防釣魚拯救我的“電子錢包”

今年1月12日#12316;13日兩天，南京市鼓樓區(qū)居民孫先生和徐先生，相繼收到短信稱中國(guó)銀行要求登錄網(wǎng)頁(yè)進(jìn)行“中行E令”升級(jí)。兩人依言登錄短信中的網(wǎng)址后，不料，個(gè)人銀行資料被人“釣走”，分別被騙走64萬(wàn)元和101萬(wàn)元。2月17日，南京數(shù)十名民警兵分四路，南下福建、廣東等地全力偵破，抓獲了一個(gè)詐騙團(tuán)伙共計(jì)13人。該團(tuán)伙正是實(shí)施這一新型電信詐騙案的惡徒。

網(wǎng)絡(luò)的發(fā)達(dá)，使得網(wǎng)銀用戶逐年遞增，尤其是近幾年電子商務(wù)的普及，讓網(wǎng)銀用戶增長(zhǎng)更為迅速。但是網(wǎng)銀詐騙案件的不斷發(fā)生，也敲響了用戶高度關(guān)注網(wǎng)銀交易安全性的警鐘。有關(guān)信息顯示，截至2010年11月底，中國(guó)反釣魚網(wǎng)站聯(lián)盟秘書處累計(jì)認(rèn)定并處理的釣魚網(wǎng)站達(dá)32496個(gè)，其中2010年1月#12316;11月，累計(jì)認(rèn)定并處理釣魚網(wǎng)站20570個(gè)，較去年同期大幅上升136%。

在“釣魚”網(wǎng)站頻現(xiàn)、網(wǎng)銀詐欺事件頻發(fā)事件后，銀行、第三方支付公司、用戶都應(yīng)該做出一些反思。

銀行下調(diào)

網(wǎng)銀轉(zhuǎn)賬金額上限

近日，在木樨園做服裝生意的李女士收到了建設(shè)銀行發(fā)來(lái)的網(wǎng)銀轉(zhuǎn)賬限額調(diào)整通知——建設(shè)銀行于3月2日起將個(gè)人網(wǎng)銀盾客戶轉(zhuǎn)賬交易單筆限額和日累計(jì)交易限額，分別調(diào)整為50萬(wàn)元和100萬(wàn)元人民幣，此前該行的轉(zhuǎn)賬限額分別是50萬(wàn)元和500萬(wàn)元。

這是繼去年12月份農(nóng)業(yè)銀行調(diào)整了個(gè)人網(wǎng)銀盾客戶的轉(zhuǎn)賬限額之后，又一家大型商業(yè)銀行將網(wǎng)銀的轉(zhuǎn)賬標(biāo)準(zhǔn)進(jìn)行了調(diào)整。建行轉(zhuǎn)賬交易的類型包括客戶向本人或他人賬戶的轉(zhuǎn)賬與匯款、定活互轉(zhuǎn)、跨行轉(zhuǎn)賬、私對(duì)公轉(zhuǎn)賬等。

對(duì)于這次限額調(diào)整，建行客服人員表示，主要是為了客戶的資金安全著想。此前，中國(guó)建設(shè)銀行、中國(guó)銀行等大型銀行都在其官方網(wǎng)站上發(fā)布了警示性信息，提醒客戶在登錄網(wǎng)銀時(shí)一定要核實(shí)準(zhǔn)確地址，中行除了將行內(nèi)轉(zhuǎn)賬及跨行轉(zhuǎn)賬的單筆限額和日累計(jì)交易限額分別由100萬(wàn)元和200萬(wàn)元，下調(diào)至10萬(wàn)元和20萬(wàn)元外，還為網(wǎng)銀交易新增了一個(gè)“安全閥”。

興業(yè)銀行也于3月8日表示，為進(jìn)一步增強(qiáng)網(wǎng)銀證書的安全性，中國(guó)金融認(rèn)證中心（CFCA）對(duì)該行證書簽名控件進(jìn)行了升級(jí)，即日起，客戶進(jìn)入網(wǎng)上銀行指令簽名頁(yè)面后，需要更新簽名控件以繼續(xù)操作。該銀行還在3月5日推出了電子銀行統(tǒng)一安全認(rèn)證體系，將“網(wǎng)銀短信保護(hù)”升級(jí)為“電子銀行短信口令”，適用于網(wǎng)上銀行、電話銀行、手機(jī)銀行轉(zhuǎn)賬匯款等資金變動(dòng)類業(yè)務(wù)。

而前幾日，深發(fā)展銀行也通過(guò)網(wǎng)站公告：近日發(fā)現(xiàn)有不法分子通過(guò)短信形式發(fā)布欺詐信息，以銀行系統(tǒng)升級(jí)或動(dòng)態(tài)編碼器過(guò)期需進(jìn)行更新為由，誘騙客戶登錄假冒網(wǎng)上銀行，盜取客戶網(wǎng)銀用戶名、密碼及動(dòng)態(tài)口令。該行提醒用戶要從銀行門戶網(wǎng)站登錄辦理業(yè)務(wù)，認(rèn)清發(fā)布消息的號(hào)碼是否為銀行專號(hào)，同時(shí)不要對(duì)銀行門戶網(wǎng)站以外的任何網(wǎng)站或他人暴露自己的用戶名、密碼、動(dòng)態(tài)口令等信息。

工商銀行也推出了“防釣魚”安全控件，據(jù)說(shuō)能有效防范釣魚網(wǎng)站（網(wǎng)頁(yè)）對(duì)客戶賬戶的欺騙和攻擊。

不斷爆出的有客戶被“釣魚網(wǎng)站”騙取賬戶資金的消息，讓越來(lái)越多的人開始擔(dān)心網(wǎng)銀交易的安全性，為了減少危害的程度，銀行紛紛下調(diào)網(wǎng)絡(luò)銀行轉(zhuǎn)賬金額上限，多數(shù)銀行也對(duì)自己的網(wǎng)銀安全進(jìn)行了升級(jí)。

剖析各種釣魚陷阱

“網(wǎng)絡(luò)釣魚”的騙術(shù)給人們的上網(wǎng)安全帶來(lái)威脅，在網(wǎng)絡(luò)購(gòu)物過(guò)程中，這種釣魚欺詐造成的危害又最為直接。

據(jù)第三方支付公司匯付天下合規(guī)部相關(guān)負(fù)責(zé)人介紹，就網(wǎng)絡(luò)釣魚詐騙的種種表現(xiàn)形式來(lái)看，大致可分為4種：假冒銀行、第三方支付等鏈接；發(fā)送病毒控制用戶電腦從而盜取銀行卡等信息；以銀行付款確認(rèn)郵件等方式誘騙上當(dāng)；中獎(jiǎng)做局誘騙網(wǎng)友匯款等。

該人士表示，這4種詐騙方式中有兩種最為常見也最隱蔽：第一種是虛假鏈接的傳統(tǒng)型釣魚方式。即網(wǎng)友在網(wǎng)購(gòu)過(guò)程中，當(dāng)進(jìn)行到第三方支付平臺(tái)要付款時(shí)，鏈接到了詐騙分子做的虛假頁(yè)面，該頁(yè)面在頁(yè)面形式、扣款金額等方面做得與原網(wǎng)購(gòu)網(wǎng)站非常相似，而通過(guò)這個(gè)虛假頁(yè)面進(jìn)行支付的金額則自動(dòng)進(jìn)入了詐騙分子的賬戶。

第二種是當(dāng)前比較突出的木馬型釣魚方式。這是一種更隱蔽、更可怕的方式，當(dāng)電腦中了這種木馬病毒，在網(wǎng)購(gòu)交易中的支付平臺(tái)到銀行扣款的環(huán)節(jié)當(dāng)中，木馬程序會(huì)自動(dòng)在后臺(tái)生成另一筆交易，新的交易指向了一個(gè)新的賬戶，銀行的扣款自動(dòng)到了詐騙分子的賬戶，而網(wǎng)友毫無(wú)察覺。

那么，針對(duì)這種網(wǎng)友毫無(wú)察覺的網(wǎng)絡(luò)欺詐行為，第三方支付公司能做些什么，能否凍結(jié)這筆欺詐交易？

匯付天下合規(guī)部相關(guān)負(fù)責(zé)人表示，“由于騙子發(fā)起的是真實(shí)訂單（誘騙或操控受害者電腦完成的支付），支付公司系統(tǒng)處理成功后，就需要給商戶付款，不能凍結(jié)該筆資金，否則支付公司就違反了商業(yè)合同。因此，支付公司目前能做的只是后期將這筆訂單的去向告知客戶，協(xié)助警方追查而已。”

支付公司

出招“防釣魚”

針對(duì)這種情況，第三方支付公司紛紛出招應(yīng)對(duì)。

匯付天下采取的措施是：對(duì)于虛假鏈接釣魚方式，采用時(shí)間戳、域名確認(rèn)、IP地址比對(duì)等方式，通過(guò)設(shè)定交易時(shí)間敏感值、核實(shí)過(guò)濾支付來(lái)源的網(wǎng)址、IP識(shí)別技術(shù)對(duì)比訂單生成IP與支付完成的返回IP等，對(duì)不一致的進(jìn)行阻止；而對(duì)于木馬病毒這種更加隱性而高級(jí)的手段，則采用人機(jī)識(shí)別技術(shù)，有效識(shí)別人工操作和木馬的機(jī)器操作行為差異，如加驗(yàn)證碼和二次確認(rèn)等。“從升級(jí)效果看，加驗(yàn)證碼和二次確認(rèn)方式，雖然使用戶的便利性受到影響，但對(duì)打擊木馬型釣魚效果明顯。”該負(fù)責(zé)人表示。

去年支付寶公司也聯(lián)合銀行推出了風(fēng)險(xiǎn)聯(lián)防計(jì)劃，主要針對(duì)“冒充訂單”騙取消費(fèi)者付款的行為。支付寶表示，這種反欺詐的技術(shù)可以對(duì)訂單的買賣雙方身份進(jìn)行匹配核實(shí)，“在用戶接到一個(gè)鏈接后，打開時(shí)系統(tǒng)就會(huì)判斷這個(gè)訂單是不是你的，如果不是，系統(tǒng)就會(huì)自動(dòng)中斷鏈接，避免‘釣魚’發(fā)生”。

不過(guò)，支付寶風(fēng)險(xiǎn)管理部負(fù)責(zé)人青牛也提醒說(shuō)，“如果用戶經(jīng)受不住騙子預(yù)先設(shè)計(jì)的低價(jià)誘惑或者沒有遵守網(wǎng)購(gòu)規(guī)則，就會(huì)有受騙的可能。”從目前的情況看，“防騙”的核心第三方支付是用戶不要隨意打開別人給的鏈接和文件，并嚴(yán)格遵照購(gòu)物流程操作。

據(jù)記者了解，除了支付寶、匯付天下外，易寶支付、財(cái)付通等第三方支付平臺(tái)也都推出或者升級(jí)了自己的風(fēng)控體系，以打擊釣魚騙術(shù)。

除了第三方支付的參與，業(yè)界呼吁各界一起努力進(jìn)行防范，包括商戶、銀行、支付等整個(gè)網(wǎng)購(gòu)流程中的每一個(gè)環(huán)節(jié)都需要加強(qiáng)。例如被騙子利用銷贓的一些網(wǎng)站要加強(qiáng)實(shí)名制，一旦警方認(rèn)定詐騙，被利用銷贓的網(wǎng)站有責(zé)任提供騙子的真實(shí)身份，并承擔(dān)賠付責(zé)任；銀行也需要不斷升級(jí)防釣魚機(jī)制，以免被木馬鉆了漏洞；支付公司也需進(jìn)一步升級(jí)支付平臺(tái)的風(fēng)控能力；而廣大網(wǎng)絡(luò)消費(fèi)者則更要多加留心，比如不要從不明網(wǎng)站下載任何東西，不要輕易點(diǎn)擊電子郵件中的鏈接，在支付過(guò)程中，留意鏈接網(wǎng)址，是否是正確的官網(wǎng)鏈接域名等等。

除此之外，有關(guān)人士認(rèn)為，公安部門也必須加強(qiáng)介入給予更多支持。在2011年“兩會(huì)”上，全國(guó)政協(xié)委員、中央財(cái)經(jīng)大學(xué)證券期貨研究所所長(zhǎng)賀強(qiáng)就提出，當(dāng)前打擊網(wǎng)上詐騙的過(guò)程中，因?yàn)樯婕皵?shù)額較小公安機(jī)關(guān)不能立案的現(xiàn)象確實(shí)存在，但對(duì)小額網(wǎng)上欺詐，需要加以研究，公安部門必須加強(qiáng)介入和重視。

易觀國(guó)際分析師曹飛也表示，加強(qiáng)立法，加強(qiáng)產(chǎn)業(yè)鏈的聯(lián)合，甚至加強(qiáng)支付平臺(tái)之間的技術(shù)互通和監(jiān)控互動(dòng)，將能更加有效地促進(jìn)電子商務(wù)的健康發(fā)展，保障消費(fèi)者的合法利益不受侵害。“電子支付是所有網(wǎng)上交易的最后一步，也是阻止犯罪得逞的最關(guān)鍵環(huán)節(jié)，從電子支付領(lǐng)域出發(fā)，縱向梳理整個(gè)產(chǎn)業(yè)鏈條，橫向梳理整個(gè)互聯(lián)網(wǎng)結(jié)構(gòu)，將是凈化互聯(lián)網(wǎng)乃至網(wǎng)絡(luò)交易環(huán)境的一個(gè)重要手段。”

鏈接

網(wǎng)銀使用安全提示

工商銀行的相關(guān)專業(yè)人士建議，用戶應(yīng)做到以下幾點(diǎn)，以確保網(wǎng)銀安全：訪問(wèn)銀行網(wǎng)站時(shí)直接輸入銀行網(wǎng)址登錄，不要采用超級(jí)鏈接的方式間接訪問(wèn)；如已向不明人員或網(wǎng)站提供網(wǎng)銀密碼，要立即登錄網(wǎng)銀修改密碼，或到柜面重置密碼；查看網(wǎng)銀歡迎頁(yè)面上的“上次登錄時(shí)間”和實(shí)際登錄情況是否相符；每次使用網(wǎng)銀后，點(diǎn)擊頁(yè)面右上角的“退出登錄”；下載并安裝由銀行提供的用于保護(hù)客戶端安全的控件；不要開啟不明來(lái)歷的電子郵件；不要在公共場(chǎng)所使用網(wǎng)銀。