【大纪元11月1日报导】(中央社记者孙承武台北一日电)刑事局今天公布一个假的“兆丰国际商业银行”网站诈骗手法,其实这种“网路钓鱼”(phishing)诈骗手法,技术难度并不高,且发信源头大多来自中国大陆,除了民众小心被骗,另外网管、银行业者都应负起相关责任,不能把问题全都推给警方。
“网路钓鱼” Phishing 这个字,是来自飞客“phreak ”及钓鱼“fishing ”的结合。刑事局资讯室分析,骗徒先以假名透过网路购得易付卡、假的信用卡卡号,向网路代理注册服务公司(ISP)申购与真正银行网站相似的网址,例如只O“零”与“O”、“I ”与“1”的差别,然后复制一模一样的内容。
接着大量寄发邮件后就等着“钓鱼”了,也就是等待不知情客户上网键入网路银行账号、密码;然后就是盗取账号密码,将骗取机密资讯侧录至电脑中,最后上网转账把钱转存到人头账户。由于只要一不小心误入假网站输入账号密码,将导致所有的机密资料及银行存款 都将被吞噬一空,也有网友戏称“网路猪笼草”。
由于制作钓鱼网站、发送钓鱼垃圾邮件相当容易, 不需要复杂的骇客技术,只要会制作简单的网页并加入表单,就连国中生都能够顺利上手,以致近期网路上类似案例层出不穷。
外界很好奇,这类网站究竟能存活多久?依刑事局提供美国网路钓鱼防范小组(APWG)的统计,钓鱼网站平均的寿命长达六点一天,也就是说,从开始钓鱼到被检举关站,这些网站通常可以存活将近一周,足以骗取相当多的使用者个人资料,国外案例存活时间最长的钓鱼网站达三十一天;另外依网路犯罪专家估计,第一次 收到“钓鱼信件”的使用者,大约有百分之三的比例会 被骗。
至于要有效防杜“网路钓鱼”,关键就在于难以伪造的银行网址(domain name)。警方电脑专家说,由于网址是取信被害人的重要依据,网页内容虽可以假造 ,但网址却需要 ISP 申请登记,经审核后付费使用。 不过多数 ISP 对于网址申请的审核浮滥,让骗徒可轻易申请网址通过。
警方分析,ISP业者不能只是消极的期待网址申设人得遵守“财团法人台湾网路资讯中心网域名称注册管理办法”,然后被动的等待网友检举,采取删除、冻结或删除网域名称、道歉等事后弥补的工作;而应该以积极的态度,确实负起网址申请注册,身份严格审核的管理责任。
另外,各家银行业者应投注心力,关心自家网站、网址有无被仿冒的状况,及时通告银行客户,防止受骗上当,唯有确实把关,才能降低广大的网路使用者遭遇诈骗的风险,并减少社会成本的付出。
