[摘要]文章主要关注的是对网络银行安全构成重大威胁的钓鱼欺诈：首先对钓鱼欺诈进行了概括性的讨论和分析；由于在此前的诸多研究中，客户的作用与地位往往被忽视，于是文章做了一个旨在了解客户识别及判断钓鱼欺诈能力的调查，以充分说明网络银行安全的两个关键要素是网络银行提供商和网络银行客户；最后，从客户视角出发，提出了一些建议，希望能让在客户层面的网络安全防御能与提供商层面的安全防御一样固若金汤。

[关键词]钓鱼欺诈；网络银行提供商；网络银行客户

由于网络技术的日新月异和人们对方便、迅捷的银行交易需求的日益高涨，越来越多的银行都开始不遗余力地推广网络银行。网络银行作为电子银行或者电子资金转移的一种重要形式，依靠强大的技术支持为客户和企业提供各种金融服务。客户可以利用诸如PDA/PC或者手提电脑等终端设备连接到互联网后，在任何时间、任何地点进行各种交易，而不必担心交通拥塞、停车不便或者事务繁忙而无法办理业务。

在客户享受到网络银行提供便捷服务的同时，诈骗者也同样蠢蠢欲动：他们对网络银行所带来的便利觊觎已久，一旦诈骗者能够成功的截取账户信息或者诱骗客户提供账户信息，那么他们也可以在任何时间、任何地点侵入客户账户。这就需要网络银行提供商和网络银行客户对于网络银行安全保持高度的关注，对潜在的风险保持高度的警惕。

一、钓鱼欺诈

（一）钓鱼欺诈（Phishing）本义

钓鱼欺诈（Phishing）是在20世纪90年代中期，由黑客创造出来的词语，它原本指的是窃取美国在线（American-Online）客户的账户。钓鱼欺诈让毫无警觉的网络银行客户无意中泄露他们的个人信息，从而使诈骗者获取他们的敏感数据。当诈骗者获得这些数据后，他们就会非法侵入客户账户，大肆获取其他敏感信息，最后通常会将客户账户上的资金非法转移到自己的账户上或者将客户的个人资料在黑市上出售。

（二）钓鱼欺诈的种类

1.诱骗式钓鱼欺诈(Deceptivephishing)。诱骗式钓鱼欺诈最常用的载体就是电子邮件：在典型的情况下，诈骗者发出大量诱骗电子邮件，其中包含有HTML表格和一些诱使客户填写表格的叙述；更多情况下，邮件含有超链接：只要客户一点击，就会将客户链接到一个伪造的网站上。

2.恶意软件式钓鱼欺诈(Malware-basedphishing)。恶意软件式钓鱼欺诈指的是这种钓鱼欺诈会让恶意软件运行在客户电脑上。而恶意软件的传播主要是通过社会工程式诈骗或者利用安全漏洞进行的。

3.域名欺骗式钓鱼欺诈(Pharming)。Pharming这个名字产生于2005年3月的一次大规模域名服务缓存毒害事件，它的意思是“域名欺骗式钓鱼欺诈”，指的是欺骗客户在假扮合法网站的非法网站上输入敏感信息，如密码、信用卡卡号等的一种欺诈方式。这种方式不需要客户点击邮件中的超链接，甚至即便是客户正确的输入了网页地址URL，诈骗者仍然可以将客户链接到非法网站上。

4.内容植入式钓鱼欺诈(Content-injectionphishing)。内容植入式钓鱼欺诈指的是将恶意内容植入合法网站，这些恶意内容可能会将客户链接到其他网站，或者在客户电脑上安装并运行恶意软件，从而将数据传输到钓鱼欺诈服务器上。

5.中间人钓鱼欺诈(Man-in-the-middlephishing)。中间人钓鱼欺诈是指诈骗者将自己置于客户与合法网站之间。本应传送到合法网站的内容被诈骗者所获取，他们截留下有用的信息后，继续将内容传递给合法网站，同时也将来自合法网站传递给客户的信息截留后传递。中间人钓鱼欺诈也可以用作信息流截取。这种钓鱼欺诈也有多种不同变化形式，但是通常对中间人钓鱼欺诈的定义是：一个网络安全的分支，在该欺诈中，诈骗者截取并且很有可能篡改传输中的数据。

6.搜索引擎式钓鱼欺诈(Searchenginephishing)。诈骗者采用的另外一种诈骗手段就是为一些虚假的商品开设网页出售，同时搜索引擎如Google，Baidu等索引到这些网页或者商品。这些商品看上去价廉物美，当客户决定购买这些商品，输入交易所需的信息后，敏感数据就会被诈骗者所获取。

7.分布式钓鱼欺诈(Distributedphishing)。分布式钓鱼欺诈是一种新出现的诈骗方式，钓鱼欺诈网站所用的主机不是传统的网络提供商而是私人电脑。这是因为如果使用传统的网络提供商所提供的主机构建网站，这些网站会很快被反钓鱼欺诈联盟所甄别并且摧毁。分布式钓鱼欺诈的出现对于防治钓鱼欺诈来说是一次巨大的挑战，追踪分布式主机显然要比追踪网络提供商的主机困难的多。

（三）钓鱼欺诈的变化

在钓鱼欺诈的早期，大多数的诈骗主要依赖含有非法超链接的诈骗邮件诱使客户泄露自己信息。然而，在过去的数年内，诈骗者利用更为先进的技术手段和更多样化的载体，使钓鱼欺诈的形式更为多样化。例如近年来出现的网络语音欺诈以及短信钓鱼欺诈等。

（四）钓鱼欺诈流程

如图-1所示，钓鱼欺诈的基本信息流按照其步骤依次如下。（1）诈骗者为钓鱼欺诈做准备，他们创建域名和服务器，并将恶意软件或者诈骗传播载体植入其中。（2）诈骗载体通过不同的传播途径到达目的地。例如，在诱骗式钓鱼欺诈中，诈骗载体通常是含有诈骗内容的电子邮件；又如在恶意软件钓鱼欺诈中，诈骗载体往往是恶意程序代码或者客户无意中下载的软件或者是安全漏洞。（3）客户做出反应，如点击超链接从而被链接到欺诈网站或者是链接到合法网站，但是其一举一动被键盘记录软件所监控，从而使自己暴露在潜在的威胁之下。（4）网站唆使客户泄露敏感数据；这些网站可能是合法网站被植入恶意代码也可能是非法网站等。（5）由于恶意服务器，或者本地运行的恶意软件，抑或是在监听软件窃取下，用户泄露敏感信息，如用户名或者密码等。（6）敏感信息通过本地运行的恶意软件，如键盘记录、屏幕记录程序或者网页木马传递给诈骗者。具体传递方式取决于钓鱼欺诈的具体种类。（7）所获取的敏感信息被非法使用，以入侵客户账户。（8）诈骗者获得非法金钱收入或者将这些信息非法出售以敛财。

二、调查

我们知道，客户是诈骗者主要的攻击目标，但是这从来未引起足够的重视。网络银行提供商和研究者应该重视供应商和客户之间的密切关系，重视客户的看法，尊重他们的选择，并且积极主动的倾听他们的建议。基于上述考虑，笔者设计了这个调查。

（一）调查设计

1.问卷设计。问卷共分为3部分，第一部分是选择题，我们希望了解客户是否经历过钓鱼欺诈以及他们对待钓鱼欺诈的一般观点。第二部分为排序题，要求参与者根据自己的判断，对出现的内容按照一定的次序进行排列。我们想要了解是哪些方面造成诈骗邮件或者网页具有迷惑性，同时为什么一些合法的邮件或者内容会让客户觉得模棱两可。第三部分是选择题，我们想了解客户的一般上网习惯，这对于有效防止钓鱼欺诈至关重要。整个调查采用标准化测试，参与者需要在15分钟之内，独立完成问卷，而且在此期间他们不能上网或者查阅资料。为了让我们的调查更具体、更有说服力，在问卷部分结束后，我们鼓励所有参与者向我们及时反馈他们的想法或观点。

2.受访者选择。根据受访者不同的背景，我们将受访者分为三组：IT背景、金融背景和其他背景。一共有39名参与者，我们在有效问卷中，随机从每个组别选出了6份问卷，因此最终有效参与者为18人，年纪从19岁至45岁不等。我们需要强调的是：目前几乎没有针对中国进行的钓鱼欺诈研究，所以我们有意识地仅选择中国人作为受访者；因此，调查结果将代表性地展示钓鱼欺诈在中国的特点以及客户对待钓鱼欺诈的态度。

（二）调查结果

整个调查带给我们诸多启示，这些都有助于我们更好的了解客户行为，制定防治钓鱼欺诈的措施。

1.钓鱼欺诈在中国的情况与在北美地区有所不同。知道钓鱼欺诈的参与者比例接近67%，但是这一比例仍然偏低；有些参与者虽然在使用网络银行服务，但是表示他们从未听说过钓鱼欺诈，这显然是一个重大的安全隐患。在知道钓鱼欺诈的67%中，只有少数确定他们曾经收到过钓鱼欺诈邮件，这一点与北美地区大多数人都曾收到过钓鱼欺诈邮件有着比较明显的区别。

2.大多数人无法真正识别钓鱼欺诈邮件。根据调查，虽然有75%的参与者说他们“能够”区分钓鱼欺诈邮件，但他们的理由是：他们从不相信任何含有银行账户信息或者其他个人信息的邮件，而不是他们曾经对钓鱼欺诈有过比较充分的了解或者熟悉一些简单判断钓鱼欺诈邮件的办法。这充分说明了，大多数中国网络银行客户对网络银行服务缺乏信心和热情，同时也说明了网络银行提供商在盲目推广他们的产品的时候，没有积极和客户交流，没有积极听取客户的反馈。

3.没有采用可以有效防治钓鱼欺诈的方法。87%的受访者表示，他们在收到钓鱼欺诈邮件后，会立即删除，而不会采取其他行动；只有1位参与者表示，他打算向有关部门反映，但是他坦言，他并不知道哪个部门会受理此类投诉。这对于网络银行提供商来说是一种巨大的警示：任何一项防治措施，如果没有客户真正参与进来，那么这项措施都是毫无益处的。

4.电子邮件最具钓鱼欺诈性，手机短信和手机彩信其次，电话和传真最不具有欺诈性。在所有参与者看来，电子邮件最具钓鱼欺诈性，但是他们也对手机短信或者手机彩信钓鱼欺诈性的担忧快速增加：超过25%的参与者认为短信或者彩信最具钓鱼欺诈性。这个特点需要网络银行提供商和研究者充分重视，因为大多数银行提供通过手机短信或者手机彩信进行实时交易提醒的服务，如果诈骗者利用这个漏洞，将会造成更多的损失。

5.客户对邮件主题比较敏感。大约89%的参与者认为，中奖信息最具钓鱼欺诈性，但是其他的邮件主题对于参与者而言几乎没有区别。这说明，目前在中国钓鱼欺诈的手段和形式比较单一：一方面钓鱼欺诈在控制范围中，一方面提醒我们一旦诈骗者采用多样化的手段，就会造成巨大的损失，因为客户没有任何防御准备。

6.邮件的样式会有一定作用。78%的参与者表示，一旦邮件中含有超链接，他们会非常警惕；同时一封邮件过分强调安全他们也会产生怀疑。参与者同时建议，邮件不应该作为紧急事件的通知途径，如果密码修改、账户安全性提示等。

7.第三方的安全认证取决于该认证品牌认可度。调查中，我们列出了诸多第三方安全认证产品，从已有的品牌McAfee，TrustWatch到编造的品牌BankSecurity。我们发现，在具有IT背景的参与者中，他们几乎做出了相同的排序：McAfee,TrustWatch和微软旗下品牌OneCare是值得信任的，但是对于其他品牌，如FinjanSecureBrowsing由于其在中国较低的知晓度，也被排列在受怀疑的序列中。而对于金融背景和其他背景的受访者而言，所有品牌都被列为受怀疑序列。部分参与者建议，如果有一个权威的机构或者组织第三方安全认证信息，这样更容易让所有人接受和信赖。

8.人们关心URLs。我们发现，参与者对网页的URLs地址非常关注，同时他们都善于发现网站地址的细微差别。但SSL安全标识作用有限：参与者表示在打开新页面的时候，他们很少去关注SSL安全标识，同时仅有39%的参与者能够区分http和https的区别。所以，我们再次确信，虽然网络银行提供商、软件制造商和ISPs竭尽全力强化系统安全，但是如果客户没有积极参与其中，所有的措施都显得事倍功半。

上述结论充分表明了客户与网络银行提供商在了解上存在真空区域，而这正是造成先进的安全系统无法充分发挥作用的原因。如果我们不对客户的反馈和看法予以充分的重视，更具威胁的钓鱼欺诈将会频繁袭来。

三、防范措施

众多的研究者认为，由于诈骗者会持续不断的改善其技术手段，网络银行提供商也应该深化并精化其技术设备以构建更为安全的网络安全系统。我们为，进行技术优化固然重要，然而他们却完全忽视了网络银行客户。只有结合提供商和客户的力量，才能让使两者进行良性互动、协同共“战”。

（一）在交易前进行教育

网络银行提供商应该确保在客户进行交易前，对他们进行足够的安全教育。

1.熟悉交易流程。有位调查参与者在访问中表示，虽然他没有系统了解过钓鱼欺诈，但是由于他非常熟悉网络交易的整个过程，一旦交易中有任何异常，他都能立刻察觉。所以，我们建议网络银行提供商应该让客户充分熟悉交易流程，从而构建起第一道有效防线。

2.熟悉常见钓鱼欺诈手法。我们已经证实，如果客户对常见的钓鱼欺诈手法有一定了解的话，那么客户会更容易避免钓鱼欺诈的袭击。从这个角度而言，网络银行提供商在客户开户的时候，就应该充分告之客户常见的钓鱼欺诈手法，因为预防措施永远比事后补救更为有效。

3.熟悉银行正确的工作方式。网络银行提供商应该使客户了解银行正确的工作方式，客户了解的越清楚，他们被诈骗者误导的可能性就越低。比如，客户应该清楚，虽然银行会给客户打电话进行业务处理，但是他们永远不会索要客户的个人敏感信息，比如密码、PINs等，而且客户决不能信任在电子邮件中出现的所谓的“客服电话”等，当需要拨打客服电话时，客户可以从银行卡背面找到。这些都有助于使客户进一步识别钓鱼欺诈。

（二）在交易中进行沟通

交易中，客户与网络银行提供商进行及时有效的沟通会有效降低钓鱼欺诈的影响，就算客户受到钓鱼欺诈的袭击，双方也可以采取有效的措施进行弥补，以避免更大程度的损失。

1.定期发送提示资料。钓鱼欺诈手段随时随地都在进行变化，为了使客户能够及时了解最新动态，定期发送相关提示资料可以让网络银行提供商与客户进行有效的沟通；这样可以尽可能降低由于新式钓鱼欺诈手段所带来的伴随效应。

2.多渠道交易提示。通常来说，当账户发生资金变动时，网络银行提供商会通过电子邮件或者短信或者依据客户定制发送资金变动信息。但是这就存在着一个明显而危险的漏洞，如果客户面临中间人钓鱼欺诈，诈骗者就能截取从银行发给客户的提示信息。因此，如果采用多渠道交易提示，毫无疑问这会大幅度增加诈骗者进行欺诈的难度，而不会对客户造成任何额外的不便。

（三）在交易后进行反馈

客户的反馈常常会帮助银行做出许多有益的改善，因此网络银行提供商应该鼓励客户积极反馈信息，并且也应该主动的与客户进行联系，从而让客户与他们的互动更为充分。

1.提供商主动提供交易安全报告。对于客户来说，如果他进行了大量的交易，而仅仅在某个交易发生钓鱼欺诈，他很容易忽视，从而遭受莫名的损失。因而，网络银行提供商可以定期向客户发送交易安全报告，在报告中，提供商可以详细列出交易的金额、时间，并且根据IP地址显示交易地址以及浏览器类型等信息。一旦有任何异常信息，网络银行提供商应该醒目标识并等待客户确认，同时这还可以借助数据挖掘工具对交易记录进行分析。超级秘书网

2.建立无障碍反馈通道，鼓励客户反馈。我们已经在调查中指出，很多客户想要与网络银行提供商进行沟通，但是他们从来没有找到合适的方式。因此，我们建议网络银行提供商开设无障碍反馈通道，这样可以让客户与网络银行提供商进行无缝对接式交流。

（四）用科技手段保障交易

最后，我们还可以充分利用技术手段确保各个环节都万无一失。目前，各家银行主要采用两种交易工具来确保客户交易时的安全。

1.动态密码卡。动态密码卡在收到交易指令后，会随机产生交易动态密码，这就弥补了传统静态密码的不足。对于那些企图“推断”出密码的诈骗者来说，这种方式应该是牢不可破的。2.U盾。U盾在芯片中保存有身份真实文件和加密数据，它具有唯一性和不可复制性，充分确保了数据的真实性和准确性。理论上，采用U盾作为交易工具，任何诈骗者都无法破解其密码。

四、结论

我们必须意识到网络银行安全的两个关键要素——网络银行提供商和网络银行客户，两者相辅相成、缺一不可。但是目前存在于客户与网络银行提供商之间的“代沟”仍然让诈骗者有机可乘。一方面，我们需要密切关注钓鱼欺诈的发展趋势，并且积极利用先进的信息技术；另一方面，我们建议网络银行提供商应该充分尊重客户，因为后者是整个网络银行体系不可或缺的一环，也是诈骗者试图突破的一环。

为了保证整个网络交易的安全，网络银行提供商应该采用互动式体系，在交易前对客户进行充分教育，在交易过程中充分的与客户进行沟通同时在交易结束后，主动与客户进行联系，获取客户反馈；此外利用先进的技术手段，一定能够确保安全、稳定的网络交易环境，从而为客户提供可靠、便捷的网络银行服务。