西西河

主题:【讨论】【求助】罪与罚——遭遇钓鱼网站诈骗后的愤怒与无奈 -- 情人湖

共:💬105 🌺328
分页树展主题 · 全看首页 上页
/ 7
下页 末页
    • 家园 老弟,你点儿可真够背的,

      老弟,你点儿可真够背的,上回说骑车时叫人撞了的也是你吧.

      事情已然在那儿了,只有想开些,再把自己气着了可就更亏了。

      这种技术型犯罪,破案率是很低的。很多是跨境犯罪,牵涉面非常大。这还不光是警察上不上心的问题。

      想开些,最好干脆别再想这事,以后多注意防范,亡羊补牢吧。

    • 家园 【了解网络交易诈骗】 - 安慰情人湖兄弟

      了解网络交易诈骗 - 安慰情人湖兄弟

      前几天情人湖说自己网上被骗了,正好自己没事琢磨过这方面,就想写这篇。但是挺犹豫的,一方面想让不懂的人更懂一些,以免受骗。可另一方面,特意去翻了情人湖兄弟的帖子,发现他是个挺内向的人,又怕放这些马后炮,让他更难受。最后想一想,男子汉大丈夫还是要面对现实。跌倒了爬起来么,不能逃避。需要什么说出来,网上朋友帮你。

      网上交易诈骗这种事,现在没什么公认的定义。我给分两种。一种是就传统交易本身,利用网络特点进行诈骗,比如作假、不给钱等。这种损失有限,最多一般就比交易金额也多不了多少。另一种是攻击网络,通过交易获取银行信息,用来盗窃。这个就损失大了。话题大了,扯得远点,大伙儿凑合着看。

      所有的交易,要保证公平,就要保证两个方面。一个是交易内容和双方事先认可的一致,另一个是一手钱一手货。网上看不见实物,卖的东西和标称不符,就是网购的风险,就是虚假内容。还有个例子,以前网游交易中,有这样一种骗法,先拿个好的装备,等双方商量好价钱马上要确定了,迅速用差的装备把好的装备换下来。所以后来暗黑2的交易系统就分两步,先是看好货之后锁定,双方都锁定的情况下才能付款。再比如快递,买了衣服,邮给你个石头。因为做不到一手钱一手货。其实这就是明摆着耍赖。淘宝上另一种赖法是退货不退钱。网络交易为了防止某一方沉寂,淘宝有个默认7天自动付款(退款)的功能。但是这个也是明赖。所以一般骗子也会找个第三方来赖,比如快递公司。有了第三方,这个事情就说不清了。所以淘宝上都强调要当面签收。

      最近有这么个例子。A到C店里买东西,拍下后说地址改了,要发到另一个地址B家。于是C发货了。然后A投诉到淘宝,说没发货要求退款。由于A口头改了地址,淘宝一查交易地址确实没发货,就强制退款了,于是C去找B要退货。结果发现B在和A做炒作信用的互换交易,B由于收到了这批货,已经给A附了款。这个事情本质是“虚假中间人”。A间接促成了B和C的交易,并利用时间差截获货款。这就不是一个完整的“一手钱一手货”的交易。

      有些交易,买卖的是服务凭据。这就更没法追究。服务享受了就没了。比如新闻报过的火车实名制车票挂失补办的问题。就是利用了付款和上车的时间差。并不是在检票口当场付款上车,而是持票上车,这样我拿着原来的票和挂失补办的票,就能两个人乘车。

      其实这些都是传统交易就有的骗法,和网络没关系。只不过网上交易的特点——无法监督,双方不见面,让这些骗法成本更低。好像之前河里某个姐姐要买房就差不点上类似的当,好在及时打电话给闺蜜,点破了。

      由网络本身产生的骗法,就是信息安全和加密类书里常介绍的,对网络这种操作方式本身的攻击,包括盗窃和伪造。我们来看,从你在电脑(手机)前点击按钮付款,到银行划账,中间有多少步。1)你看到屏幕显示的,你输入的,不一定是软件收到的(键盘钩子)。2)软件收到的,不一定是发到网络上的(dll木马劫持)。 3)发到网络上的,不一定发往正确的地方(重定向,虚假钓鱼网站)。4)发到网上的,银行收到不一定正确(网络窃听和伪造)。

      这几个环节都会产生欺骗。比较有技术含量是修改软件,植入木马。业界也用很多技术方法来应对,说我们要用https加密(防止网络窃听和伪造),各种数字证书,带显示屏不带显示屏的Ukey,等等。但是这种方面成本高,技术门槛高,一般人搞不了。魔低道也低。以前河里有某大哥说,某省级根CA密钥(理解为发身份证的机构,自身必须绝对可信)都能轻易拿到。在这个领域搞的,都是国际黑客,对个人划不来。

      但是往往脆弱的在人。钓鱼网站就是,不用什么黑客软件来改数据,而是直接把你引导到错误的网站。人犯错误的概率就大了。稍高级一点的,只是让你下载个病毒图片,病毒引导过去,你看不到,比较隐蔽。稍低级点的,电话诈骗,你孩子受伤了,自己转账去吧。当对人进行攻击的时候,所有技术手段都能被绕过去的。有这么个例子:某D女士网购,被引导到某钓鱼网站,但是她开了手机动态密码,就是每次转账银行都发不同的密码到她手机上。普通的钓鱼网站就算偷到了帐号,不破门去抢手机也是拿不到密码搞不到钱的。结果,人家后台是手工和银行网站同步操作的,D女士在这边输入帐号,骗子在那边银行上输入帐号,银行显示的校验码什么的,钓鱼网站再同步显示回来,该发动态密码的时候,也正常发动态密码。直到最后一步,D女士的电脑上提示账户问题无法登陆,那边骗子进了真正的银行转钱。这种“虚假中间人”欺骗能绕过所有的验证方法,什么口令卡,动态密码,啥都没用。唯一有效的是硬件Ukey。让银行网站和你手里的Ukey直接建立数据联系,别人插不进来。但也只是人工插不进来,黑客还是有办法的,所以网银客户端什么的必须从银行自己的网站下载。

      怎么防范呢?对于传统骗法,就是认准了“不见兔子不撒鹰”。认死理的老太太最好骗也最难骗。另外是拍下、付钱、发货、收货都必须是同一个帐号地址。因为网上仲裁是只看计算机记录的。其他什么约定都没用。这方面去淘宝论坛看,大片大片的争议贴。

      对于网络攻击,需要有一定的计算机知识,确保数据链是可信的。没有计算机知识怎么办。河友说了,我银行卡就放200块。你顶天能骗我多少?这是风险控制。允许出错,但控制出错的后果。

      真不幸了有没有追回的法子呢?咱们都知道了,这种案子犯罪成本小,破案成本大,取证难,抓捕难。尤其是相关法律不健全!甚至某些情况找到人了也告不成诈骗,只能告个破坏计算机数据罪!警察也懒的管这些事。银行倒是能起作用,像河友说的国外银行就金融诈骗科。其实国内也能做到,再假的账户,总得有人去开户吧?再怎么网银,总得到摄像头底下去取现吧?我不知道骗子是不是聪明到了拿这些钱海外网购来洗白。银行只是不愿做。他们自己给错了钱到想着告储户呢。

      网上有些流传的段子,比如对于电话诈骗的,因为是大撒网捕鱼,骗子的网银会持续一段时间不会马上抽逃。那就每次汇一分钱,对方付手续费。2元能换对方200元,你骗了我你也拿不到,都交银行手续费了。还有说登陆骗子网银故意输错密码,造成网银锁定,暂时无法转出。但是这些都是传说,有没有用不知道。而且关键是缺少银行的配合,怎么折腾都是拿不回自己的钱的。老引好像不常在河里了,不然可以请他说几个网络诈骗的案子。去年好像是有个北京的案子,卡在储户手里,卡被骗子伪造,异地取款转钱,最后告起来,银行说储户保管密码不善,储户举证说卡一直在我手里,骗子是异地取钱,告银行没有认真核实真假卡。好像是告赢了,但我也只记得有这么一例。咱从技术上说,要想伪造卡,骗子应该至少是拿到过原卡的。

      所以说,根本上还是安全意识。我以前介绍过一种随机密码的方法“左手食指放在键盘Y上,弹献给爱丽丝两个小节”,别笑,我真这么做的,只是没这么夸张。另外各家mail,论坛,qq,网银,取款密码,查询密码,统统不要一样。这么多密码能记住么?我说两个技巧,一是有些数字,只对自己有意义别人不知道,比如说我就记得小学时买的第一张彩票的号码,小孩子记性好,一张彩票翻来覆去看。30多岁了这个号码也没忘。另一个技巧河友也说过,就是用简单的规律稍加变换。比如“情人湖雅虎”“情人湖建行”“招情人商湖”这样的。记住一个等于记住了5,6个。还有,3年换一次,至少把招商和建行的互换一下,这个我说不准是好还是坏。

      千万不要过分相信计算机自身的安全,包括银行官网。招商证券网页登录,以前就是密码不加密的。所以只能在家用网银,实在不行了在网吧用,回家马上把密码改了。常用的几个网址最好记住,比如招商是cmbchina.com,但是建设银行以前是ccb.cn后来才改成.com。自己手动输入,别点链接。百度也不可靠,那个家伙有钱就能排前面。感觉不对了,先打电话到银行把账户冻结再说。另外强迫自己定期查账,对于单身老爷们。

      安全和方便是需要平衡的,现在支付宝推出个快捷支付,不需要走银行的验证,只要通过了支付宝验证,就能从银行划钱。这个自己把握了。

      在就是身份证,没办法,国内就这样,泄漏太多了。我在深圳养成的习惯是凡用身份证复印件必须写用途+使用日期。现在懒了,不是每次都写。

      信用卡的话,据说如果只凭签名(不凭密码),挂失前72(或24)小时内的损失能追回来。但是没试过。另外背面那单独的3个数字,在国外是和密码有同样效果的,我是记下来之后,卡片上涂黑。有用没用不知道,只当心里安慰吧。去ktv唱歌,卡不要交给服务员。超市刷卡,没密码也要装模作样按6个(随便按)等等。

      通宝推:旧时月色,wjcgx,做客地球,纳米小洞儿,不远攸高,往前走,foundera,

      本帖一共被 1 帖 引用 (帖内工具实现)
      • 家园 突然想问一下,骗子进入我网银留下的IP地址是否可以伪装?

        我在工行网银的“安全中心”的“IP登陆明细”中发现了骗子的IP,网络查询显示IP地址是黑龙江哈尔滨的,就是不知道是真是假?

        • 家园 我所了解是这样的

          网络查询的IP不是100%准确。但是也大概有90%

          这个IP是暴露在互联网上的IP,但是不一定就是具体的机器,可能是网关,意味着这个IP背后可能是另外一个子网。

          比如,学校和企业,有自己的网关,查询IP表明网关是学校的。所有内部机器对外显示的都是这个ip,就不知道是那个宿舍还是教室。

          第二种,对于家庭的拨号上网,查IP一般能查到该市的服务商,例如联通。但是查不到具体是该市联通下边哪一家。而且每一家对应的ip是不固定的,下线关机再上线会变。

          第三种,对于某些专线的网吧,ip是不变的,就能查到某市联通下某网吧。

          大概来说是这样,细节上具体情况很多很复杂。比如,如果仅是网页登录记录ip就基本没啥用,如果是电子邮件或网络数据包劫下来的ip就有用得多。另外,有一些技术,比如vpn,“肉鸡”,是远程控制这个ip的机器,这样除非这台机器被专业人员封存起来分析,一步一步追过去,从哈尔滨追到新疆,中间不断,才能找到源头。

          某些幸运的情况,是上面第三种,联通电信查到具体的网吧,公安到网吧分析机器,上网记录,实地调查附近常见可疑人员。找出罪犯。如果是命案,想要通过被害人qq聊天记录查对方ip,查嫌疑人,就会这样查。但一方面需要调动的力量太多,经济犯罪估计警方不乐意(除非你同时在当地联通电信和公安都有关系)。另一方面只适合嫌疑人不很懂电脑,没有反侦查的准备。

          搞出网银诈骗的,而且进化到这种假网站的,我觉得更可能是租个房子几台电脑用假证办的宽带。淘宝店是假身份证开的或者是偷/买/捡别人的店铺。算是上边第二种。如果这个贼窝一段时间内没撤,警方在网络上撒大网蹲点,有可能发现。国外的一些黑客就是这么被捕的。但是这种方法代价更大,而且我怀疑不成立专案组的话,市级网警有没有这个技术能力。

          但是也说不准,也许他就是一个无业青年,雇几个不分善恶的大学生黑客做的网站,自己蹲在网吧转账。谁知道呢。

          (上边说的都是依据报纸杂志以及一个IT人的分析,我从没接触过警察和黑客)

          • 家园 谢谢你的耐心和尽心的回复,看来网上犯罪的成本是很低的,

            想要逃脱法网也是很容易的。叹息一下,要是这样的话,正不压邪,犯罪又不受惩罚,这些骗子还真是逍遥,可哪个受害者要是中上一次,不知要多久才能够从这种痛苦中恢复过来。

            事情过了快两个月了,我心情恢复了一些。现在我的手里才破案线索这么几条,这些都送到派出所了,但是他们看来根本就没有进行什么查询。我在这里跟大家聊聊,权当是个话题,让大家分析一下。

            线索1:骗子的银行账户,我的头两笔汇款被转到了汕头的一个工行账户 钟志坚 622202 2003007395579。警察说,这个一看就是个假的银行账户。

            线索2:淘宝店的信息。店主名称 shagbd 手机13138152157(经查是个深圳号码,但打不通了),这个店是个买电话卡的,不过前台的小二感觉是个女的。

            线索3:财付通的账户。由于我的账户每天都有转账上限,骗子为了绕过口令卡这一障碍,把我的网银和财付通签订了好几个“委托代扣”,每一个“委托代扣”都一个缴费编号,而经我的了解,缴费编号就是一个财付通的账号。我试图联系深圳财付通公司了解这些代扣的钱的去向,被告知只有警察来查才会告知。

            线索4:不久之前,我在工行网银的“安全中心”里发现了骗子的登陆IP,一共有三个,网上查询,这些IP显示都在黑龙江哈尔滨。(221.207.235.58 来自 黑龙江省哈尔滨市 联通;

            218.10.70.252 来自 黑龙江省哈尔滨市 联通;221.207.235.195 来自 黑龙江省哈尔滨市 联通)

            线索5:我在和骗子对话的过程中,她说可以送给我一张联通的电话卡981201373030450 9807606133536769421 20.00元,不知道从这张卡上可以查到什么?

            线索6:那个假网站的连接。骗子先后发来两个连接,前者没有打开www.herx.rr.nu/reg_shang.asp;后者就是让我踩上地雷的那个www.kzhw.rr.nu/reg_shang.asp。

            这6条线索,大家看看能分析点什么信息出来?

            • 家园 你别惦记了,耽误正常工作。

              就算有线索我们也只是猜,到底怎样还得靠警察去查。

              百度百科

              钟志坚,男,汉族,1960年生,广东兴宁人。1978年入伍,本科学历,大校军衔。曾在广州军区、珠海警备区、汕尾军分区、河源军分区工作。历任副艇长、指导员、教导员

              ——可能骗子欠这个人钱,头两笔是还债。

              百度shagbd

              有个08年的腾讯soso帐号叫shagbd ,但是早就不用了,其主页显示qq昵称名字叫“丿Star 小雯”。丿Star是腾讯某游戏的一个活动名,这是再普通不过的名字。而且也不一定是你找的shagbd

              淘宝找shagbd 已经找不到了,但是关联出一堆手机充值网站。说明这个id以前做过生意。估计送你的20块钱话费可能是真的

              ip就是我上面说的第二中情况,查询只能到哈尔滨联通ADSL宽带拨号,查不到哪个区。除非警察去。

              财付通是腾讯旗下的,这种大企业连深圳政府都要顾虑。不过深圳警察,和北方比较,相对来讲比较负责。

              rr.nu是国外的免费域名,谁都可以往上乱放东西,啥也查不到。他给你的第一个链接是失效的,很可能这个网站不是他做的,是从黑客那里租的,所以沟通不良。估计他还要分黑客钱。

              整个事情,其中一种可能性是小两口,男的家在哈尔滨,女的在广州那一片(深圳大街上到处可以买sim卡。不知道联通充值卡能不能从序列号看出发行地区),开淘宝店充值,不赚钱,或者惹到什么人了,甚至欠别人钱。交际圈中有专职淘宝差评师/黑客等,他决定黑一把,店就不要了。那几个财付通账户估计都是新注册的假信息。当然我说的跟编小说是一个效果

              ——我实在是不想再给你讲这些了。如果这事发生在不相干的人身上,作为谈资没啥。但我啥也做不了,你拿自己的经历让啥也做不了的人随意无责任评论,你是折磨自己,我也不舒服。你还是找真能起作用的人吧

              • 家园 再次感谢你,我知道我这样做无济于事,而且是在时时触发伤痛

                ,干扰了正常的生活。只是这件事情对我的打击很大,内心的阴影难以彻底抹去。警察那边根本不去指望了,破不了案不说,甚至连个安慰话都没有。把自己的伤口摆在河里,一是让大家引以为戒;二是诸位的关爱让我感到了温暖,这是疗伤的良药;最后一个幻想是看看河里有无网络高人,对于这件事情有无高见,能否有所帮助。如果我的举动让大家联想起祥林嫂,那真是太抱歉了,我会继续调节心情的。另外,ziotean 谢谢你,每次都回复那么长的帖子,肯定耽误了你不少的时间,这事情让你情绪也跟着失落,真是不好意思了。

    • 家园 安慰一下下,特理解你那种心情

      我也是,要平时自己能玩能败家也算了,偏偏是这不舍得那不舍得,结果转眼没了。恨得在街上转,恨不得抓住小偷拿灭火器把他手砸碎~~~~

      警察说的也是事实,网银破案率非常低。见不到人,取证难度大,个人觉得了不得的几万块钱,警察觉得还不够出车出人吃一顿的。相反作案成本却很低。。。。。。就当人生一道坎吧。

    • 家园 现在当警察的目的都是为了混日子,哪有空管你这闲事?

      能当上警察,也是复习了很久参加考试,走了许多门路当上的。心里的想法无非是想分体制的一杯羹,何必来讨好屁民?我家小区的电瓶车经常被偷,连监控都拍到了那个人,可就是没有办法抓到,JC叔叔过来调走了监控录像,就再也不管了,我们小区的只好所有人都把电瓶车停在靠近门卫的一个地方。这还是号称全国治安情况最好的魔都,其他地方不敢想象。

      • 家园 魔都的警察就算了吧,遇上事情,大部分就是三个字“捣糨糊”

        魔都的警察就算了吧,大部分就是三个字“捣糨糊”,咱不能说所有的警察不好,毕竟是魔都,有本事的大有人在,但是大部分都不怎么样,当一下老娘舅还可以,处理案件的本领和主管能动性都不值得称道,他们最喜欢的是利用自己的身份从平民老百姓身上刮油水,真遇到事能推就推,我就遇到过两个魔都人打架,魔都人打架一般的肉搏打架,打了110,民警来了,人家不管,照样打的,警察也只是说,别打了什么的,还是旁边人把他们分开的,真个过程警察就站在旁边看,来的倒挺快,不过像是专门来看热闹的,现在的警民关系,老百姓有了事第一反应不得不找就是找110,但是找了以后能解决问题的概率很小,生气的概率偏大。我有个朋友在公汽上手机被偷了,她堵住公汽门不让人下车,让车开到派出所,结果民警反倒劝她算了,丢了手机,还惹了一肚子气。

    • 家园 安慰一下。另外,找找银行有用吗?他们能不能赔?

      国内银行情况不了解,澳洲的银行都买有保险,只要报案钱还是能回来的呀,最多等上几周就是了。

      • 家园 这是在中国,而且是我自己误中钓鱼网站的,找银行索赔一是

        难度大,二是我自己都觉得理由不充分。

        • 家园 别想这个了

          别想这个了,这不是难度大小的问题。是你自己给银行下的付款指令,银行按指令付款并无过错。

          • 家园 并非抬杠:) ,正是并非LZ他“自己”下令。

            按照澳洲的处理办法,报案说明并非当事人自己下达指令,并以此表明愿对此声明承担法律责任。

            银行固然无过错,不过银行买的保险就是为了这种时候。银行会顺顺当当把钱打到当事人帐上,只要银行和保险公司走完步骤。钱最终是由保险出。

            我认为,这个机制是好的。

            说个题外话,可能我们在外面待着变傻了,有时候不能理解国内机构的思维逻辑。上次回国乘坐了一次国内航班,我上机的时候被告知手提行李没地方放了,要求我托运。也不是故意为难人,但出于一些原因,不能托运。于是交涉了几次以后,机组人员还是找到了地方放我的行李。

            这时候,亮点来了, 乘务小姑娘特意用教训的口气说:“下次早点上机。” 这可有些难以理解,航空公司自己的工作没有做好居然还有脸面要顾客这样那样。

            • 家园 写上面回贴时正好赶上饭点

              写上面回贴时正好赶上饭点,没大看仔细“情人湖”老弟的主贴,回得有点匆忙。后来仔细想了想,整个过程似乎应是这样:LZ登陆钓鱼网站--下单--付款--网银遭破解--存款被盗。

              上述前三步,应该说银行是依用户指令行事,这个应该没问题。LZ就算被骗,损失也不会太大,至多是限于货款,还可以预见。给LZ造成重大损失的其实是之后的事,就是

              网银遭破解。这个关键点上出问题的原因,LZ没有说。以常情度之,可以有两个途径,一是直接攻击银行的终端,一旦得手,则“战果”巨大到无法估量,但问题在于一来难度巨大,二来这可是太岁头上动土的案件,真要这样,那就必是“六扇门督办”的惊天巨案,雷子会跟丫死磕到底。这可不是闹着玩的。而且如果丫有这能耐,还会很“耐得住寂寞”地在那里办“钓鱼网站”吗?

              第二个途径就是先“钓鱼”,后“挂马”,在楼主的电脑上下手,这个效率低,但难度低,相对安全。我估计楼主遭遇的十有八九是这种。

              如果是第一种情况,银行有过错,应当赔偿。因为银行对储户存款有确保安全的义务。如果是第二种情况,那么要求银行赔偿就缺乏法律依据。

              你提到的险种,我在国内好像还没听说过,国内保险公司可能还没有这种产品。

分页树展主题 · 全看首页 上页
/ 7
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河