法学论文
新型电信诈骗:“钓鱼网站”初探
作者:张洪强 律师 时间:2016年04月15日
近年来,电信诈骗犯罪活动日益猖獗,诈骗集团实施电信诈骗的通常方式是:
首先,雇用人员搭设网络平台,拨打诈骗电话或发送诈骗信息;然后,实施诈骗并前往各地提现、转款;最后,将赃款转至多个不同账户,通过“地下钱庄”转移。电信诈骗中主要的诈骗信息内容涉及信用卡消费、购车退税、彩票中奖、电话欠费、股票走势预测、灾区募捐、绑架勒索等等。
现如今,一种新型的电信诈骗方式——“钓鱼网站”在全球频繁出现,并迅速蔓延,严重地影响了电子商务及在线金融服务的发展,对人民群众的网上金融安全构成了严重威胁。据金山网盾数据中心2009年的统计,当年11月,每日新发现的“钓鱼网站”数量规模都在300个上下,买家或者卖家点击了其中80%的网站,在被网民点击到的“钓鱼网站”中有20-30%最终交易成功。
“钓鱼网站”的危害方式所谓“钓鱼网站”是一种网络欺诈行为,实际上就是网页仿冒(Phishing)。Phishing与fishing发音很接近,因此被俗称为“钓鱼网站”。而利用“钓鱼网站”进行电信诈骗的违法犯罪行为就是“网络钓鱼”。
“网络钓鱼”是指黑客通过构造与某一目标网站高度相似的页面,并通常以垃圾邮件、即时聊天、手机短信、网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息,诱骗用户访问“钓鱼网站”,以获取用户的个人信息(如银行帐号和帐户密码)的新型诈骗方式。
从早期的病毒、木马和挂马网站到现在的“网络钓鱼”、网络诈骗,互联网诈骗手段越来越隐蔽、越来越高超。据统计,全球“钓鱼”案件自2005年始,正在以每年高于200%的速度增长,受骗用户高达5%。2010年12月16日,中国反钓鱼网站联盟发布了《2010年中国反钓鱼网站联盟工作报告》,该《报告》显示,截止2010年11月底,联盟秘书处累计认定并处理的钓鱼网站32,496个,其中,2010年1-11月,累计认定并处理“钓鱼网站”20,570个,较2009年同期大幅上涨136%。
1.1 “钓鱼网站”主要危害的对象:网银用户和知名网站在互联网普及的今天,网上银行(网银)日渐成为人们网上购物消费、投资所使用的金融交易工具。2011年第1季度,中国网上银行市场交易额达到191.37万亿,预计未来3-5年网银发展将迎来稳定的增长时期,到2015年网上银行交易额将达到3,500万亿元左右。可见,作为银行业金融创新的重要领域,网银的发展势头迅猛。但在其便捷性深入人心的同时,网银的安全性问题也日渐令人担忧。来自“钓鱼网站”的侵害成为网银用户的头号威胁。截止2009年,电子商务用户因“网络钓鱼”带来的损失已达76亿元。而据360安全中心2010年上半年的调查数据显示,仅网络“钓鱼网站”和股票欺诈网站导致网民损失超过120亿元。值得注意的是,“钓鱼网站”不但损害了网银消费者的经济利益,而且损害了被仿冒网站的声誉,甚至第三方交易平台也被拖下水。2010年国家互联网应急中心共接到网页仿冒事件报告1566件,在接收到的这些网页仿冒事件中,被仿冒的大都是网银用户常用的电子商务网站、金融机构网站、第三方在线支付站点、社区交友网站。“钓鱼网站”已经严重影响互联网的消费环境,制约电子商务市场的发展,危害公众利益。
1.2 “钓鱼网站”典型作案方式:仿冒知名电子购物 网站“钓鱼网站”的典型作案方式是:通过仿冒知名电子购物网站,窃取访问者提交的电子银行账号和密码信息。在2010年下半年12,282次的“网络钓鱼”中,74%的“钓鱼网站”仿冒了淘宝网。当网民在电子购物网站看到心仪已久的商品后,一般会在网上给卖家留言,通常这个卖家账户已经被“钓鱼者”盗号,而“钓鱼者”通过QQ等即时通信软件发来“宝贝链接”。当消费者点击打开链接后,显示的页面和淘宝店里的页面是几乎一致的。如果不仔细辨别网站真伪就输入用户名和密码,特别是在进入第三方交易平台后(如支付宝)输入支付密码,网页没有跳到下一个界面,那么消费者的账户存款很可能已经被不法分子通过后台程序迅速转移了。为了达到诈骗目的,一般来说,网络黑客首先将要仿冒的真实网站的部分页面移植过来,然后对涉及帐号操作的关键部分进行处理,其目的是从后台控制网络交易的过程。通过这样被改造的页面表面上看与真实网站的页面基本一致,但后台却不一样,这种仿冒页面就是“钓鱼网站”。“钓鱼网站”其实只有一个或几个页面,实施诈骗时会同样出现支付界面并要求访问者提交帐号和密码。由于“钓鱼”的不法分子使用的是虚假的域名,在仿冒知名网站时通常会将知名网站的一小段相似域名注册其中,以达到混淆视听,欺骗网银用户的目的,比如:将taobao.com换成taobaokoe.cn,或将www.icbc.com.cn/icbc/仿冒成www.1cbc.com.cn/1cbc/等等,其网址和真实网站只有细微差别(如图1所示)。当网银用户的账户和密码信息被盗后,“钓鱼者”或者直接通过后台程序将受害者的存款转移到其他的帐号,或者使用受害者的电子购物网站帐号购买其他产品,然后销售获利。此外,不法分子引诱消费者点击“钓鱼网站”的方式还包括群发“银行系统升级”的提示短信或e-m a i l,让消费者登录仿冒银行网址升级、维护帐户的方式进行诈骗。更有甚者,最新的诈骗技术将恶意脚本嵌入到真实站点上(常以弹出的小窗口显示),而不知情的用户往往就会在漂浮于真实站点的这个仿冒小窗口中填入登录帐号和密码等个人信息。但不管通过何种途径,不法分子的目的都是诱骗消费者进入“钓鱼”网页并获取用户信息。
1.3 “钓鱼网站”仿冒对象及风向标:网民消费热点“钓鱼网站”与所有的电信诈骗一样,是通过骗取网民的信任,达到窃取网民的电子账户信息获利的违法犯罪手段。在“钓鱼网站”的传播过程中,呈现出跟随网民消费热点的特征。网购热点是随着网民的消费意愿而变化的,网民的消费热点就是不法分子制作仿冒“钓鱼网站”的风向标。“钓鱼网站”的“热点扎堆”效应显著。除了热衷仿冒知名电子购物网站,“网络钓鱼”在医药、美容、成人用品、证券咨询等行业危害也极为严重。根据统计,在所有被“钓鱼网站”仿冒的网站中,网络交易类、金融证券类、虚假中奖类网站位列前三位;80%以上的“网络钓鱼”举报也指向这三类网站。每年的9-10月,伴随“中秋”、“国庆”双节的来临,消费者外出旅游的意愿和数量大增,旅游票务类网站就成为不法分子的重点仿冒对象。以“携程网”为代表的旅游、票务类网站几年来都成为当月“钓鱼网站”投诉处理前三之列。而在每年的春节和圣诞节期间,“钓鱼网站”数目激增。2009年底,圣诞节和春节期间是网络购物高峰,“钓鱼网站”的数量从日均400多个增加到上千个。2011年是网络团购崛起的一年,各类团购网站如雨后春笋般涌现。团购网站的结算方式主要是通过预付款结算,团购网民往往不能选择货到付款等其他方式,导致其遭受“网络钓鱼”的风险远远高于其他网站。考虑到大多数网站尚未引入类似“可信网站”验证的权威第三方网站身份真伪核验,使得网民难辨团购网站的真伪,很容易掉入“网络钓鱼”的诈骗陷阱。随着3G手机的推广和无线技术的更新,手机网银应运而生。眼下几大银行都推出了自己的手机银行业务,网银的各种常用功能如查询、缴费、转账等都可以通过手机来实现了。随着越来越多的年轻人使用手机银行进行移动支付,“钓鱼网站”的黑手势必伸向新生的手机银行业务。考虑到“钓鱼网站”的制作门槛不断降低,预计更多的消费热点将成为不法分子实施“网络钓鱼”诈骗的新目标。
2 “钓鱼网站”类电信诈骗的特点
2.1 “钓鱼网站”的黑色产业链已经形成根据调查,围绕电信诈骗有一条完整的黑色产业链:分别有团伙负责:冒充电信及公安部门实施诈骗、伪装真实来电号码或提供虚拟的网络电话号码、转移账款、到各地分散提款。为了逃避侦查追捕,诈骗犯罪分子通常是跨省、区域作案,“3·10”特大电信诈骗案中,两岸警方与印尼、柬埔寨、马来西亚、泰国警方的合作侦破表明电信诈骗已经发展到跨国跨境犯罪。“网络钓鱼”看似是一个个单一事件,背后其实已经形成一条完整的黑色产业链,有专业编写“钓鱼网站”源代码的黑客,有专门销售源代码的个人或团伙,有购买源代码建立“钓鱼网站”,实施“钓鱼”欺诈的不法分子,可以说每个环节都是环环相扣的专业服务。任何一个掌握基本电脑操作的不法分子,花区区几百元就可以建立一个“钓鱼网站”,开始网络钓鱼。在这个黑色产业链中,除了前面所述的网络诈骗分子利用QQ、邮箱等这些常见的方式外,一些网站也成为了这个利益链上的一环,起到了推波助澜的作用。目前,一些网站因为利益驱使,在明知对方是“钓鱼网站”的情况下,依然在首页等显眼的位置投放这些不法网站的广告。为了广告收入,甚至一些主流的知名网站也参与其中。当笔者在某知名搜索引擎中敲入关键词“钓鱼网站制作”进行搜索,迅速出现了约2,000,000个结果。此外,还出现了如“钓鱼网站源代码”、“制作售卖钓鱼网站”、“钓鱼网站制作教程”等等相关的搜索结果。一些制作“钓鱼网站”的不法公司公然在搜索引擎页面上打广告,堂而皇之图1 一个仿冒淘宝的钓鱼网站地留下QQ等联系方式。
2.2 “钓鱼网站”制作成本、违法成本极低笔者在网上尝试联系某些制作“钓鱼网站”的不法分子,结果发现,不法分子的“钓鱼网站”程序以租用和购买两种方式售卖,花费几百元左右即可租用到“仿淘宝多用户商城源代码”,不法分子甚至对笔者进了“钓鱼”培训。当打开一家名为“游戏箱子”的网上店铺时,露骨的简介标注在商品详情窗口内:“全新淘宝网钓鱼程序,直接进钱版,如果对方支付宝支付,还能记录账号密码支付密码。” 这也意味着,只要愿意,任何人都可以通过这些黑客程序仿冒出一个与“淘宝网”几乎一模一样的“钓鱼网站”。现在还有许多中小IT企业,可以为用户提供域名、租用空间等整套服务,收费只有几百元,这更加为仿冒、造假提供了便利。“钓鱼网站”的违法成本也很低,整个“钓鱼”欺诈过程中不法分子的风险基本为零。首先,是绝大多数“钓鱼网站”无木马病毒或恶意代码,所以安全厂商通过技术手段很难全面监控并及时处理钓鱼网站的威胁。其次,“钓鱼网站”量大面广,存活时间短。为了逃避相关部门对其监控和取证,多数“钓鱼网站”的生命周期很短。通常来说,一个“钓鱼网站”的生存时间不会超过一个月。还有很多“钓鱼网站”只存活几天甚至几个小时,等到网监部门接到报案并准备调查取证时,这些网站已经消失了。而一个“钓鱼网站”在存活期内只要获得一次成功交易,就可以瞬间将消费者帐户里的资金全部转移。同时,“钓鱼网站”的鉴别需要专业性,如果相关部门无法全面、准确地取证,也很难对其一一查封。“钓鱼网站”就是通过这种“打一枪换一个地方”的方法进行诈骗。网民一旦上当,不法分子就可以获取几百元到上万元不等的非法利益。据调查,一个活跃运作的“钓鱼网站”,售卖游戏点卡一天会有几十笔交易,单笔交易从几十元到几百元不等。这样,每个月可以通过各种渠道获得近千笔的非法交易,计算下来就可以有数十万元的收益进账。
2.3 诈骗发生后关联方互相推诿,受害者难以维权根据《最高人民法院、最高人民检察院关于办理诈骗刑事案件具体运用法律若干问题的解释》,利用拨打电话、发送短信、互联网等电信技术手段对不特定多数人实施诈骗,诈骗数额难以查证、但拨打诈骗电话五百人次以上,或发送诈骗信息五千条以上,又或诈骗手段恶劣、危害严重的,以诈骗罪(未遂)定罪处罚。然而,在实践中,“网络钓鱼”类电信诈骗通常难以取证,而网民被网络钓鱼后,也普遍难以维权。闹得沸沸扬扬的“网龙钓鱼门”事件,可以充分说明消费者、第三方支付平台、网游公司、和公安部门的无奈。网龙公司涉足网络游戏开发多年,总部位于福州,于2008年在港交所主板上市。当很多网民在网购中利用第三方交易平台进行付款后,却发现被“木马程序”将款项汇入网龙旗下的“91充值平台”。原来,网购交易中,新型的木马程序会在支付平台到银行扣款的环节中,自动在后台生成另一笔交易,指向一个新的帐户,而网民毫无察觉。受害网民当然要求网龙方面取消交易或至少冻结交易帐户资金。而网龙客服人员表明,网民的钱已经充值到一些游戏帐户中,无权冻结这些帐户,甚至也无法取消交易。网友的愤怒大抵是因为“钱被汇入骗子在网龙公司的游戏账号,难以讨回。”而网龙官方回应,称自己也是受害者,并指责第三方交易网站是“助纣为虐”。网龙公司声明,只有提供当地公安网监部门的协查函才能办理退款事宜。事实上,协查函是一种公安机关之间的沟通性公文,本身并不能证明案件的真实性。在“钓鱼网站”类电信诈骗中,单个受害网民向公安机关报案,大多是石沉大海。因为对于这样的案件,每一个受害个体涉案金额都不大,难以引起足够的重视。公安部门无法投入大量人力、财力、物力去侦破几百元钱的单个案件,更何况网上犯罪一般都是跨省、区域的案件。在“钓鱼门”事件的关联方中,受害者在互相指责,而违法犯罪分子却逍遥法外(如表1所示)。诈骗分子正是抓住了单个受害人涉案金额不多,受害人员却又分散在全国各地,公安机关难以统一部署的一系列特点大肆行骗。3 群策群力防范“钓鱼网站”,打击电信诈骗“钓鱼网站”是世界性的难题,它牵涉到互联网监管机构、公安机关、银行、金融业相关机构、网银用户等等。在目前看来,单方面力量很难打击其猖獗的势头。国际上通行的做法是银行、用户、公安机关、互联网监管机构、浏览器及杀毒软件厂商等形成反钓鱼网站的统一战线。2008年7月,由国内电子商关联方 身份 事件网民 受害者 网购时在线帐户资金被骗第三方支付平台 受害者 被不法分子仿冒以诈骗网民网游公司 受害者网民的资金被转移到“骗子”在网游公司开的网游帐户不法分子 侵害着实施诈骗,并通过第三方网站将游戏币折价出售,换取现金表1 “钓鱼门”中各关联方的身份及事件务网站、银行证券机构、域名注册服务机构、域名注册管理机构、专家学者组成的中国反钓鱼网站联盟在京正式宣布成立。中国反钓鱼网站联盟是目前国内唯一为解决“钓鱼网站”问题而成立的协调组织,该联盟已初步建立快速响应机制,借助停止“钓鱼网站”CN域名解析等各种手段,及时终止其危害,构建可信网络。截至2011年5月,中国反钓鱼网站联盟累计认定并处理的“钓鱼网站”达5万多个,仅仅5月份就处理了3641个,比2010年同期增长了38%。面对如此严峻的网络诈骗形势,如何对“钓鱼网站”进行防范,对诈骗分子进行打击,净化互联网消费环境,是网民、新时期公安机关及互联网相关管理部门面临的一大挑战。
3.1 网银用户应加强防范意识,在线交易时应鉴别网站真伪“钓鱼网站”从本质上来说是互联网时代诈骗的一种新形式,它主要是利用人们受中奖、打折或其他物质奖励的诱惑与贪小便宜的心理,以及网民缺乏辨认网站真伪的知识来骗取受害人。因此,网银用户在网上填报个人信息,尤其是网上银行帐户密码时应格外小心,加强防范意识,确保私密信息的安全。杀毒软件拦截“钓鱼网站”的通常方式是采用“URL网址对比”,大多数杀毒软件厂商已在软件中集成了反“钓鱼网站”的功能。如前所述,由于犯罪分子设立新域名的成本极为低廉,而且通过软件可以自动更换URL地址。当杀毒软件把用户举报的“钓鱼网站”地址屏蔽后,犯罪分子通过软件又自动生成了更多的网址,使得杀毒软件厂商对“钓鱼网站”防不胜防。第三方网站身份诚信认证——可信网站的引入,可以帮助网民鉴别网站的真实性。可信网站验证服务,是通过对企业工商登记信息、网站信息、域名注册信息的严格交互审核来验证网站的真实身份。通过认证的企业网站进入中国互联网络信息中心运行的国家的可信网站子数据库中,从而能全面提升该企业网站的诚信级别。要确认网站的真实身份,网民可通过点击该网站首页页面底部的“可信网站”标识进行验证。网银用户在网购、团购、在线订票时,应优先选择已实施可信网站验证的网购、团购或票务旅游类网站,付款前应尽量核验网站的真伪,如遇“可信网站”验证标识打不开或页面出错,就要多加小心,以免陷入“钓鱼网站”诈骗陷阱。网银用户在线交易时应养成查看网站身份信息的使用习惯,企业也应安装第三方身份诚信标识,加强对消费者的保护。
3.2 公安机关应加强对“钓鱼网站”的严厉打击,对电信诈骗保持高压态势2010年全国信息网络安全状况网上调查显示,“网络钓鱼”网络盗窃等电子犯罪已占网络安全事件的8.1%。基于“钓鱼网站”的“打一枪换一个地方”的特点,公安机关应密切与中国反钓鱼网站联盟的联系,充分利用联盟的举报资源,对被举报的“钓鱼网站”类电信诈骗进行严厉打击。中国反钓鱼网站联盟秘书处所在机构CNNIC已经先后与北京市公安局网络安全保卫总队及北京市公安局海淀分局网络安全保卫大队等公安机关直接建立起了防范网络诈骗的联动机制,对于经公安机关认定涉嫌构成诈骗的网站将按照“钓鱼网站”予以处理。根据《最高人民法院、最高人民检察院关于办理诈骗刑事案件具体运用法律若干问题的解释》,明知他人实施诈骗犯罪,为其提供信用卡、手机卡、通讯工具、通讯传输通道、网络技术支持、费用结算等帮助的,以共同犯罪论处。在公安机关对“钓鱼网站”的取证出现困难之际,不妨从其黑色产业链的上游入手,即对为诈骗分子提供“钓鱼网站”源代码的不法分子进行严打。在某知名搜索引擎中搜索“钓鱼网站源代码”,发现相关网页约463,000个,而网络上公开售卖“钓鱼网站”源代码的广告大都留下了联系方式,这对侦查人员取证是一个很好的途径。对明知“钓鱼网站”是实施诈骗行为而为其提供网络技术支持的,根据法律解释,以共同犯罪论处。相对于“钓鱼网站”的取证困难,对售卖“钓鱼网站”源代码的不法分子的违法犯罪行为取证要容易得多。因此,对这些为“钓鱼网站”提供网络技术支持的不法分子进行严厉打击,能够掐断“钓鱼网站”黑色产业链的上游,遏制“钓鱼网站”蔓延的趋势,减少人民群众的财产损失。公安机关应深切认识到对“钓鱼网站”的打击,其根本目的是恢复互联网安全的消费环境,创造和谐有序的电子商务市场。从这个角度出发,应保持对电信诈骗的高压态势,对“钓鱼网站”的打击既非一朝一夕,也不是能够一劳永逸的,而是通过持续的高压态势对其黑色产业链进行摧毁,从根本上恢复广大网民对于互联网消费的信心。
3.3 相关管理部门应尽快建立健全“钓鱼网站”综合防范机制为了发现和治理“钓鱼网站”,中国反钓鱼网站联盟做了大量的工作。目前,联盟的各成员都采取了一系列措施对“钓鱼网站”进行防范,“腾讯”、“淘宝网”、“中信证券”及各大银行都设立了自己专门的安全部门进行“反钓鱼”工作。一些浏览器厂商、杀毒软件厂商也对应推出了自己的anti-phishing(反“网络钓鱼”)软件,微软也在IE7.0中加入了phishing filter(“网络钓鱼”过滤器)。但是,联盟并非官方机构,其主要目的是打击假冒其成员单位的“钓鱼网站”,最终目标并非针对电信诈骗犯罪。如果无法联合起来对“钓鱼网站”背后的整个黑色产业链产生实质性威胁,“钓鱼网站”会此起彼伏,借尸还魂。公安部门应与联盟联动起来,形成一套打击的组合拳,有效地摧毁电信诈骗犯罪的黑色产业链。随着互联网技术的发展,“钓鱼网站”呈现出以境外域名、主动建站为主,非法入侵挂马和假冒侵权网站等等手段并存的违法犯罪趋势。目前,行业内没有公认的“钓鱼网站”鉴别办法,同时,在监管层面,国家权威部门对于“钓鱼网站”还没有明确的定义。网络安全相关监管机构、公安机关等部门应加强网络安全防范管理,从立法、执法等方面给予网银交易以安全保护。打击“钓鱼网站”类电信诈骗的基础是在执法机关、互联网监管机构、银行、用户等共同参与下,建立一个综合防范管理机制,共享各方资源,强化公共利益,改善电子商务的发展环境。这样,才能推动反“钓鱼网站”综合治理体系的建设,增进合作,共享信息,共同预防,综合治理,并最终净化互联网消费环境。
结论“钓鱼网站”危害巨大,是新型的电信诈骗犯罪。通过研究和分析,主要结论如下:1) “钓鱼网站”泛滥的原因包括:消费者麻痹大意和贪小便宜的心理;“钓鱼网站”的制作成本低,存活时间短;案发后公安机关难以取证;受害者难以维权。2) 反“钓鱼网站”涉及用户、银行、电子商务网站、第三方交易平台、杀毒软件厂商、公安机关、网络安全监管机构等各部门,是一个系统工程。当务之急是建立健全“钓鱼网站”事前防范和事后处理相结合的综合机制。3) 反“钓鱼网站”是世界性的难题,电信诈骗犯罪方式呈现跨国跨区域的趋势。公安机关应加强涉外警务和信息化建设,对电信诈骗保持高压态势。
