網絡詐騙形式主要有兩種
目前網絡釣魚詐騙最常見的有兩種形式:第一種是虛假鏈接的傳統型釣魚方式。“網友在網購過程中,當進行到第三方支付平臺要付款之時,鏈接到了詐騙分子做的虛假頁面,該頁面在頁面形式、扣款金額等方面做得與原網購網站非常相似,而通過這個虛假頁面進行支付的金額則自動進入了詐騙分子的賬戶。”
第二種是當前比較嚴重的木馬型釣魚方式。“這是一種更隱蔽更可怕的方式,當電腦中了這種木馬病毒,在網購交易中的支付平臺到銀行扣款的環節當中,木馬程序會自動在后臺生成另一筆交易,新的交易指向了一個新的賬戶,銀行的扣款自動到了詐騙分子的賬戶,而網友毫無察覺。”
“網絡詐騙分子不斷升級作案手段,行為非常惡劣,給網民、我們這樣的支付平臺、銀行都帶來了非常巨大的損失和傷害。”周泉說,他們成了網絡詐騙受害者不斷投訴的“黑支付公司”,網上甚至出現了“支付公司受害者”這樣的虛擬社區群。
但事實并非如此。
“網絡騙子先有一筆真實訂單,再通過虛假鏈接、木馬病毒入侵等方法讓受害者去支付,支付公司的處理系統只是處理這筆資金,無法分辨是來自騙子,還是來自受害者。而受害者付款后未收到商品,才知道受騙,由于是支付公司處理的交易,有用戶誤認為付款到了支付公司,所以會投訴。”
在詐騙交易未付款的時候,支付公司不能凍結這筆交易。“由于騙子發起的是真實訂單,誘騙或操控受害者電腦完成支付,支付公司系統處理成功后,就需要給商戶付款;支付公司能做的是將這筆訂單的去向告知客戶,協助警方追查;但因為法律規定,系統處理成功即需付款,不能凍結該筆資金,否則支付公司就違反了商業合同。”周泉無奈地說。
支付平臺防范難治本
對網絡詐騙,支付平臺就不能做點什么嗎?周泉解釋了支付公司在流程中設立的一道道 “防火墻”。
對虛假鏈接釣魚方式,支付平臺目前采用的“防火墻”有:“時間戳”、確認正確域名、設定交易時間敏感值、核實過濾支付來源的網址等。“‘時間戳’就是,在支付各個環節中都加入時間記錄,當時間間隔超過預設的范圍時,訂單將被判定為無效,無法進行支付,需要重新生成訂單才能完成支付。設定交易時間敏感值,也類似于‘時間戳’。”周泉說。支付公司還通過IP識別技術比對一個訂單各個環節所產生的IP地址,如有不符即進行阻止,或者比對訂單生成IP與支付完成的返回IP,對不一致的進行阻止。當支付來源網址與商戶在匯付登記不一致時,交易也會被阻止。
對木馬病毒這種更加隱性而高級的手段,匯付天下用加驗證碼和二次確認等方法,識別人工操作和木馬的機器操作行為。“從升級效果看,加驗證碼和二次確認方式,雖然用戶的便利性受到影響,但對打擊木馬型釣魚收到了明顯效果。此外,我們也正和警方共同協作,及時提供有關記錄,對于詐騙行為進行打擊。”周泉說。
“支付公司雖然對于真實交易不清楚,只是個支付通道,但也可以對于大額交易、頻繁交易做出適當干預,即使有用戶被騙,損失也可以小一些。”周泉說。
“這是最好的時代,這也是最壞的時代,這句話同樣適用于網購現狀。”周泉說。2010年12月,中國反釣魚網站聯盟發布的年度工作報告顯示,2010年1月~11月,累計認定并處理釣魚網站20570個,較上一年同期大幅上漲,其中,網絡交易類(74.38%)、虛假中獎類(12.96%)、金融證券類(12%)網站位列釣魚攻擊的前三位。
在2011年兩會上,全國政協委員、中央財經大學證券期貨研究所所長賀強就提出,當前打擊網上詐騙,因為涉及數額較小而公安機關不能立案的現象確實存在,但對于網上欺詐這種普遍比較小額的特點,也需要加以研究,公安部門必須加強介入和重視。
“我們也呼吁產業各界一起努力來進行防范。例如被騙子利用銷贓的一些網站要加強實名制,一旦警方認定詐騙,被利用銷贓的網站有責任提供騙子的真實身份,并承擔賠付責任;銀行也需要不斷升級防釣魚機制,以免被木馬鉆了漏洞。廣大網友更要多加留心。”周泉說。
記者 莊慶鴻