瑞星2011年度安全報告

第二、黑客加強釣魚網站信任度的三種常用方法

推廣只是讓用戶“瀏覽釣魚網站”，但因為媒體的宣傳、有關部門的警告和瑞星這樣的專業安全公司持之以恒的努力，現在的網民一般都具有很高的警覺性，在這種情況下，黑客們常用以下三種方法來提升假網站的信任度。

（1）在新浪博客、QQ空間等著名站點建立假網站來加強信任度

傳統上，釣魚網站都會在自己頁面上仿制大量偽造的證書、榮譽、PS過的名人照片等，加強自己的信任度。2011年里，黑客們在技術上進行了更高級別的偽裝，比如，利用新浪博客、QQ空間等著名網站的子服務來構建假網站，這樣空間和域名都是真的，再配上與這些名牌網站相關的“新浪10周年大抽獎”、“騰訊公司傾情回饋用戶”，這樣對于普通網民來講，可信程度就會大大增加。

（騙子利用網易博客構建的假網站）

（2）利用相關站點推廣來增強信任度

比如，黑客在新浪微博大量發送“您已經中獎了”的消息，再鏈接到新浪博客上建立的“釣魚網站”，這樣的騙術可信度就會變得很高，足以騙過大多數普通網民。

（3）攻擊正常網站，在上面放推廣鏈接

現在很多教育網站、新聞類、科研機構網站的安全防護程度很低，但他們本身的品牌、網站權值、知名度都相當高，甚至被選入百度新聞新聞源、搜搜新聞源，當他們被黑客攻陷后，黑客在其服務器上建立釣魚網站，當用戶在搜索引擎中搜索時，就可能被引導到這些網站上，進而受騙。

（黑客攻擊中南大學網站圖例）

第三、黑客在支付環節的“創新”

除了“推廣”和“加強信任”兩個環節之外，黑客在支付環節上的“創新”也不可低估。隨著淘寶、支付寶等在人們生活中的廣泛應用，網絡支付越來越便捷，一些過去很難”銷臟”的貨物也變得好出手，比如手機充值卡、各種商場超市的預付卡，甚至國外的第三方支付工具等，在網絡釣魚案件中都得到了充分利用。

在某些網絡釣魚案例中，受害網民匯出的款項在幾分鐘內就被分流到幾百個賬戶中，并在境外被迅速取走，即使公安部門追查到了某些賬戶，也無法追回款項，給網民帶來巨大的損失。過去這種“洗錢”手法通常被境外黑社會利用，現在網絡詐騙中也經常遇到這種情況。

除了“洗錢”之外，黑客們還經常利用手機充值卡、網游點卡這種容易變現的工具來獲利。比如，在臨近2011年底的兩三個月，網上出現數百起“手機充值卡詐騙”案例。黑客先竊取QQ密碼、MSN賬號密碼等，再登錄受害人的聊天工具，向其好友借錢購買充值卡，“你開通支付寶了嗎，幫我買幾張神州行充值卡，明天還你”，一旦有人上當，騙子們就會迅速把買到的充值卡廉價賣掉，獲取現金。

本節小結

綜上所述，在釣魚網站的各個環節中，黑客們都充分利用了用戶的潛意識和心理慣性，例如，人們對于新浪、百度這樣的著名公司存在天然的信任感，當一個釣魚網站從各個方面都標榜自己從屬于某個著名公司時，就會獲取網民的信任。再比如，很多網民心中都存在著潛意識的“占便宜”心理，免費的東西不管需不需要都去搶，總是盼望天上掉大餡餅，希望有一天“中大獎”，這也就是為什么中獎類詐騙高居所有案例首位的原因。

第四節 國內網站需要踏踏實實加強安全建設

傳統上，我們談到互聯網安全，通常會把“病毒、木馬、蠕蟲、釣魚網站”掛在嘴邊，經過這么多年來的努力，用戶在客戶端防護上有了巨大的進步。2011年3月18日，瑞星公司毅然宣布個人軟件產品永久免費，從根本上打破了用戶使用安全軟件的價格門檻，可以讓所有網民享受到高質量、免費的安全服務。

從本次報告的數據來看，個人端的安全防護比起以往已經有了長足的進步，無論是掛馬網站還是釣魚網站危害程度，比過去都有所上升，但是任重而道遠。目前網絡安全的主要矛盾已經轉移到“普通網民越來越高的安全需求和目前大中型網站的安全投入不足之間的矛盾”。據瑞星公司了解，在目前的大型網站中，安全投入普遍不足，安全人員配備不夠，即使一些很著名的互聯網站，也只有一兩個安全人員，甚至由普通程序員“兼職”。

這種投入不足的情況在短時間內可能不會被用戶知曉，但會給整個互聯網安全帶來巨大安全隱患，而CSDN、天涯等密碼泄露，就是這種安全隱患的一次集中爆發。

瑞星安全專家指出，互聯網安全的改善和好轉，不但需要安全技術的創新和積累，更需要各個廠商踏踏實實的努力，需要與用戶資料的安全需求相匹配的安全投入。安全是一切業務的基石，缺乏安全和信任的互聯網，將是所有網民、網站和廠商的噩夢。

相關文章:

• “錦捷網上商城”、“輕音樂網”等網站被掛馬
• 讓win7電腦安全流暢
• 微軟發布2012年首批安全補丁 修復多個漏洞
• 春運購票更安全 瑞星2012三大功能防護
• 瑞星安全周報（2012.01.09－2012.01.15）
• 加固網絡安全來抑制VoIP風險
• “南通大學護理學院”、“天涯淘客導購”等網站被掛馬
• “中南大學新聞網”、“輕音樂網”等網站被掛馬
• 瑞星綜述：上周(01.02-01.08)病毒與安全趨勢回顧
• 云審計護航數據安全 信息泄露避免寒冬