查出攻击来源,并关闭仿冒网站。但真正要改变现状,消费大众必须了解,信用卡发卡机构会做哪些事、骗徒又会做哪些事。」
在在线拍卖网站eBay,消费者已开始觉醒,公司发言人Hani Durzy说。他表示,在eBay供注册用户使用的留言板上,常有人贴出最新钓鱼活动的细节,有些诈骗手法甚至连eBay都前所未闻。此外,愈来愈多会员主动通报诈骗活动,并互相讨论此事。
「我们的社群向来非常提高警觉,时时会互相通报,彼此征询建议和意见,无论是确有其事或虚惊一场,」Durzy说:「过去两年来,网络钓鱼事件暴增,但人们对这类威胁的警觉度已提升。」
在技术方面,eBay采用一套复杂的软件应用系统,可在该公司网站上标帜出异常活动,显示某会员账户遭到冒用。这套工具的作用颇类似信用卡公司采用的防伪系统,一察觉所在地点或出价规模变化甚巨,就会判读为异常状况。
此外,eBay和付款部门PayPal也共享一个诈欺调查小组,聘有全职人员查缉冒用PayPal和eBay用户名称从事违法活动者。
业者采取预防措施,并与执法机关合作,已导致许多诈欺者落网并遭到起诉。其中一名广为周知的骗徒名叫Zachary Hill,因为涉及一件eBay诈财案而被判入狱坐将近四年的牢。
虽然已有抓网钓成功的例子,技术也在不断改良之中,但专家仍同意一点:击败网钓骗局的最佳方法,就是鼓励更多消费者提高警觉。摩根的Cunningham强调,消费者应该删除可疑的邮件,并克制回传个人资料的冲动。
「别管它,不要回复,」他说:「真的就是这么简单。」