对山西忻州市民邢文龙来说,他近两个月来的困惑终于得到了消除。
9月底,广东惠州市公安机关告知邢:8月1日他认为“莫名其妙”被窃取的23000元,如今去向已水落石出,利用自编的木马程序在网上窃取了他存款的“网络钓客”曾某已在广东被捕。
不过,邢文龙仍禁不住打了个寒战——在曾某的“钓鱼”名单中,他只是其中一条,从今年2月到9月,曾某窃取了涉及40多万元金额的数百个银行账号和密码,并从其中几个账户盗取了4万多元。
“他的运气不好。”对曾的被捕,另一位网名叫seeker的“钓客”漫不经心的说。
在浙江一个普通的小屋里,seeker和他的同伴正两眼惺忪地坐在电脑旁,乍眼看去,他们似乎只是沉溺在这个时代最风行的DIY生活方式中。
但是,seeker并非仅仅在自娱自乐,他正在从事的是全球互联网上出现最快的威胁网络安全的活动——网络钓鱼(phishing),即利用冒充的金融网站或间谍软件获取网民的个人信息,进而盗取他们的钱财。
这是一份不稳定且有高风险的生意,seeker为此日夜忙碌,以期待更多的“鱼儿”在形形色色的“诱饵”前上钩。
不能张扬的生意经
尽管seeker的行径为那些仅追求技术钻研和共享的“老黑客”们所不耻,但他不打算停下脚步。
这是一个社会资源匮乏的少年一种典型的“剑走偏锋”式成长:单亲孩子、低龄、大学中途辍学、酷爱技术、没有正式职业。
“隐秘的生活并不快乐,但只要成功一次,我就能得到高利润的结果。”seeker为此颇为时髦地引用了《了不起的盖茨比》中的一句话,“别和我说道德,这个东西是人一出生就分配不均的。和很多更可耻的行为比起来,我只是在个人奋斗。”
中国互联网协会秘书陈素忺向记者表示,seeker们滋生的背景是网络技术和网上银行业务的应用普及,越来越多的普通用户开始用网上银行处理个人资产的查询、转账、支付或交易。
“钓客”们清楚地知道:在这个价值链中必须走捷径。在网上银行业务流程“用户—网上银行—银行数据库”三个环节中,突破后两者很困难,于是,薄弱的用户端便成了他们攻击的主要对象。
“事实上,中国很多主机处于无人维护的状态,它们在没有安装补丁、防病毒软件、防火墙的情况下连接互联网。”seeker说。
“注册一个银行网址的域名,然后做一个和银行一模一样的网站。”他说,“接着就可以给用户发电子邮件,诱导他们登录假冒的网站,只要他们输入账号和密码,钓客就能得到这些信息。”
信息得手后,为规避风险,seeker会极力去唆使陌生人,利用陌生人的账户接收资金转账,然后从ATM机提取现金。
他发给“鱼儿”的信笺通常是这样开头——“亲爱的用户,我们注意到您的账户信息已经过期,如果不及时更改将导致信息失效,请点击此处及时更新。”这些链接地址实际上是一枚“鱼饵”。
一位“钓客”曾以“中国工商银行客户服务中心”的邮件落款仿冒工行的网站,假工商银行的网站www.1cbc.com.cn与真网站www.icbc.com.cn只有“1”和“i”的一个字母之别。
根据国际反网络钓鱼工作组(APWG)的报告,eBay的在线支付工具PayPal是全球遭受“钓客”侵袭最严重的品牌之一——也许那些没有PayPal账号的中国用户很容易知道这是一枚垃圾邮件,但有账号的用户一旦输入信息,将为他们的粗心大意付出代价。 
|
