ccidnet????

出版日期:2003-08-11 总期号:1240 本年期号:59

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
东北专刊
华东专刊
华南专刊
西北专刊
西南专刊
 识破“尼日利亚信件” 严防网络欺诈行为



  如果您有一个免费的电子邮件地址,那么您很可能收到过一些奇怪的电子邮件,这些邮件声称发自尼日利亚的“高级政府官员”或尼日利亚国营企业人员,发信人声称他盗窃了数以百万计的外国资助金或联合国资助金,故不能把金钱存入其尼日利亚银行的账户,但为了清洗黑钱,他需要一个外国的银行账户。骗子承诺只要有人愿意提供银行账户号码,让他把金钱存入账户,就可以分得那笔金钱一至三成的数目。这种信件就是典型的一种网络欺诈行为,或者叫Internet欺诈(Internet Fraud)。有人甚至给这种邮件起了一个名字:“尼日利亚信件”。不出意料之外,受害人透露账户信息后,所有存款将不翼而飞。

  觉得很好笑吗?认为没有人会犯这种愚蠢的错误吗?但是在全世界,每年都会有成千上万的人经受不住诱惑而落入圈套,其中在美国,受骗人的平均损失为3854美元。“尼日利亚信件”甚至在全球各地都成为警方严格打击的犯罪行为之一。根据Internet欺诈投诉中心的统计,美国在2002年就因欺诈行为造成了五千四百万美元的损失,另外还制止了四万八千次的欺诈行为的发生。目前在全球发生网络欺诈行为较多的国家有:美国、罗马尼亚、尼日利亚、英国、加拿大、南非共和国、多哥、印度尼西亚、澳大利亚、俄罗斯和乌克兰。名单中较小、Internet应用不普及的国家往往是骗术的被冒充地或发起地,而较大、Interent应用非常普及的国家则是受害者集中的地方。在中国,随着Internet应用的不断深入,随着我们习惯了网上购物、信用卡消费,网络欺诈的威胁就会日渐凸现出来。

  SARS期间,许多人开始了第一次的网上消费行为,体会到了Interent在个人消费上的便利性,在某种程度上进一步促进了曾经沉寂的电子商务的复苏和发展。但是我们必须意识到这种方式在带给我们便利的同时,也会带给我们新的威胁。不仅仅有广泛认知的技术上的威胁,而且还有网络欺诈的非技术性威胁。事实上,已经有相当多的人在试图利用我们的心理弱点进行欺诈行为。

  前一段时间,许多工商银行网上银行的注册用户收到了一封邮件,发信人是工商银行的公开网管信箱(webmaster@icbc.com.cn)。内容是:因为“网络银行系统升级,为确保您网络银行的安全性,请重新输入用户名与密码!我们将重新帮您查核验证!”并要求客户把填好网上银行账户和密码信息的表格发至另一个信箱。这就是一个欺诈行为。工商银行已就此问题做出重要声明,要求个人用户不要受骗上当:“网上银行的用户名(登录卡号)和密码是注册客户登录并使用我行网上银行的唯一身份,客户要妥善保管,防止泄密。为保障资金安全,客户在任何情况下均不要将本人的网上银行用户名(登录卡号)和密码提供给他人和银行。……对于这一非法盗用网上银行用户名(登录卡号)和密码的行为,中国工商银行郑重提醒广大客户:为保证资金安全,敬请我行广大注册客户提高网上安全防范意识,注意保护好自己的网上银行用户名(登录卡号)和密码。在任何情况下,若发现上述通过邮件、信件或电话等任何方式要求提供网上银行用户名(登录卡号)和密码的,客户要坚决予以拒绝,防止泄密,保证网上交易的安全正常进行。近期,若收到冒充我行公开网管邮箱要求提供网上银行用户名(登录卡号)和密码进行验证的客户,要坚决予以拒绝;若收到类似邮件并已经提供网上银行用户名(登录卡号)和密码的客户,要立刻修改密码。”如果有人受骗,其损失可想而知。因为转账、外汇买卖、证券业务、在线消费支付、代缴费用、异地汇款、个人理财等业务都可以通过网上银行完成。

  相对于个人用户而言,企业用户面对着更加严重的网络欺诈威胁。80到90年代,一名黑客曾横扫包括摩托罗拉、诺基亚、SUN、Novell著名数大公司的网络,并数次入侵美国军方、政府网络,造成千万美元的损失和软件、机密信息泄漏,并于1995年被判入狱,并被判终生不得使用计算机或者其它能接入Internet和长途通讯网络的设备。他和日裔安全专家下村勉之间的较量成为安全界攻防实例的典范。2000年被假释出狱后,破例获准使用计算机,并为美国政府提供安全咨询服务。他就是大名鼎鼎的凯文.米特尼克(Kevin Mitnick)。2002年底,这名黑客写了一本安全方面的书,汇集了多个案例,介绍多种多样入侵方法以及防范方式。这本书中并没有介绍过多的技术内容,事实上,可以说是和技术无关的。书的名字叫《欺骗的艺术》(The Art of Deception)。书中详细介绍的入侵方式就是所谓的“社会工程学”,具体来讲就是入侵者如何诱使被入侵系统的一个合法用户透露敏感信息,或者执行特定操作导致在安全防范系统中生成漏洞的行为。在黑客界,很多人看不起米特尼克,认为他是不懂技术,只懂攻击的人。但是偏偏是他,可以不用多么高深的技术手段就能够轻而易举地绕过耗资巨大的安全防范系统,不战而屈人之兵。米特尼克曾经仅仅通过一次电话就成功地诱使一个摩托罗拉公司员工将一个内部软件发送给了自己。米特尼克曾多次提到 “孙子兵法”的思想对他的巨大影响,而且他特地套用了孙子兵法的英文译名(The Art of War)的格式为自己的书命名(The Art of Deception)。

  如何防范网络欺诈?没有技术手段能够直接防止这种行为的发生,根本办法就是建立良好的安全管理制度,并同时提高每一个员工的安全意识。特别是规模比较大的单位,机构设置和人员非常复杂,很难保证每一个人都对单位人员情况和办事流程充分了解,从而成为了网络欺诈行为的首选对象。新员工也是社会工程攻击的突破口。所以,在单位内部建立一套行之有效的安全管理制度、推行安全意识培训势在必行。

  不过要建立起这样一套有效的体系还应该借助于专业的安全服务团队的协助。目前,在业界大力推行安全服务的公司里有冠群金辰等老牌安全公司。据了解,在冠群金辰公司倡导的3S安全理念之中,安全服务是其中重要一环,也是冠群金辰为客户弥补非技术性安全漏洞提供的重要手段。他们将安全服务从以往的产品支持服务中独立出来,专门成立了专业的安全服务部门,可以为重要客户提供安全策略制定和评估、安全策略实施以及涵盖安全意识教育、安全产品培训以及高级安全技术培训等项目的教育培训服务。到现在,已经有天府热线、云南电信等单位享受到了这种全方位的安全服务体系。