继间谍软件在美国引发轩然大波之后，另一种旨在盗取用户账户信息的网络犯罪——“网页仿冒”(Phishing)又瞄上了在线业务，并可能破坏整个电子商务系统。 ５月７日，英国国家高科技犯罪中心(NHTCU)逮捕了12名利用Phishing（网站仿冒）作案的疑犯。这12名疑犯受雇于俄罗斯犯罪集团，在英开设了用于周转盗取资金的账户。而在一周前，英国警方破获了首起Phishing诈骗案:一名21岁的年轻人因试图窃取英国网上银行Smile客户的账户信息而被起诉。 澳大利亚四大银行之一的澳大利亚和新西兰银行集团（ANZ）也曾遭遇到“重量级”的Phishing对手攻击。ANZ、联邦银行、Westpac 以及国家澳大利亚银行一直以来都是这些Phishing诈骗的主要目标。 据Gartner估计，过去一年中，有1/5的美国人成为Phishing的攻击目标。Phishing诈骗正使飞速发展的网上银行业陷入困境。 细看Phishing 所谓Phishing，其实是一种互联网诈骗。多数情况下，诈骗者会向没有防范的用户发送一些貌似来自银行或零售商的电子邮件，声称收件者的账户需要更新或有新产品待售，目的在于钓取（fishing）客户的账户资料或信用卡号码。通常，邮件会提供一个看似官方网站的链接，客户一旦点击此链接，便会被提示输入其账户信息，这些信息最终落入诈骗者手中，从而让用户蒙受损失． 随着电子商务及在线银行作为购物与金融交易的手段而被广泛采用，Phishing诈骗也变得日益猖獗。 Gartner最近的一项调查表明，有5700万美国消费者肯定收到或很可能收到过此类仿冒的电子邮件。Gartner称，在去年遭遇此类诈骗的400万消费者中，有30%的消费者访问了假冒的eBay网站，29%的人发现了假冒的PayPal网站，14%的人则发现了假冒的花旗银行网站。 垃圾邮件过滤公司Brightmail的数据表明，过去9个月中，全球Phishing邮件总量增长迅猛，于今年4月达到31亿封。据英国安全机构MI2G报告，去年，有250多起针对主要银行、信用卡公司、电子商务站点以及政府机构的Phishing攻击。2003年，美国联邦交易委员会收到21.5万个身份被窃的投诉，比前一年同期增长33%。 Brightmail的调查还表明，最近出现了Phishing的一个恶性变种，它创建的电子邮件含有特洛伊程序，可在不知情用户的计算机上安装其自身并通过登录口令窃取信息。有报道说，一个真实的网站被某Phisher变种所接管，要求用户输入详细的资料并将这些资料传送到指定的储存点。 最近，反Phishing工作组（APWG）也警告其成员防范一种新的骗局。据介绍，此类Phishing使用的是一种动态的JavaScript代码，而不仅是静态的假地址栏图像。攻击者通过JAVA程序更改地址栏而修改被袭击者的浏览器，从而可将其诱到任一个浏览器窗口显示为官方站点的网站，进而使更多的人上当受骗。据称，花旗银行的客户已成为该类诈骗的对象。 危及电子商务信用 由于Phishing技术不断升级，警方和技术专家预计Phishing诈骗会快速蔓延到通过电子邮件与客户通信的所有商业领域，任何拥有在线业务的公司都将成为潜在的受害者，而ISP、航空公司以及零售商将处于被攻击的前沿。 由于不少Phishing攻击源自海外服务器，从而使对它们的追踪和对攻击者的起诉变得困难起来。安全专家表示，全球犯罪财团很可能隐匿于一些骗术更诡秘、范围更广泛的攻击背后。根据MI2G的数据，仿冒的电子邮件涉及到包括西班牙、新加坡、澳大利亚、加拿大、香港甚至瑞士的全球35家银行。但其首要的攻击目标是北美和英国。去年，有100多宗独立的Phishing诈骗案发生在这两个地区，被仿冒的皆是大名鼎鼎的银行，像Fleet 银行，ABN AMRO，American Express、美国银行、HSBC、Barclays银行，甚至包括英国中央银行——英格兰银行。 eBay和其他几十家已遭Phishing多次攻击的公司所担忧的是，Phishing不仅损害了其业务，而且对客户、对电子商务的信心提出了极大挑战。Cyota最近针对在线银行账户持有者的一项调查表明，74%的被调查者表示，由于Phishing的威胁，与以前相比，他们进行在线购物的可能性降低了。 美国反Phishing工作组主席（APWG）David Jevans表示：“这些攻击正在破坏整个电子商务系统——我们的经营方式——的信用。”APWG成立于去年11月，旨在帮助消除Phishing攻击。迄今，该组织成员已逾180个，包括执法机构、技术供应商及已成为攻击的首要目标的主要金融机构。 美国银行及信用卡公司称，其去年由于Phishing诈骗的损失达12亿美元。另据MI2G估计，去年由于Phishing诈骗，全球经济损失超过了322亿美元，原因包括客户的减少、业务被中断，以及用于恢复品牌信誉方面的努力。该机构预计，今年的损失会更高，仅今年第一季度报告的Phishing攻击数就超过了去年全年，而相应的经济损失也已逾248亿美元。 构筑防御之墙 面对Phishing的频频进攻，各大公司及政府相关机构均采取了相应对策，完善原有系统、建立相关网站、教育客户，而美国联邦贸易委员会和司法部的网站还接受投诉申请。 APWG 的Jevans表示，APWG成员不仅一直致力于教育客户，同时也制订公司层面的政策以管理有关欺诈性电子邮件的报告，并期望凭此技术最终可终止——至少降低Phishing攻击。 过去的几个月中，主要的ISP都公布了各自的最新解决方案，希望能因此减少假冒的电子邮件和垃圾邮件。其中，微软发布了名为Caller ID的计划，要求电子邮件的发信者公布其邮件发送服务器的IP地址。今年1月，美国在线开始测试一个与此相似的、称做Sender Policy Framework的系统。Yahoo也公布了其称做DomainKeys的程序。反病毒及反垃圾邮件公司也都在不断努力，在其软件程序中增加相应的过滤程序。 有关安全专家表示，其实，消费者最好的自我保护方式是不需要多少技术含量的：对电子邮件产生怀疑时，使用电话，而非鼠标；若想访问某个公司的网站，使用浏览器直接访问该站点，而非点击邮件中的链接。 美国贸易委员会和联邦调查局向公众提出以下针对Fishing的建议： １. 对要求重新输入账号信息，否则将停掉信用卡账号的邮件不予理睬。更重要的是，不要回复或者点击邮件的链接。你可以拨打信用卡上的客服电话确认信息的真实性。 ２. 留意网址。多数合法网站的网址相对较短，通常以.com或者.Gov结尾。仿冒网站的地址通常较长，只是在其中包括合法的企业名字或者根本不包含。 ３.将可疑软件转发给网络安全机构。

关键字：