冯　艳

网络的诞生，一如火药的发明，初衷无害，却在人贪欲的驱策下，一天天沦为恶者的帮凶。时至今日，它只走了不到四十个春秋，却已毒入膏盲，沦为骗子行骗和小偷盗窃的新天堂。病毒软件：道高一尺，魔高一丈

尽管计算机安全产业不懈地努力，malware(恶意的软件)还是比任何时候都更疯狂地蔓延。仅2008年一年，其数量就翻了三番，比过去21年内累积的总和还增加了200％。

malware会在暗中占领一台PC，然后利用它以几何级数向其他电脑传播更多的malware。2008年10月，位于马萨诸塞州贝德福的一家安全咨询团体——RSA欺诈行为研究实验室——发现50万信用卡号码和银行账户登陆信息已被一个所谓的超自然计算机偷窃，该计算机由一个网上帮派远程控制。同月，GeorgiaTech信息安全中心的研究员称，全世界遭到botnets(通过互联网发送垃圾信件或干扰以互联网为基础的服务的网络，也称僵尸网络)感染的联网计算机可能将于2008年底增至25％，而2007年只有10％。这意味着多达1000万台电脑将有可能遭到感染，被犯罪分子用于通过互联网发送垃圾信件和计算机病毒。

电脑科学家和安全研究人员承认，他们无法与这些袭击抗衡。

越来越狡猾的病毒

迄今为止，人们对抗病毒的努力几乎是杯水车薪，因为散播计算机病毒的botnets和虫子一样，可以从一台电脑爬向另一台电脑，商业杀毒软件目前还无法识别它们。2008年11月，硅谷电脑安全公司FireEye的首席科学家Stuart Staniford指出，在36个商业杀毒产品测试里，只有少于一半的最新病毒程序被发现。

而帮派分子们仍在孜孜不倦地改良其病毒。现在，他们已写出用于搜寻个人电脑里某种特定信息的程序。一些病毒会利用操作系统寻找用户近期生产的文件，推定它们更具价值。而另外一些会定期监测和偷盗登陆及密码信息，特别是客户的金融信息。

这些程序的复杂性在过去两年内已赋予它们以假乱真的能力。比如，病毒程序一旦感染了一台电脑，就会定期使用其自身杀毒功能，不仅令杀毒软件失效，还清除与其竞争的病毒程序。最近，微软反病毒研究员破解了一个感染程序，他们惊异地发现，当它攻占用户的电脑后，它会定期打开Windows的升级功能，保证其自身不受其他犯罪者的侵袭。

但最大的问题是人们不知道自己的计算机是否被感染了。因为病毒常常伪装自己，逃脱杀毒软件的视线。眼下，苹果的Macintosh计算机或多或少能幸免于这些侵袭，但研究人员认为，随着市场分额逐日增大，苹果电脑会成为更大的目标。

感染驱动的时代

尽管新技术阻遏了一些病毒的侵袭，一些计算机安全专家表示，眼下水深火热的经济低谷有可能会导致计算机安全成为第一个被削减预算的项目，这是因为其有效性很难得到印证。而网络罪犯却至少和尖端的大软件公司一样技术先进，也更快，更灵活。当软件公司加紧提高基本操作系统如Windows和Macintosh的安全性时，进犯者已转移到网络浏览器和程序上，如Adobe Flash和Apple QuickTime。由于资源有限，安全人员无力重新设计架构，只能力求解决现存问题，这就造成了好人被坏人牵着鼻子走的窘况，也即所谓的“感染驱动”的时代。

警惕：社交网络中那个自称是你朋友的人

如果说病毒是人们难以抵御的灾难的话，那么很多网络诈骗似乎该是可以避免的了，因为它们的形成大都需要两个不可或缺的要件：骗子施骗，以及受害人上当受骗。既然此类犯罪的要素之一是人们自身的行为，那么是不是就可以轻易避免受害了呢?

最近，澳大利亚公民Karina Wells在社交网站碰到一个酷似尼日利亚诈骗犯的家伙。此人在Facebook上发给她一条信息，自称是她现实生活中的朋友Adrian，被困在尼日利亚拉格斯，附近找不到电话。他请求Wells汇来500美金，好让他买机票回家。

Wells当然不肯买他的帐。她向澳大利亚当局和Facebook发出警报。两者现在都在调查中。尽管细节还需证实，Facebook官方已经认定，有人诱使Adrian在一个虚假网址上输入其在Facebook上的密码，从而获取了他的登陆信息。

Wells挫败了这个明显的骗局，但官方和安全专家警告，由于数百万人每天在社交网络中互动，人们常在越来越广阔的朋友圈内分享详细个人信息，这将导致类似的网络诈骗越来越常见。“默认的信任”

FBI和国家白领犯罪中心指出，虽然e-mail仍是诈骗高手接触潜在受害人的最常见网上手段，骗子们已日益转向包含社交网络的网页。他们还指出，美国人2007年在互联网犯罪中被卷走的金额总数增加了21％，达到空前的2亿4千万美元。在此类案件中，通过网页被锁定的受害人占32.7％，而2005年仅有16.5％。官方表示，社交网络要对这一增长负局部责任。因为在这些网页上，存在着一种默认的信任，人们感觉不到人身威胁。FBI网络调查部门副主任Shawn Henry指出，很多罪犯如今转向了计算机网络，因为那里是受害人云集之地，也即机会之所在。

安全专家也被骗

最近，一对网络安全顾问做了一个试验，证明在Linkedln上伪装成另一个人是如何轻而易举。他们从他们的朋友Marcus Ranum那里得到允许，在以专家为目标读者的网站上建立了一个关于他的虚假资料网页。MarcusRanum是为白宫官方网站建立第一个e-mail服务器的顾问，并因此闻名。这两个安全顾问就使用他的名字，简历，照片(所有照片皆来自网络，无需任何帮助)。然后他们试图联系大公司主要信息官员，安全交易杂志的主编，防御产业专家，以及其他现实生活中Ranum可能知道的人。

尽管这些人都专长于网络安全，却大都接受了这个请求。一旦假Ranum和这个产业有了切实的联结，他对下一个目标就显得更可信了。这一实验表明，社交网站的用户对一个朋友身份信息的期待少之又少。一个名字，一张照片，一些关于他们真实生活的了解就足矣了。

2008年网络诈骗手段排名

除冒充别人行骗外，还有数不胜数的其它门类的网络诈骗。美国消费者诈骗举报协会融合美国互联网犯罪举报中心及自身追踪系统提供的数据，发布了2008年网络诈骗统计。根据此项统计，排名前八的现行诈骗手段如下：

乐透中奖骗局：受害人会被告知他们已进入一个抽奖程序，之后他们会收到祝贺电话，恭喜其中奖。但在领奖前，他们必须缴纳管理费和税款。这里

的奖品当然是子虚乌有。任何真正的乐透也都不会在中奖人领取钱款之前，先要求其交钱。

互联网拍卖诈骗：通常被称为Ebay或PayPal诈骗。在此类诈骗中，或者拍卖货品是假的，或者拍卖人收了钱而不发货。

尼日利亚预付款诈骗：诈骗人通过信件，e-mail或传真，提出和受害人分享巨额款项，前提是要用后者的银行账户向国外转账。罪犯常常会使用这些银行账户详细信息提走受害人名下的存款。

身份盗窃：受害人会收到一个看似真实可信的银行或信用卡公司的email，其中包含一个网页的链接，要求受害人更新账户信息。但这些网页和email都是假的，目的只是在骗取帐户信息，然后偷窃。

致富骗局：此类诈骗会许诺你一旦收到他们的免费书籍或CD，就能了解他们致富的秘密。这些网页本身就是诈骗，其产品更是毫无价值。他们根本没什么秘密可言，更糟的是，他们中很多人是身份盗窃犯。

假支票：你从email里收到一张支票，看起来是真的，但当你试图去取钱时，你会发现它是假的。你会因此而被捕!

免费信用卡报告：该网页的名字是“免费信用卡报告.com”，但你只在申请其有偿服务时才会收到一份报告。这是多么公然的欺诈!

在家中工作：当你申请了这类工作后，你将被要求付材料费，钱一到手，对方就会人间蒸发。

套用一句耳熟能详的广告词，正所谓：网络诈骗，种类繁多，总有一款适合您!

网络安全保卫战：路漫漫其修远

美国政府已意识到问题的严重性。2008年1月，布什总统签署了国家安全总统指示54号文件，建立了一个国家网络安全创制权。这一计划预计将在未来七年内花费3百亿美元，旨在保护联邦政府电脑及运营国家重要架构的系统，如石油和天然气网络以及电力和水系统。

目前正在参议院接受讨论的2008互联网犯罪预防法案(InternetCrime Prevention Act of 2008)提出了互联网犯罪预防教育计划，旨在教育家长，孩子，教育工作者及公众如何识别和防范潜在的网络犯罪活动。笔者认为，在互联网犯罪愈演愈烈的今天，这类法律在全世界各国都势在必行。因为，很显然地，这将是一场世界范围内旷日持久，也许永无尽头的战役。和现实世界一样，哪里有利可图，哪里就会有犯罪。随着网络一日千里地渗透到人们生活的方方面面，特别是经济领域，其中的“利”会越来越耀眼，照出虚拟世界里的犯罪更加狰狞而真实的存在。和现实世界中的犯罪相比，也许网络世界里的犯罪更容易，更安全，成本也更低廉。同时，有关网络犯罪的法律还在创立和完善阶段，这就为罪犯成为漏网之鱼提供了条件。既然如此，一个诈骗犯何必不在网络里诈骗呢?也许正像.com公司的兴起，这是一个新兴的犯罪领域，其中蕴藏着无限“商机”。所以，这不会是一场容易的仗。谁也无法预测它将如何演变。形势也许会得到控制，也许会更糟。重要的是，人们必须要意识到问题的严重性，在网络犯罪肆虐到不可收拾前，同心协力去打这场保卫战，让网络时代的孩子们从小就形成网络安全意识，让每一个普通人都把网络当作现实世界的延伸，以及不法分子犯罪舞台的延伸，充分提高警惕，这样，才会将犯罪分子的破坏性降到最低，也才能维持住已成为21世纪商业基础的电子商务。

除了加强立法，美国还采取了一系列其他防治措施：

强制报案制度：这一制度在一些国家和地区已经兴起。比如，美国佐治亚州和犹他州在立法中规定，知道计算机犯罪事件的人、企业或者单位有向有关当局举报的义务。佐治亚州还规定，如果报告者出于真诚，将免于承担任何因进行报告而导致的民事责任。

成立互联网欺诈投诉中心：为打击计算机和互联网犯罪，美国各种专门机构如雨后春笋，纷纷涌现。2000年5月8日，美国政府成立了“互联网欺诈投诉中心(the Internet Fraud Complaint Center，IFCC)”，作为联邦调查局的分支，专门负责调查和打击日益猖獗的网上欺诈行为，消费者可以随时通过该中心的网站(www.ifccfbi.gov)进行投诉。这是世界上第一个专门针对网络欺诈的政府机构。通过设立这样一个专门受理网络欺诈的政府机构，那些怀疑受到电子商务欺诈侵害的消费者可以迅速有效地与执法部门分享有关信息。美国互联网欺诈投诉中心在成立之初就配备了12名联邦调查局特工和15名来自全国白领犯罪调查中心的人员，在全国范围内履行执法任务。

此外，美国司法机关于1991年就成立了国家网络犯罪训练合作社，训练地方，州及联邦法律执行机关识别和打击网络犯罪。网络欺诈罪犯可被判为重罪，面临高达25万美金的罚款和长达20年的牢狱生涯。

装备专业技术警察：目前，大多数国家都装备了专业计算机技术警察。美国的“C-37”就是侦查计算机犯罪行为的行动小组。他们的装备不仅有手枪等武器，还配备了便携式计算机，其任务是追踪计算机系统和网络空间的犯罪分子。

面对铺天盖地的网络犯罪，来自政府的努力显然远远不够，网络安全更需全体网民的努力，所谓匹夫有责。安全专家摩耶认为，各个网站都应采取用户的认证措施。他建议新用户的档案资料都建立日期显示，以打击那些每天都开设很多新帐户的诈骗犯。另外，网站应发展某种友情提醒系统，让用户举报他人的可疑行为。最好的预防措施仍然是教育网民当心网上的人。或者对要钱或银行账户信息的要求留个心眼儿。

一言以蔽之，面对日益凶险的网络犯罪，每个人都要在战争中学习战争，并且牢记：胜利不会向我们走来，我们必须自己走向胜利。