新聞中心

• 行業(yè)動(dòng)態(tài) | 釣魚(yú)網(wǎng)站與病毒頻發(fā)背后 網(wǎng)絡(luò )支付黑色利益鏈

  　　互聯(lián)網(wǎng)+時(shí)代，越來(lái)越多的消費和支付從線(xiàn)下轉移至互聯(lián)網(wǎng)。而春節紅包大戰，以及Apple Pay的高調入華，更讓移動(dòng)支付日益普及。但隨之滋生的，是日益增多的互聯(lián)網(wǎng)支付安全風(fēng)險。

  　　2015年7月，中國互聯(lián)網(wǎng)協(xié)會(huì )發(fā)布的《中國網(wǎng)民權益保護調查報告(2015)》顯示，中國互聯(lián)網(wǎng)用戶(hù)近一年來(lái)因個(gè)人信息泄露、詐騙信息等問(wèn)題，導致總體損失約805億元。

  　　互聯(lián)網(wǎng)支付的安全問(wèn)題已經(jīng)不容小覷。這背后的黑色渠道和利益鏈是怎樣實(shí)現的?互聯(lián)網(wǎng)支付安全的未來(lái)又在哪里?

  　　網(wǎng)絡(luò )支付的陰云

  　　安全風(fēng)險始終成為籠罩在互聯(lián)網(wǎng)支付之上的一層陰云。

  　　從發(fā)送釣魚(yú)網(wǎng)站鏈接到病毒木馬植入，互聯(lián)網(wǎng)用戶(hù)的銀行賬戶(hù)、社交軟件賬號等核心信息被非法竊取，錢(qián)包正在遭遇空前危機。

  　　據《華夏時(shí)報》記者了解，釣魚(yú)網(wǎng)站主要是采用模仿正規網(wǎng)站域名、篡改正規網(wǎng)站頁(yè)面等方式，得到用戶(hù)提供的銀行卡號、密碼、賬戶(hù)等信息。

  　　有業(yè)內人士對記者表示，其實(shí)無(wú)論怎樣偽裝，釣魚(yú)網(wǎng)站的詐騙都有幾個(gè)常規步驟：誘導用戶(hù)點(diǎn)擊陌生鏈接，然后跳轉至釣魚(yú)網(wǎng)站，得到個(gè)人信息、銀行卡賬號及密碼，再通過(guò)木馬攔截用戶(hù)手機來(lái)自銀行的驗證碼及消費提示進(jìn)行盜刷。

  　　而隨著(zhù)智能手機的普及，釣魚(yú)網(wǎng)站也逐漸瞄準了移動(dòng)支付領(lǐng)域。

  　　獵豹安全專(zhuān)家李鐵軍對記者表示，這幾年手機端的釣魚(yú)網(wǎng)站明顯增多?！白畛Ｒ?jiàn)的還是通過(guò)偽基站發(fā)送短信。在我們見(jiàn)到的直接造成財產(chǎn)損失的案例中，占絕對主流?！?/span>

  　　“對方通過(guò)偽基站的方式進(jìn)行短信群發(fā)，偽造假銀行網(wǎng)站的非常多，基本國內的商業(yè)銀行都被模仿過(guò)?！彼麑τ浾哒f(shuō)。

  　　而來(lái)自騰訊的《2015互聯(lián)網(wǎng)安全報告》也顯示，在釣魚(yú)網(wǎng)站的分布上，除了傳統的虛假網(wǎng)購、中獎詐騙外，仿冒手機銀行、運營(yíng)商的釣魚(yú)網(wǎng)站開(kāi)始呈現爆發(fā)式增長(cháng)。此外，仿冒證券公司的虛假投資網(wǎng)站也在2015年達到高峰。

  　　面對移動(dòng)支付安全問(wèn)題頻發(fā)的情況，李鐵軍對記者表示，手機的防范難度很高，這個(gè)跟手機和電腦系統的差異有關(guān)系。電腦殺毒軟件的權限很高，但手機不一樣。例如蘋(píng)果就可能不會(huì )有任何這方面的提醒。

  　　此外，通過(guò)惡意鏈接、二維碼以及偽裝APP將木馬植入手機，也是一種重要方式。

  　　春節期間的紅包大戰已經(jīng)泄露了紅包木馬的巨大能量。

  　　據記者了解，搶紅包神器、紅包大盜等木馬通過(guò)竊取用戶(hù)社交賬號及密碼，或者以偽APP等方式做為入口，植入手機木馬病毒，留存用戶(hù)銀行卡號、身份證號等敏感信息后，從而對用戶(hù)的銀行卡進(jìn)行盜刷。

  　　騰訊發(fā)布的上述報告顯示，目前手機上常見(jiàn)的支付病毒有10種，其中16.81%的支付類(lèi)病毒會(huì )隱藏自己的真實(shí)目的，以躲避安全軟件的查殺。此外，竊取隱私數據的支付病毒占比則達到14.80%。

  　　黑色地下產(chǎn)業(yè)鏈

  　　在釣魚(yú)網(wǎng)站與病毒木馬頻發(fā)的背后，是網(wǎng)絡(luò )支付詐騙行業(yè)背后的暴利。

  　　此前據獵網(wǎng)平臺于2015年11月5日發(fā)布的首個(gè)《現代網(wǎng)絡(luò )詐騙產(chǎn)業(yè)鏈分析報告》顯示，去年1-9月，共接到全國網(wǎng)民舉報網(wǎng)絡(luò )詐騙案件20086起，涉案金額高達8901萬(wàn)元，人均損失4431元。

  　　而據其初步統計，網(wǎng)絡(luò )詐騙產(chǎn)業(yè)的從業(yè)人數至少有160萬(wàn)人，“年產(chǎn)值”超過(guò)1100億元。

  　　據記者了解，獵網(wǎng)平臺由北京市公安局網(wǎng)絡(luò )安全保衛總隊與360互聯(lián)網(wǎng)安全中心聯(lián)合發(fā)起成立，目前是國內第一個(gè)網(wǎng)絡(luò )詐騙全民舉報平臺。

  　　而在高昂利潤的驅使下，網(wǎng)絡(luò )支付詐騙早已形成了一條完整的黑色地下產(chǎn)業(yè)鏈。

  　　上述業(yè)內人士對記者表示，在這套產(chǎn)業(yè)鏈上有負責制作網(wǎng)站的開(kāi)發(fā)者，負責批發(fā)零售的“包馬人”，還有實(shí)施“種馬”的拉單人，以及最后的洗白銷(xiāo)贓環(huán)節。

  　　“這是一個(gè)很完整的產(chǎn)業(yè)鏈。行騙的是一批人，做網(wǎng)站的是另一批人，之間都互不了解，也根本不需要見(jiàn)面，全在網(wǎng)上進(jìn)行交易?！彼麑τ浾哒f(shuō)。

  　　據記者了解，在這條地下產(chǎn)業(yè)鏈中，涉及支付類(lèi)的病毒木馬售價(jià)通常高達數千元甚至上萬(wàn)元。而且通常還帶有使用期限，到期需要再度續費。

  　　但高價(jià)并不能阻礙“包馬人”的熱情，因為這其中的利益更為豐厚。

  　　據記者了解，此前被宣判的浮云木馬的制作人，在兩個(gè)月里得到了20萬(wàn)元的收入。而他開(kāi)發(fā)的浮云木馬則涉嫌竊取了數百名網(wǎng)銀用戶(hù)的上千萬(wàn)元。

  　　而此前據記者登陸淘寶網(wǎng)發(fā)現，有眾多搶紅包神器出售，價(jià)格從幾元到幾千元不等。而這些搶紅包軟件往往被植入木馬，一旦安裝就可以用它來(lái)收集用戶(hù)的隱私信息、盜取賬號等。

  　　李鐵軍也對記者表示：“這一行業(yè)一條龍下來(lái)的很少，大部分都是相互拆開(kāi)。交易的方式也很成熟?！彼瑫r(shí)還表示，微信內置的安全功能會(huì )對紅包木馬植入自動(dòng)進(jìn)行大規模攔截，因此紅包木馬不會(huì )是主流的欺詐方式。

  　　網(wǎng)絡(luò )支付的復雜心情

  　　用風(fēng)聲鶴唳、草木皆兵來(lái)形容用戶(hù)對互聯(lián)網(wǎng)支付的復雜心情，并不為過(guò)。

  　　一個(gè)典型的例子，是今年1月10日晚上，微信錢(qián)包用戶(hù)大規模解綁銀行卡的蝴蝶效應。

  　　當晚微信朋友圈被微信公開(kāi)課PRO版的“我和微信的故事”刷屏，而有關(guān)應用鏈接會(huì )盜取微信號和支付寶號的謠言也隨之擴散。

  　　雖然各方隨即都進(jìn)行了辟謠，但“微信之父”張小龍曾在隨后的發(fā)布會(huì )上感慨，“很多，真的是很多，是百萬(wàn)級的用戶(hù)開(kāi)始提現、解綁自己的銀行卡了，我們這個(gè)服務(wù)器也幾乎掛掉了?！?/span>

  　　解綁事件無(wú)疑折射出用戶(hù)對互聯(lián)網(wǎng)支付風(fēng)險的警惕。而這種警惕，則是源于層出不窮的互聯(lián)網(wǎng)安全信息風(fēng)險中監管的缺失。

  　　事實(shí)上，想要做到對互聯(lián)網(wǎng)支付的完全監管并不容易。

  　　李鐵軍對記者表示，網(wǎng)絡(luò )支付詐騙越過(guò)了幾種監督渠道?！氨热鐐位臼峭ㄟ^(guò)騙子手中自身的設備發(fā)送，繞過(guò)了運營(yíng)商的網(wǎng)絡(luò )，根本無(wú)法發(fā)現，成本還很低?！?/span>

  　　據記者了解，偽基站發(fā)送的短信號碼可以隨便定義。詐騙者將帶有惡意鏈接的短信偽裝成銀行、電信的常用客服號碼發(fā)送，具有極大的隱蔽性和欺騙性。

  　　此外，互聯(lián)網(wǎng)支付詐騙的風(fēng)險很小。

  　　獵網(wǎng)平臺分析顯示，網(wǎng)絡(luò )詐騙地下產(chǎn)業(yè)規模之所以迅速擴大，主要是由于網(wǎng)絡(luò )詐騙犯罪具有異地作案、小額多發(fā)、取證困難等特點(diǎn)，打擊難度大。

  　　此外，目前針對互聯(lián)網(wǎng)支付產(chǎn)業(yè)鏈的相關(guān)法律還并未到位。而對移動(dòng)支付過(guò)程中的金融風(fēng)險監管也存在缺位。

  　　而上述業(yè)內人士也對記者表示，由于產(chǎn)業(yè)鏈上各條分工嚴密，異地作案，很難追查到釣魚(yú)網(wǎng)站或者木馬背后的利益相關(guān)者。

  　　互聯(lián)網(wǎng)支付的未來(lái)

  　　盡管監管難以到位，但隨著(zhù)互聯(lián)網(wǎng)支付規模，特別是移動(dòng)支付規模的不斷增長(cháng)，解決支付安全風(fēng)險迫在眉睫。

  　　在今年的全國兩會(huì )上，騰訊CEO馬化騰提出建議，要重點(diǎn)打擊電信網(wǎng)絡(luò )詐騙等新型犯罪。加大刑事案件打擊力度，遏制網(wǎng)絡(luò )黑客犯罪的蔓延趨勢。

  　　此外，他還提出，企業(yè)要建設共同治理網(wǎng)絡(luò )安全的生態(tài)體系。

  　　其中，互聯(lián)網(wǎng)企業(yè)應發(fā)揮大數據分析、云計算和云存儲能力，對用戶(hù)行為建立模型。而電信運營(yíng)商則應禁止網(wǎng)絡(luò )改號電話(huà)等非法運營(yíng)項目，加強對偽基站的打擊配合和重點(diǎn)地區的線(xiàn)路排查，清理二手4G卡買(mǎi)賣(mài)市場(chǎng)，落實(shí)手機卡實(shí)名制等等。

  　　事實(shí)上，國家相關(guān)機構已經(jīng)從法律和網(wǎng)絡(luò )上對網(wǎng)絡(luò )支付的風(fēng)險作出限定。

  　　在2015年6月底，十二屆全國人大常委會(huì )第十五次會(huì )議已經(jīng)審議了《網(wǎng)絡(luò )安全法(草案)》，并于7月初向社會(huì )公開(kāi)征求意見(jiàn)。

  　　而《草案》的重要內容則包括，將我國公民個(gè)人信息保護納入法律正軌。

  　　此外，在去年7月31日，央行在其網(wǎng)站公布了《非銀行支付機構網(wǎng)絡(luò )支付業(yè)務(wù)管理辦法(征求意見(jiàn)稿)》。該《管理辦法》傳達了明確的監管意見(jiàn)：鼓勵支付機構定位于支付通道，限制賬戶(hù)功能，賬戶(hù)功能僅限于小額支付。

  　　但李鐵軍對記者說(shuō)：未來(lái)互聯(lián)網(wǎng)支付詐騙依然會(huì )很?chē)乐?，中國是移?dòng)支付做得最好的國家，問(wèn)題是網(wǎng)民的安全意識還很薄弱。

  　　他對記者表示，病毒的技術(shù)含量并不高，如果用戶(hù)提高防范意識，不隨意點(diǎn)擊短信里的陌生鏈接，不在釣魚(yú)網(wǎng)站輸入個(gè)人信息，則不會(huì )對用戶(hù)的財產(chǎn)安全造成損害。

  　　他同時(shí)對記者表示，從技術(shù)上來(lái)說(shuō)，也不可能消除支付詐騙?！膀_子總是會(huì )隨著(zhù)時(shí)代的發(fā)展而更新騙術(shù)，常騙常新?！?/span>

  　　事實(shí)上，隨著(zhù)微信的廣泛應用，微信虛假公眾賬號詐騙，微信投票、點(diǎn)贊詐騙，微信掃碼關(guān)注等新興詐騙方式已經(jīng)興起。而互聯(lián)網(wǎng)支付的安全之路還任重而道遠。