序言

典型的电子邮件威胁

网络钓鱼行为

谁想要成为洗钱者？

恐吓软件

买家小心——服务订阅背后的危险

社交网站欺诈

Twitter——暗藏危险的简短URL

电影、游戏、音乐……以及恶意软件

总结

序言

我们从很小的时候就学会了有意无意地分析他人的肢体语言和声调，调查显示，我们一生中60%的时间里关注别人的肢体语言多于关注他说的内容，而且用这种方法来判别讲话人的话的真实程度。这些结论能够有效地帮助我们避免被欺骗，敲诈或者被操纵。但是欺诈和骗局并不仅仅是存在于现实生活中的威胁，多种网络虚拟欺诈行为的数量正在以惊人的速度增长。这意味着我们需要采取新的方法去衡量各种可能产生的威胁；电子邮件和社交网站中没有肢体语言或者声调的变化，我们通常只能以一些文字和图片来作为判断依据。那这是不是就意味着我们再也不能依靠直觉了呢？

现实似乎就是这样了，至少表面上看起来是这样。但是，互联网也提供其他一些可行的办法，来补偿我们难以发挥作用的直觉。不过，在利用这些方法之前，我们要先知道别人想要从我们身上得到什么。网络罪犯和诈骗者可不会白费力气，所以如果你遭遇了欺诈或威胁，并且意识到了这是一种欺骗行为，你就可以在未来利用你所掌握的这个信息。因此这篇文章的重点会放在介绍一些典型案例上，详细分析你可以如何保护自己。本文的主要受众是那些刚刚接触互联网的新人，但是这些案例也会对那些网络老手提供或多或少的帮助。

典型的电子邮件威胁

如果你刚刚接触到互联网，可能你做的第一件事情是建立一个电子邮件账户。不仅仅是希望朋友和家人可以联系到你，当你进行网络购物或者在论坛以及社交网站注册的时候，你也需要有固定的电子邮件地址。

不幸的是，就如同你家的邮箱会收到你从未预定过的广告宣传单一样，你的电子邮箱也会被很多你压根不想要的信息塞满。超过89%的电子邮件都是我们所说的垃圾邮件：内容包括便宜的信用卡，打折的伟哥，或者各种其他的产品和服务信息。这些递送邮件的方式都是不合法的，而且这些信息通常还会包含被病毒、木马或其他恶意程序感染的网站的链接。你应该不阅读并直接删除这些邮件，这样他们就不能破坏你的计算机——你唯一会失去的东西不过是删除它们所花费的时间。

要求你删除这些邮件说起来简单，但是有时候他们看起来实在是太有诱惑力了，让人下不了手。网络罪犯是很聪明的：他们在一些主要节日比如圣诞节、复活节，尤其是情人节前后会特别活跃。情人节对那些心术不正的人来说简直是黄金机会——这是一个让人坦然表达自己爱意的传统日子，即使是对一个距离遥远的点头之交。那么如果你在这一天收到一封标题写着“我爱你”的邮件，你会不会打开它呢？

网络罪犯不仅会利用节假日的特殊氛围，也会利用当下一些热点的话题。互联网一直被喻为终极娱乐媒体，很多网站会额外提供许多有趣的文章、图片和视频。我们都喜欢娱乐，而网络罪犯正是利用了这一点，他们发送带有能引起人兴趣的标题的信息，比如“点击查看搞笑视频”，或者“有趣的照片！”但是你应该抗拒这些诱惑，不要打开那些附加在信息中的文件，它们99.99%带有恶意程序，可以摧毁你电脑中的数据，监视你的在线行为，或者用某种方法欺骗你。卡巴斯基实验室专家Tatyana Kulikova在文章“垃圾邮件的发展：2009年6月”中指出：在俄罗斯互联网中发送的电子邮件里面，有0.31%是带有恶意附件的。这看起来似乎并不是一个很高的比例，但是实际上每天有500000种类型的垃圾邮件被发送，尤其是考虑到任何一份垃圾邮件都会被发送到数百万个邮件地址中去，这个整体数字将是非常惊人的。

网络钓鱼行为

网络钓鱼可能是最臭名昭著的欺诈行为了。比如你收到一封邮件邀请你登陆某一网站（邮件中给出了网站链接），并且输入一些个人信息——可能是密码、银行账户等等。这封邮件看起来似乎是来自于你的银行，eBay，或者是Paypal这样的支付系统。但是，无论这封邮件看起来是多么的令人信服，它一定是假的；如果你点击了邮件中的链接并且输入了要求你输入的信息，网络罪犯就可以掌握你的资料，并利用它们达到自己不可告人的目的。

如今大部分银行都会采取一些附加的安全防护办法来对抗钓鱼行为，这意味着那些以知名银行为目标的钓鱼邮件正在减少。但是，这不能说明这类欺诈不会再出现了——它们也会与时俱进的。

钓鱼邮件已经成为一种国际现象：一份基础文本被翻译成多种语言，然后邮件被设计成模仿著名银行或者金融机构的样子。邮件的设计在整个钓鱼行为中起到了很大的作用，邮件使用的LOGO或者颜色同真实的机构邮件是很难区分的。另一方面，邮件的文本总是带有一些拼写和语法上的错误，看起来像谜语一样，比如：一面紧急的红旗。另外，以“亲爱的顾客”而不是你的名字作为信件开头，这就是一个很明显的钓鱼邮件的特征；在当今的社会，连新闻通讯都已经私人化，一份正常的通信不大可能不使用你的名字的。最后，正规银行是不会要求你的PIN码、TAN码或者其他敏感信息的，更不会通过邮件来要求。

并不仅仅是银行会遭到如上文所说的这些钓鱼攻击。最近，相当一部分的钓鱼邮件被设计成收集在线支付系统的资料的用途，目标就是PayPal或者eBay这类拍卖网站。在所有的垃圾邮件中，钓鱼邮件占据了0.94%，令人难以置信的是，这其中有60%都是以PayPal为攻击目标的。这类钓鱼邮件通常会以威胁关闭你的账户为由，因为单纯的通告有时会不起作用。为了保存你的账户，会有信息要求你登陆，邮件里理所当然会提供一个方便的链接。如果你点击了它，你会看见一个类似问卷调查的网站，它会要求你输入你的用户名和密码。尽管这一切看起来都像是真的，但是这个网站是虚假的。你绝不应该点击邮件中通向某些网页的链接，因为那些网页会要求你输入一些敏感信息。安全的方法是选择使用浏览器书签，或者手动在浏览器中输入网站地址。即使那些邮件中的链接看起来像是正规的，后台的JavaScript也可以打开一个和表面显示的完全不同的地址。

图1：看起来是不是比真的还要好？某eBay钓鱼网站

如果你不太确定某一封邮件是不是可信，你可以给相关的公司打电话或者发邮件直接询问。但是，如果你是通过邮件的方式来联系某公司的话，不要直接回复那封可疑的邮件：登陆该公司的网站查找联系地址，用这个来和公司联络。这能够确保这家公司可以收到你的咨询，而不是把这些信息提供给那些诈骗犯和垃圾邮件发送者来肆意利用。

谁想要成为洗钱者？

在当今的经济环境下，我们中的相当一部分人都在求职，所以空缺职位的信息总是很受关注的。假如你收到一封邮件，邮件中推荐给你一份可以在家办公的轻松工作，并承诺相当丰厚的薪水。即使你已经有了一份不错的工作，每月增加1500-2000磅的额外收入听起来也是很吸引人的吧。那么你需要做什么呢？很简单，不过是每个月在账户A上收到一笔钱，再通过西联汇款把它们转移到账户B上去，你可以从中按百分比扣下相应的数额作为佣金。

可悲的是，如果有什么事情看起来实在是好到有点不对头了，那么它就是不对头的。你被要求帮助转移的那些钱就是通过钓鱼行为或者其他欺诈方法获得的，你的任务就是通过曲线的方式确保这些钱打进诈骗犯和网络罪犯的账户里。这会让这些罪犯们的踪迹越发难以追查，但是你所做的交易却是非常容易被发现的。你参与的交易部分就是我们常说的资金挪动，也就是臭名昭著的洗钱行为，或者可以称之为协助犯罪。如果你被逮捕，你可能要面临巨额罚款，很可能还会有一次犯罪记录。所以再一次申明，处理这类邮件的最好办法就是直接删除，不管它们提供的东西听起来有多吸引人。

恐吓软件

想象一下你正在网站上浏览新的壁纸来装饰你的桌面。突然一条信息弹出，告诉你你的计算机被527个木马、病毒和蠕虫感染。这看起来有点奇怪，你明明在计算机上安装了安全软件，而且它并没有报告任何感染或者网络威胁。难道它没有在工作？或者它忽略了什么？

当最开始的惊讶过去之后，你会仔细地看这条消息。它告诉你可以下载一些新的反病毒软件来解决问题。最让人高兴的是，这个软件是免费的。于是你采纳了这个消息的建议，下载并安装了安全软件程序。你手动运行了该程序并开始查杀，结果这个软件在你的计算机上发现了更多的感染，这次你收到了另外一条信息：只有使用本产品的完整版才能清除该病毒，请您购买。简单浏览一下网站，提供的价格是在30-80磅之间。考虑到你原本装的杀毒软件让人失望，你把希望寄托在刚刚发现的这个“奇迹解决方案”上，于是购买，开始进行查杀。所有的网络威胁似乎都消失了……真的么？

这是一次被构建得相当完善的诈骗；它利用了你对于电脑被严重感染一事的恐惧。这一类的恐吓软件程序还会使用其他不同的方法，最常用的一种是当你在互联网上浏览时，一个弹出窗口显示它正在检测你的硬盘。之后它就会胡乱报告一个你的电脑感染的恶意软件的数字。还有一种更常见也更简单的方法叫做“路过式下载”：你不小心点击了一个恶意网站，于是某个软件被自动安装到了你的电脑上。所谓恐吓软件，就是那些时不时会显示信息告知你电脑被感染的软件。甚至连你的桌面壁纸都被改成提醒你中毒的样子（这一点要留意，它并不是真实出现的）。把壁纸改回原来的样子可是一项充满挑战的任务；其操作是把它从开始菜单当中移除，尽管也有一些其他的办法，但并不是所有人都具备高科技知识。所以那些最初看起来是“奇迹解决方案”的东西，如今变成了对用户来说毫无用处的软件。

图2：恐吓软件

但是，恐吓软件能给网络罪犯带来相当大的收益：他们可以通过出售这些假安全软件的授权来赚钱。另外，这种软件通常带有可以渗透进你的电脑的恶意软件，盗走你的私人信息（这些之后可以转手卖掉），或者把你的电脑变成僵尸电脑，用来发送大量的垃圾邮件。尽管这种方式带来的结果看起来不是那么有利可图，垃圾邮件发送者们却愿意出一个好价格去买或者租一台这样的电脑，以此确保他们的信息被更广泛地发送。在网络犯罪的世界里，这是又一个赚钱的办法。

恐吓软件这个名字取得还是很有道理的；首先，它们花费了相当多的力气来使其信息看起来具有可信度；其次，恐吓软件本身看起来要真实。另外，这类程序通常都会有一个和正规安全程序听起来很类似的名字。这些都使得此类欺诈看起来冠冕堂皇，甚至欺骗了很多有丰富经验的互联网用户。那么你能做什么？确保自己安装了规范和权威的反病毒解决方案。如果你看到了这类信息，不要害怕，绝对不要购买信息中提供的软件。用你现有的安全解决方案进行一次全系统的彻底查杀。

买家小心——服务订阅背后的的危险

今天，免费软件几乎可以应用在你能想到的任何一种用途上。像游戏、媒体播放器、即时通讯等是每个人都用得到的，而且你可以在很多地方下载到它们。举例来说，比如你正在寻求办公室用的一种新软件，像文档处理、电子数据表等等。你开始进行搜索，搜索引擎会给你提供相当多的选择，第一个听起来很有保障：一个看起来很正规的含有你所需文件的网站，于是你没有过多地思考就打开了它。但是，在下载你要找的文件之前，网站要求你以姓名、地址和固定的电子邮箱注册。尽管你觉得有一点不对，但是你以前也曾经听说过门户网站下载是必须要注册的，他们可以从满下载率中获益。所以，尽管有点令人烦躁，不过好在你曾经注册过无数的网络商店、社交网站和论坛，你现在对注册这一过程驾轻就熟。你迅速地给对各种协议条款的多选框都选择了同意；甚至都没有费神去读一下——毕竟，它们总是差不多的。很快，你就可以高高兴兴地下载你需要的程序了。

不过没多久，你就会以邮件的形式收到一份令人讨厌的账单，要求你支付96磅。由于你已经同意了协议条款，你就被迫订购了两年的咨询服务。如果你拒绝支付，你会受到起诉。

图3：买家小心：容易被忽略的信息

据估计，10%-20%的受害者都选择了支付。但是，你不应该让自己被这种网络威胁恫吓。这一类型的欺诈行为就是利用人们对于法律的敬畏心理来骗取钱财的。毕竟你清楚你没有阅读协议条款（可能是因为你觉得反正你也读不懂，或者因为你从来没听说过这会造成什么不良影响）。如果你收到了这一类的邮件，你可以在网络上搜索一些类似的情况，或者致电你的律师。事实上这些威胁是没有明确的法律依据的，它们不过就是一些威胁而已，而10%-20%支付了金钱的受害者已经可以满足网络罪犯们的贪欲了。

社交网站欺诈

年轻人是非常容易被Facebook或者MySpace这类社交网站吸引的。这些网站能让你和现实中的朋友保持联系，交流信息，还可以交一些新朋友。同时，也有一些社交网站是给年纪大一些的用户们准备的，你也可以利用它们来和商务上的朋友联系，或者联系老校友。

无论你使用哪一种社交网站，都是有一定的风险的。假如一位很亲密的朋友要求你帮助他，你很可能会马上答应。那么现在把这一情况置换到社交网站上，一位朋友在站上发送给你一条信息，告诉你他在西斯罗遇到了问题，他被人持武器抢劫。现在他身无分文，机票和信用卡也没有了，他希望你通过西联汇款给他转账400美元，这样他才能回家。你可能会略微犹豫一下，为什么要通过西联汇款来转账呢？你的朋友坚持这是唯一他能收到钱的方式。你问他你是否可以打电话给他，但是很明显强盗们也把他的手提电话抢走了。你越来越感觉到怀疑——你的朋友表现得太奇怪了，而且他的措辞方式也和从前大相径庭。不过那也可能只是因为他现在太紧张了。由于你很担心你的朋友，而且也不想对他心存愧疚，最后你还是汇了款给他。这以后你就再没听到过他的消息了。

实际上到底发生了什么？这一类型的诈骗近年来非常盛行而且相当奏效，因为无法进行调查。关于这一事件的解释也是很简单的：网络罪犯窃取了你朋友的账户，然后尝试从他所有的朋友那里骗钱。如果你经常使用社交网站，你可能有几百位朋友，而你也不可能总是对每一位朋友身在何处了若指掌，就是这一点让骗子们的故事听起来更加可信。

但是，上述的欺诈行为也是有很明显的特征的。一个欧洲人在伦敦遭遇困境是不大可能向另一个欧洲人借美元的。另一个判别方式就是语言和措辞习惯。如果你收到了类似这样的信息，一定要确认与你的朋友取得直接联系，即使他在信息里说他的手机被盗了，还是要试着拨打一下：当他接起电话的时候你一定会很吃惊，这样一来你不仅可以和他聊一聊，也能够确定你收到的信息是虚假的。

如果你想要保护你的社交网站账户不这样被人利用，你只需要遵从以下几条简单规则。一个能够保护你的账户的方法就是重设密码的技巧。当你在一个社交网站注册的时候，你通常会被要求回答一个“安全问题”。如果你忘记了你的密码，你可以通过回答该问题来获取一个新密码。通常，你只能在三个非常常见的“安全问题”当中选择一个，比如，你的宠物的名字，你就读的第一所学校等等。如果你在自己的资料中把这些信息都包括进去了，盗取你的账户真是易如反掌。

为了让你的账户更加安全，记住你是可以在任何时间修改问题和答案的。确认你把自己的用户名和密码都保管好。另外，确保你从未成为任何钓鱼行为的受害者（可参见上文），并且保持更新你的反病毒解决方案：这能够保证你的电脑不受木马的侵扰——它们也会盗窃你的密码并发送给网络罪犯。

Twitter——暗藏危险的简短URL

自2006年以来，Twitter有了飞速的发展。2千5百万的用户想要知道这个网站的口号“你现在正在做什么”的答案。Twitter是一个字数限制在140字以下的微型博客社交网站，这就使得在博文中夹带URL地址变得非常困难——它们几乎要占用50%以上的字数。而这时候一项几乎不为人知的互联网服务就派上了用场：一种能把长而复杂的网址转换成短小省略模式的技术。这项URL修改技术有一点欠缺：你很难从一个简短、隐藏型的地址中看出它究竟链接到哪里，这就意味着链接本身的透明度大大降低了。

图4：通过Twitter自动发送的含被修改成短URL的信息

网络罪犯们把握住了这个机会，利用这项服务把通向被感染网站的链接地址修改成了简短格式。这些信息可以自动发送，并且承诺提供一些热点新闻的真相，比如知名人士的逝世（例如迈克 杰克逊）。当暂时没有什么轰动的新闻发生的时候，网络罪犯们就自己发明一些。比如说，布兰妮斯皮尔斯的死讯曾经在Twitter上广泛传播，事实上这位歌手还活得好好的。

这种含有恶意网站链接的信息可以说是电子邮件欺诈的升级版本，它们试图利用你的好奇心。不幸的是，这类网络犯罪说明了简短化URL是不可相信的。为了保护你自己，你可以使用一些附件工具：比如，当下流行的Firefox插件，当你把鼠标光标移到网站链接上时，它能把短URL转换成原来的样子。这就可以帮助你作出判断，该链接是否通向一个正规网站。

电影、游戏、音乐……以及恶意程序

如果你是刚刚接触互联网，你首先要寻找的东西可能是电影、音乐、电视节目或者电脑游戏。除了合法下载这些被大众认可的程序，还有其他一些需要考虑的东西。如果你是在寻找这一类的文件，你可能会认为所谓点对点下载速度更快。所以你就下载一些能够帮助你进入网络并找到你所需要的文件的程序。尽管你也许曾经在哪里听说过这些文件可能会附带恶意软件，你还是无视了这一点。但是，你所做的事情是有风险的。

举例来说，网络中可下载的游戏通常是带有破解工具的，这可以用来躲避游戏自带的版权保护程序。这些工具都是黑客们制作的，可能是因为他们认为所有的游戏都应该是免费的，也可能是他们想要让自己在黑客行业中显得技高一筹。下载文件可能会连带恶意软件；网络罪犯们知道在免费下载领域有一个巨大的市场，所以他们通过把恶意软件伪装成时下受欢迎的文件，或者把恶意软件捆绑在这些文件上，使潜在受害者的数量大大增加。比如说，一个下载游戏上可能捆绑着一个银行木马。尽管小孩子们很少使用在线银行，但是他们下载文件所用的电脑很可能是他们的家长的，而家长们会经常在线查看自己的账户。这个办法实在称得上是一石二鸟。

图5：某BT网站上的破解工具

以点对点的方式下载到恶意软件的几率非常高。所以即使非法下载游戏和电影可以节省你购买它们的开支，下载到盗窃银行资料的木马也会让你白白花费几百欧元，这是一个非常容易预期的财政远景支出。毫无疑问，做一个诚实的人是最好的选择了。

总结

网络罪犯是非常有创造力的，而且总是能够紧随最新网络科技的发展来调整他们的欺诈技巧。大多数情况下，我们面临的问题都是回收再利用的老一套欺诈技巧，只不过攻击目标变成了新媒体。最好的例子就是携带恶意网站链接的典型垃圾邮件。到目前为止，很多人已经知道不要点击不明来路的电子邮件中附带的链接。但是，当犯罪分子改变信息的发送方式，改成通过社交网站来发送，上当的人数就会激增。

几年以前，虚假网站的设计让人一目了然：拼写错误，简陋的版面设计等等。但是现在，网络罪犯们已经变得非常富有经验了。如果你怀疑某种行为可能是网络欺诈，不妨使用搜索引擎来试着找到更多的相关信息；如果该行为确实涉及网络欺诈，其他的受害者可能会在网络上写下这件事情。搜索可疑网站的相关信息，然后就可以证明你的怀疑。

最后，利用你的直觉。上文我们提到过，任何事情只要看起来好到不对头，那它就是不对头；如果有什么程序警告你，相信你自己网络的直觉判断。除了适当的怀疑，保护自己不被欺诈还有一剂良方：使用知名的安全解决方案并及时更新相应软件。