五千年(敝帚自珍)

主题:【讨论】【求助】罪与罚——遭遇钓鱼网站诈骗后的愤怒与无奈 -- 情人湖

共:💬105 🌺328
全看分页树展 · 主题 跟帖
家园 【了解网络交易诈骗】 - 安慰情人湖兄弟

了解网络交易诈骗 - 安慰情人湖兄弟

前几天情人湖说自己网上被骗了,正好自己没事琢磨过这方面,就想写这篇。但是挺犹豫的,一方面想让不懂的人更懂一些,以免受骗。可另一方面,特意去翻了情人湖兄弟的帖子,发现他是个挺内向的人,又怕放这些马后炮,让他更难受。最后想一想,男子汉大丈夫还是要面对现实。跌倒了爬起来么,不能逃避。需要什么说出来,网上朋友帮你。

网上交易诈骗这种事,现在没什么公认的定义。我给分两种。一种是就传统交易本身,利用网络特点进行诈骗,比如作假、不给钱等。这种损失有限,最多一般就比交易金额也多不了多少。另一种是攻击网络,通过交易获取银行信息,用来盗窃。这个就损失大了。话题大了,扯得远点,大伙儿凑合着看。

所有的交易,要保证公平,就要保证两个方面。一个是交易内容和双方事先认可的一致,另一个是一手钱一手货。网上看不见实物,卖的东西和标称不符,就是网购的风险,就是虚假内容。还有个例子,以前网游交易中,有这样一种骗法,先拿个好的装备,等双方商量好价钱马上要确定了,迅速用差的装备把好的装备换下来。所以后来暗黑2的交易系统就分两步,先是看好货之后锁定,双方都锁定的情况下才能付款。再比如快递,买了衣服,邮给你个石头。因为做不到一手钱一手货。其实这就是明摆着耍赖。淘宝上另一种赖法是退货不退钱。网络交易为了防止某一方沉寂,淘宝有个默认7天自动付款(退款)的功能。但是这个也是明赖。所以一般骗子也会找个第三方来赖,比如快递公司。有了第三方,这个事情就说不清了。所以淘宝上都强调要当面签收。

最近有这么个例子。A到C店里买东西,拍下后说地址改了,要发到另一个地址B家。于是C发货了。然后A投诉到淘宝,说没发货要求退款。由于A口头改了地址,淘宝一查交易地址确实没发货,就强制退款了,于是C去找B要退货。结果发现B在和A做炒作信用的互换交易,B由于收到了这批货,已经给A附了款。这个事情本质是“虚假中间人”。A间接促成了B和C的交易,并利用时间差截获货款。这就不是一个完整的“一手钱一手货”的交易。

有些交易,买卖的是服务凭据。这就更没法追究。服务享受了就没了。比如新闻报过的火车实名制车票挂失补办的问题。就是利用了付款和上车的时间差。并不是在检票口当场付款上车,而是持票上车,这样我拿着原来的票和挂失补办的票,就能两个人乘车。

其实这些都是传统交易就有的骗法,和网络没关系。只不过网上交易的特点——无法监督,双方不见面,让这些骗法成本更低。好像之前河里某个姐姐要买房就差不点上类似的当,好在及时打电话给闺蜜,点破了。

由网络本身产生的骗法,就是信息安全和加密类书里常介绍的,对网络这种操作方式本身的攻击,包括盗窃和伪造。我们来看,从你在电脑(手机)前点击按钮付款,到银行划账,中间有多少步。1)你看到屏幕显示的,你输入的,不一定是软件收到的(键盘钩子)。2)软件收到的,不一定是发到网络上的(dll木马劫持)。 3)发到网络上的,不一定发往正确的地方(重定向,虚假钓鱼网站)。4)发到网上的,银行收到不一定正确(网络窃听和伪造)。

这几个环节都会产生欺骗。比较有技术含量是修改软件,植入木马。业界也用很多技术方法来应对,说我们要用https加密(防止网络窃听和伪造),各种数字证书,带显示屏不带显示屏的Ukey,等等。但是这种方面成本高,技术门槛高,一般人搞不了。魔低道也低。以前河里有某大哥说,某省级根CA密钥(理解为发身份证的机构,自身必须绝对可信)都能轻易拿到。在这个领域搞的,都是国际黑客,对个人划不来。

但是往往脆弱的在人。钓鱼网站就是,不用什么黑客软件来改数据,而是直接把你引导到错误的网站。人犯错误的概率就大了。稍高级一点的,只是让你下载个病毒图片,病毒引导过去,你看不到,比较隐蔽。稍低级点的,电话诈骗,你孩子受伤了,自己转账去吧。当对人进行攻击的时候,所有技术手段都能被绕过去的。有这么个例子:某D女士网购,被引导到某钓鱼网站,但是她开了手机动态密码,就是每次转账银行都发不同的密码到她手机上。普通的钓鱼网站就算偷到了帐号,不破门去抢手机也是拿不到密码搞不到钱的。结果,人家后台是手工和银行网站同步操作的,D女士在这边输入帐号,骗子在那边银行上输入帐号,银行显示的校验码什么的,钓鱼网站再同步显示回来,该发动态密码的时候,也正常发动态密码。直到最后一步,D女士的电脑上提示账户问题无法登陆,那边骗子进了真正的银行转钱。这种“虚假中间人”欺骗能绕过所有的验证方法,什么口令卡,动态密码,啥都没用。唯一有效的是硬件Ukey。让银行网站和你手里的Ukey直接建立数据联系,别人插不进来。但也只是人工插不进来,黑客还是有办法的,所以网银客户端什么的必须从银行自己的网站下载。

怎么防范呢?对于传统骗法,就是认准了“不见兔子不撒鹰”。认死理的老太太最好骗也最难骗。另外是拍下、付钱、发货、收货都必须是同一个帐号地址。因为网上仲裁是只看计算机记录的。其他什么约定都没用。这方面去淘宝论坛看,大片大片的争议贴。

对于网络攻击,需要有一定的计算机知识,确保数据链是可信的。没有计算机知识怎么办。河友说了,我银行卡就放200块。你顶天能骗我多少?这是风险控制。允许出错,但控制出错的后果。

真不幸了有没有追回的法子呢?咱们都知道了,这种案子犯罪成本小,破案成本大,取证难,抓捕难。尤其是相关法律不健全!甚至某些情况找到人了也告不成诈骗,只能告个破坏计算机数据罪!警察也懒的管这些事。银行倒是能起作用,像河友说的国外银行就金融诈骗科。其实国内也能做到,再假的账户,总得有人去开户吧?再怎么网银,总得到摄像头底下去取现吧?我不知道骗子是不是聪明到了拿这些钱海外网购来洗白。银行只是不愿做。他们自己给错了钱到想着告储户呢。

网上有些流传的段子,比如对于电话诈骗的,因为是大撒网捕鱼,骗子的网银会持续一段时间不会马上抽逃。那就每次汇一分钱,对方付手续费。2元能换对方200元,你骗了我你也拿不到,都交银行手续费了。还有说登陆骗子网银故意输错密码,造成网银锁定,暂时无法转出。但是这些都是传说,有没有用不知道。而且关键是缺少银行的配合,怎么折腾都是拿不回自己的钱的。老引好像不常在河里了,不然可以请他说几个网络诈骗的案子。去年好像是有个北京的案子,卡在储户手里,卡被骗子伪造,异地取款转钱,最后告起来,银行说储户保管密码不善,储户举证说卡一直在我手里,骗子是异地取钱,告银行没有认真核实真假卡。好像是告赢了,但我也只记得有这么一例。咱从技术上说,要想伪造卡,骗子应该至少是拿到过原卡的。

所以说,根本上还是安全意识。我以前介绍过一种随机密码的方法“左手食指放在键盘Y上,弹献给爱丽丝两个小节”,别笑,我真这么做的,只是没这么夸张。另外各家mail,论坛,qq,网银,取款密码,查询密码,统统不要一样。这么多密码能记住么?我说两个技巧,一是有些数字,只对自己有意义别人不知道,比如说我就记得小学时买的第一张彩票的号码,小孩子记性好,一张彩票翻来覆去看。30多岁了这个号码也没忘。另一个技巧河友也说过,就是用简单的规律稍加变换。比如“情人湖雅虎”“情人湖建行”“招情人商湖”这样的。记住一个等于记住了5,6个。还有,3年换一次,至少把招商和建行的互换一下,这个我说不准是好还是坏。

千万不要过分相信计算机自身的安全,包括银行官网。招商证券网页登录,以前就是密码不加密的。所以只能在家用网银,实在不行了在网吧用,回家马上把密码改了。常用的几个网址最好记住,比如招商是cmbchina.com,但是建设银行以前是ccb.cn后来才改成.com。自己手动输入,别点链接。百度也不可靠,那个家伙有钱就能排前面。感觉不对了,先打电话到银行把账户冻结再说。另外强迫自己定期查账,对于单身老爷们。

安全和方便是需要平衡的,现在支付宝推出个快捷支付,不需要走银行的验证,只要通过了支付宝验证,就能从银行划钱。这个自己把握了。

在就是身份证,没办法,国内就这样,泄漏太多了。我在深圳养成的习惯是凡用身份证复印件必须写用途+使用日期。现在懒了,不是每次都写。

信用卡的话,据说如果只凭签名(不凭密码),挂失前72(或24)小时内的损失能追回来。但是没试过。另外背面那单独的3个数字,在国外是和密码有同样效果的,我是记下来之后,卡片上涂黑。有用没用不知道,只当心里安慰吧。去ktv唱歌,卡不要交给服务员。超市刷卡,没密码也要装模作样按6个(随便按)等等。

通宝推:旧时月色,wjcgx,做客地球,纳米小洞儿,不远攸高,往前走,foundera,

本帖一共被 1 帖 引用 (帖内工具实现)
全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河