| 出版日期:2004-11-22 总期号:1366 本年期号:87 |
|
 |
Phishing
■文/郑林 根据美国司法部的定义,Phishing是指主要通过数字通信手段骗取多个受害人的身份或财务数据,并通过Interent将受害人的数据进行转移和利用,以达到骗取他人钱财的目的。Phishing行为目前每月的增长率都在50%左右。根据Gartner机构2004年5月的统计结果,2003年仅在美国由于Phishing攻击而导致金融服务机构直接的经济损失就达到了12亿美元。 Phishing一般有七个步骤: 1. Phisher确定目标站点,模仿知名的网上银行或交易站点建立假页面和站点。 2. Phisher制作诱饵。 3. 将诱饵通过网络方式传递给用户。 4. 用户如果轻信了诱饵信息内容,会点击网络链接。 5. 用户将会看到Phisher模拟目标站点的Web页面,该页面要求填写用户的信息。 6. 用户填写的信息按照Phisher的要求转发到一个指定的目标地址。 7.Phisher获取信息。 有证据表明,目前在全球范围内已经初步形成了围绕网络欺诈活动的“价值链”。这个价值链包括欺诈者(Phisher)和受骗的用户,有组织的Phishing工具开发者、恶意代码制造者、恶意入侵者、垃圾邮件技术和服务器提供者以及销赃团体等。 从政府角度来看,建立国家相关反网络诈骗法以及国际间打击网络诈骗行为的合作关系势在必行。而金融服务、电子商务企业需要考虑加固自身安全保护系统,ISP、企业用户则需要对垃圾邮件、病毒携带、蠕虫、间谍软件的邮件或其它数据进行过滤和隔离。 目前Phishing已经引起了国际社会的广泛关注。2003年底成立的反网络欺诈工作组(APWG)目前已经拥有了600多家成员单位。 |
||||||||||||||||||||||||||||
