与网络诈骗的亲密接触

十一亲历网络诈骗记

 

国庆佳节去同学家玩，向她妈妈宣传了一下网络购物的便捷和经济。正好同学妈妈手机快没钱了，于是就想在网上充一下值，体验一下网络购物。想不到在帮她充的过程中就亲历了一场网络诈骗。

（由于一开始没有意识到问题，所以没有留存证据，以下的内容是之后又随便找了一个售卖充值卡的网店进行的案件重演。由此也可见此类诈骗在淘宝上有多么的泛滥，可以一而再再而三地重现。）

 

登录淘宝，进入“我要买”，点击进入“联通100”，开几乎所有的都是95.5充100的价格。

 

于是就随便点了一个进去。

 

 

接着笔者找店主确认价格。

店主十分爽快二话没说给了另一个地址：

 

 

 

而新给的地址则是一家出售移动卡网址，而且这个货物是自动发货的。（自动发货是被骗子利用的一个关键点，下文有具体分析）。

 

 

而当笔者向他提出不是该页面并不是他的页面，而且价格不一致时，骗子开始灌迷魂汤，并且信誓旦旦地进行保证，说这是为了“避免同行捣乱”。

 

 

之后笔者向骗子谎称说已经拍完，骗子给出一个网站，要求笔者去该网站进行充值。并煞有介事地要求好评。

 

 

这就是骗子给出的网上充值平台网站。

 

 

当笔者提出质疑对该网站提出质疑时，骗子依然摆出了信誓旦旦的样子。而且通过之后的对话，笔者发现，这个骗子的文化水平应该不高，连基本的英文单词really都看不懂……

 

 

虽然最后通过和第三方卖家联系，笔者并未遭受到任何经济损失，但此次事件让我切身感受到网络安全的险峻形势和良好习惯的重要性。

 

首先，骗子利用低价吸引买家点击。使买家对其的商品感兴趣产生购买欲望。

 

第二步，给出一个第三方的地址，一般情况下对于卖家给出的地址，买家或会默认其给出的是自家店铺的网址，故在查看的时候可能会有疏忽，发现不了这其实是个第三方网站。而即使发现了，骗子也会用种种理由，比如其实是同一家店，防止同行恶意行为来进行解释。

 

第三步，利用淘宝自动发货的便民机制，使买家能即时获得货物（即充值卡），并且和真正的卖家（合法的第三方）无需进行接触交流，避免这二者之间的交流使骗局揭穿，骗子正是利用了这点使得骗局屡屡奏效。（事实上，正是由于第三方卖家当时正好在线，通过和第三方卖家的交流使笔者揭穿了这个骗局。）

 

第四步，利用伪造的网上充值系统，骗取充值卡卡号密码，获取利益。其实这个伪造的网站的作者十分偷懒，不论输入什么都会提示冲值成功，且除了下方友情链接外的所有链接都是失效的。

 

而同类型的另一个钓鱼网站http://www.chongzhi.mo.cn/index.asp的作者则稍稍敬业一些，将下方的查询链接指向中国移动的官方网站

 

 

通过观察页面的设计风格可以发现，这些伪装的钓鱼网站应该是修改自同一模板的，索然都是号称采用了128位的安全性加密，但其实是http而非https。并且在抄袭的时候，甚至将原作者的拼写错误也照抄不误

 

有些基础知识的读者应该知道，应该是“128位SSL安全性加密”，而非“128位SLL安全性加密”

 

在此，再次提醒广大买家：

1.         在享受网络购物便捷和经济的时候，提高警惕，谨防网络诈骗。

 

2.         对于卖家信誓旦旦的承诺，要有自己的判断，骗子往往比真正的卖家讲的更斩钉截铁，因为他们的承诺无需兑现，只要买家掏出了口袋里的钱，他们便达到了目的。

 

3.         信用级别只可参考不可尽信，此次用以重现诈骗行为的骗子就有双钻100%的好评率。

 

4.         在出现卖家提供的网址时注意是否为伪造或其它第三方的网址，并且注意网站是否有合法的备案信息（如下图，京东网站截图）。在使用网上交易平台的时候也可以使用错误的输入进行尝试，看看其是否真的有后台验证系统。

 

 

相信笔者的这次经历只是千千万万个网络买家遭遇到的千千万万的网络诈骗中的一个个例，但是我的经验和分析能给广大的网络买家带来启示，网络安全环境十分复杂，各种技术只是保护网络安全中的一环，而人亦是其中一环，同时也是十分脆弱的一环，在网络购物时一定要提高警惕，莫让骗子从我们自己身上击穿我们构筑的网络安全防线。

Peter Zang 于2008年10月2日凌晨