登录

网络钓鱼

百科 > 经济犯罪 > 网络钓鱼

1.什么是网络钓鱼

  网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客开始以电话为作案工具,所以用“Ph”来取代“Fishing”中“F”,创造了“Phishing”一词。

  网络钓鱼通常是指那些利用欺骗性的电子邮件和经过伪装的银行电子商务站点来进行诈骗活动,诱骗网民提供一些个人重要信息,如银行账号、密码等,并利用这些获取不正当利益的行为。[1]

2.网络钓鱼行为的定性[1]

  利用钓鱼网站骗取网民银行卡或信用卡账号、密码等私人资料的行为,在侵害了网民利益的同时,也触犯了我国相关的法律法规,这些法律包括《民法通则》、《刑法》等。比如:钓鱼网站如果是以盗取银行卡或信用卡账号、密码为目的,对于普通网民来说,钓鱼网站侵犯了网民的财产权;如果网民基于钓鱼网站的欺骗行为处分了自己的财产,钓鱼网站的设立者或使用者又因此获得财产,从而使网民的财产受到损害,当非法获得的财产达到一定数额或欺诈的情节严重时,就构成了诈骗罪;另外,对于钓鱼网站所模仿的正规公司或企业而言,钓鱼网站不仅仅影响了正规公司企业的运营,还对这些企业公司的声誉造成负面影响;更有一些钓鱼网站收集网民的身份信息等等,公民身份信息泄露,对社会的和谐稳定也造成一定程度的隐患。

  我国1997年《刑法》设置的与计算机或网络直接有关的犯罪分别是第二百八十五条、二百八十六条、二百八十七条。《刑法修正案(七)》通过后,将本罪的犯罪对象扩大到几乎所有的计算机信息系统,如果情节严重的,均可构成非法侵入计算机信息系统罪。然而,根据《刑法修正案(七)》,行为人如果侵入的是国家事务、国防建设、尖端科学技术系统以外的计算机信息系统,需要达到情节严重的程度才能构成非法侵入计算机信息系统罪,而对那些还没有造成危害后果或者刚刚着手实施钓鱼行为以及其他的一些情节不是很严重的行为,则无力规制。可是,这与“网络钓鱼”本身极具有社会危害性,需要进行《刑法》的规制是不相适应的。由以上分析可以看出,非法侵入计算机信息系统罪是不能规制当前的“网络钓鱼”行为的。

  我国《刑法》第二百八十六条规制的是违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行??后果严重的行为。“网络钓鱼”行为中的一种表现形式,即利用木马和黑客技术等手段窃取用户信息的行为,“网络钓鱼”中的此类行为在一定程度上综合了该罪的客观方面,似乎可以此罪来定罪处罚。然而,该罪的三款都要求“后果严重”才能人罪,钓鱼者只窃取了某个人的个人资料或身份信息,很难认定为“后果严重”,因为这里缺乏一个量化标准。

  尽管我国刑法中直接规定的与计算机和网络有关的犯罪不能直接规制目前出现的诈取他人身份信息和密码的行为,但有一种特殊的身份信息却因为我国刑法的专门规定可以得到保护,即信用卡资料。如果钓鱼者窃取网络用户信用卡的账号、密码等信息资料,就构成了《刑法》第一百七十七条之一规定的妨害信用卡管理罪。钓鱼者的另外一种行为也可能受到我国现有刑法的规制,即伪造网站时,同时伪造或擅自制造了他人注册商标标识的行为,如果达到情节严重的程度,就构成了《刑法》第二百一十五条规定的非法制造注册商标标识罪。根据以上分析可以看出,我国目前刑法基本上不适应规制当前愈演愈烈的网络钓鱼行为的需要。

3.网络钓鱼的特点[2]

  1.欺骗性。钓鱼者利用自建站点模仿被钓网站,并结合含有近似域名的网址来加强真实程度。更有甚者会先侵入一台服务器,在服务器上不断重复地做相同的事情,让自己可以更好地脱身,逃避追踪以及调查。1-2

  3.针对性。通常与钓鱼者紧密相关的都是一些银行、商业机构等的网站,随着互联网的飞速发展,电子商务网上购物已经成为与网民息息相关的服务。庞大的网络资金流动,带来了很多的新兴行业,也带来了潜在的安全隐患。

  3.多样性。网络钓鱼是一种针对人性弱点的攻击手法,钓鱼者不会千篇一律地去进行攻击,不管是网络还是现实中到处都存在钓鱼式攻击的影子。钓鱼者不会局限于常用的伪造网站、虚假邮件等手法,而是会结合更多的便民服务,以容易接受的形式去诱骗被钓者。从而在更短的时间内获得更好的效果。

  4.可识别性。网络钓鱼并不是无懈可击,更不是没有一点破绽。从钓鱼者的角度出发,钓鱼者本身会利用最少的资源去构造自己的钓鱼网站,因为无法去利用真实网站独有的一些资源(如域名、U盾、数字验证等)。因此,在伪造网站方面。会利用近似或者类似的方法来进行欺骗,通常我们可以查看伪造网站,根据经验去识别其真实性。

4.网络钓鱼的主要欺骗方式[1]

  1.通过发送邮件,以虚假的信息诱使网民上当。不法分子利用邮件的形式大量的发送垃圾邮件,这些邮件一般以中奖、咨询、核实等内容来引诱网民在邮件中填写账号和密码,或是以各种理由要求网民登陆其事先设计好的钓鱼网站提交用户名、密码、账号、身份证号等信息,继而盗取网民资金。例如,某小姐收到的“淘宝网”邮件,其实是钓鱼网站发出的诱饵,它意图通过钓鱼邮件,将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,以获取收信人在此网站上输入的个人敏感信息,进而利用这些敏感信息套取财物。

  2.利用大型网站发布虚假的信息进行诈骗。此类犯罪活动一般是利用大型的电子商务网站或者比较知名的购物网站上发布虚假的商品销售信息,犯罪分子在收到被骗人的汇款后就销声匿迹。比如前几年,罪犯佘某建立了奇特器材网,发布出售一些虚假信息,诱骗顾客将货款汇入自己银行账户,然后转移赃款的案件。

  3.建立假冒的网上银行、网上证券网站来窃取用户账号和密码。犯罪分子建立起域名和网页内容都与真正的网上银行、网上证券网站非常相似的网站,引诱用户输入账号和密码,进而通过真正的网上银行、网上证券系统来盗取资金。

  4.利用木马和黑客技术手段窃取用户账号信息后实施盗取活动。犯罪分子利用发送电子邮件或者网站中隐藏木马等方式来传播木马程序,当有网民感染木马后进行网上交易,木马程序会以键盘记录的方式获取到用户账户和密码。

5.网络钓鱼技术原理[3]

  1.仿制钓鱼网页

  网络钓鱼者根据正常的官方网站网页的模样,利用网页制作工具软件进行仿制或利用网站导人来获取网页素材,即使有些内容无法获取到也无关要紧,大多数人都不会清楚地记得被冒仿的网页上都有哪些内容。钓鱼者将仿制好的网页挂靠到一个或多个可公开访问的网站服务器上,这样网络用户就可以通过Internet访问这个页面,这样一个钓鱼网站就制作完成。

  2.利用数据库后台技术

  网络钓鱼网站的最终结果是要收集骗取上网者的个人账户信息,因此如何捕获收集用户在网页上输人的信息是关键。在获取到网页信息后,钓鱼者会对网页代码根据自我需求性进行相应改变,而且钓鱼者不需像正常网页那样做合法性的反馈校验等那些过程,只是将用户的录入直接传送到特定的后台的数据库或文本文件中,也可以利用特定代码程序将用户输入的内容通过电子邮件发送到钓鱼者的电子信箱中。MySQL和Access数据库编程简单且易维护,是钓鱼者们常用的后台方式,也有钓鱼者利用NOS的漏洞,把制作或订购的木马病毒代码植入到用户计算机中,当用户上网时,将用户输入的隐私信息保存记录下来,或直接发送给钓鱼者。

6.遏制网络钓鱼行为的措施

评论  |   0条评论