阻击钓鱼网站从服务器实名制开始

发布时间:2012-05-09 13:39 作者:佚名来源:TOM 点击:加载中...次

　　一天，李先生收到一封突如其来的电子邮件：

　　“尊敬的网银用户：您的E令卡于次日即将过期，请您尽快登录www.bocg.tk进行升级，给您带来不便敬请谅解，详询955XX。”

　　李先生当即按照邮件上的网址登录了该行网站，并输入账号密码，随后又输入了动态密码(网银E令)。输完账号、密码和网银E令后，网站提醒：密码不正确，李先生决定隔日再试。可第二天，李先生发觉银行账户上仅剩几十元钱，其卡内近200万元的存款被洗劫一空。等李先生回过神来再次查看邮件时，才发现，邮件中提供的银行网站并非该行的官网，只是域名极其相似而已。李先生实际上进入的是一个“钓鱼网站”。

　　李先生马上联系了银行，可银行的回应却为：网银用户遭到犯罪分子欺诈，主要是防范意识不强，和网上操作的不规范造成，银行有义务配合警方破案，但是不承担赔偿。李先生只能自己承担损失。

　　“辛辛苦苦几十年，一朝回到解放前”，李先生的遭遇也仅仅是钓鱼网站危害的冰山一角。据中国互联网络信息中心近日发布的报告显示，截至2011年12月底，中国网民规模达5.13亿，全年新增网民5580万。而据不完全统计，共有1亿9861万人次网民遭到钓鱼网站攻击，给网民造成的经济损失至少200亿元。钓鱼网站已超过病毒木马成为互联网第一大安全威胁，网民受钓鱼网站威胁的次数是病毒木马威胁次数的5-10倍。这其中，大型电子商务、金融机构、第三方在线支付网站更是成为网络钓鱼的主要对象。

　　银行网站联手搜索引擎共同阻击钓鱼网站

　　去年年底，为了防止网民误上钓鱼网站，公安部网安局会同相关银行组织了专项行动，经过与多家金融机构的协商决定：中国工商银行、中国农业银行、中国银行、中国建设银行、中国邮政储蓄银行等5家国有银行和中国银联以及“中国电子银行网”共计7家金融机构官网将在百度、搜狗、雅虎、搜搜等10家主要搜索引擎中置顶。

　　各搜索引擎公司分别对本公司的搜索引擎做了技术改造，将7家金融机构的官方网站放在搜索结果的第一位，部分搜索引擎还通过增加显示银行标识的方法，使官网与其他搜索结果区别开来。网民可通过这些搜索引擎搜索以上7大金融机构，并通过置顶链接访问其网站，从而避免被钓鱼网站骗取个人信息。

　　这些标识帮你区分“李逵”or“李鬼”

　　仅仅将7大金融机构的官网在搜索引擎置顶，只是防范钓鱼网站的形式之道，并不能解决本质问题，显然案例中李先生的遭遇就不是官网置顶可以避免的，置顶也不能保证用户不会去点击那些排在非首位的钓鱼网站，而且除这7家金融机构网站外，更多的金融、电子商务网站又该如何防“钓”于未然。虽说彻底根除恶意钓鱼者并非一朝一夕便能达成，但作为网络消费者，想要从根本上避免钓鱼网站的危害，还是需要在识别真假网站上下功夫。掌握以下三招，您将能轻松看穿钓鱼网站魅惑我们的妖术，练就一副“火眼金睛”：

　　网站的域名以“https”开头。我们知道正常的网站多以“http”开头，而可信网站会以“https”开头。

　　网址后面有个“小金锁”。网民可能早就对“小金锁”习以为常了，但孰不知它就是可信网站的标识。

　　地址栏的背景颜色是绿色。一般地址栏的背景颜色都是白色的，而通过可信网站认证之后，地址栏会变为特有的浅绿色。

　　实际上，上述特征都是网站应用SSL证书(即服务器证书)后所表现出来的，证书通过在客户端浏览器和企业服务器之间建立一条安全通道对网站身份进行验证，对传送的数据进行加密，确保网站的真实及信息、资金交互的安全。借用汪涵的一句话来说：有人模仿我的脸，但模仿不了我的面，钓鱼网站是绝对无法模仿以上三大标识的，因为钓鱼网站无法通过严格的可信网站认证，所以网民在一个网站看到这些标识后，可以放心选择并使用该网站了。

　　VeriSign SSL证书为企业与用户信息安全保驾护航

　　世界500强企业中93%的公司选择VeriSign的SSL证书服务;世界100家最大的银行中97%的公司选择了VeriSign的SSL证书服务;全球50大电子商务网站中的47个网站都选用VeriSign的SSL证书服务，VeriSign作为全球数字认证领域最权威的SSL证书品牌，用实力与安全赢得了众多用户的选择与信赖。天威诚信(verisign.itrus.com.cn)是VeriSign在中国的首要合作伙伴，双方合作已达12载之久，中国大陆区VeriSign证书和代码签名证书市场份额中有95%来自天威诚信。

　　拥有全国最大客户群的中国工商银行，仅仅2011年上半年的电子银行交易额就已超过100万亿元，但与此同时，每月都有至少上千个钓鱼网站对工行网站用户个人信息虎视眈眈，树立网站可信形象，用强有力的技术手段确保用户实现网上各种操作时得到有效的加密防护成为中国工商银行网站安全的重中之重。在详细了解考察了中国工商银行网站业务特点及安全需求后，天威诚信为其提供了有针对性的网站信任化服务。通过部署VeriSign EV SSL证书，实现其数据信息的在线高强度加密传输，确保数据信息在传输过程中不被窃取、截获及篡改，防止用户银行卡号、密码等敏感信息被盗造成损失。同时简单直观的可信网站识别方法，大幅增强用户信任，有效提升了用户体验，得到了用户的广泛认可。

　　除金融网站必须部署SSL证书外，天威诚信建议凡是与客户间发生信息流交互、资金流交互的网站，都应该部署SSL证书，裸奔则面临着极大的风险，倘若仍在有风险隐患的情况下继续运作，会有越来越多的客户利益因此受到了侵害，再知名再声势浩大的网站也难逃崩盘离析的厄运，会顷刻之间丧失客户的群体信任，倾其所有也将无法挽回。

　　构建信任，从服务器实名制开始

　　近来，无论是微博还是交友网站，都在尝试着进行网络实名制认证，这是构建安全可信网络环境的一种手段，而SSL证书从本质上就是实现了服务器的实名制。实际上，实名制应该是双向的，我们在强调网民要实名制的同时，作为企业网站是否应该先实现实名制呢，给你的客户安全感是作为企业基本的责任，也是关系企业成败的关键。如今是互联网经济时代，一个安全的网站，是展示企业形象及实力的窗口，是吸引客户的渠道，但它是一把双刃剑，如果不小心被钓鱼，就会给客户造成伤害，给自己带来的也将是无法弥补的损失。赢得信任何其难，失去信任却何其简单，所以从现在做起，从使用SSL证书开始，牢固你与客户之间的信任，以诚信之躯，托起一方笃实的沃土，播撒信赖的种子，成就一片坚不可摧的威然之洲。

(责任编辑：)