主题：【讨论】【求助】罪与罚——遭遇钓鱼网站诈骗后的愤怒与无奈 -- 情人湖

了解网络交易诈骗 - 安慰情人湖兄弟

前几天情人湖说自己网上被骗了，正好自己没事琢磨过这方面，就想写这篇。但是挺犹豫的，一方面想让不懂的人更懂一些，以免受骗。可另一方面，特意去翻了情人湖兄弟的帖子，发现他是个挺内向的人，又怕放这些马后炮，让他更难受。最后想一想，男子汉大丈夫还是要面对现实。跌倒了爬起来么，不能逃避。需要什么说出来，网上朋友帮你。

网上交易诈骗这种事，现在没什么公认的定义。我给分两种。一种是就传统交易本身，利用网络特点进行诈骗，比如作假、不给钱等。这种损失有限，最多一般就比交易金额也多不了多少。另一种是攻击网络，通过交易获取银行信息，用来盗窃。这个就损失大了。话题大了，扯得远点，大伙儿凑合着看。

所有的交易，要保证公平，就要保证两个方面。一个是交易内容和双方事先认可的一致，另一个是一手钱一手货。网上看不见实物，卖的东西和标称不符，就是网购的风险，就是虚假内容。还有个例子，以前网游交易中，有这样一种骗法，先拿个好的装备，等双方商量好价钱马上要确定了，迅速用差的装备把好的装备换下来。所以后来暗黑2的交易系统就分两步，先是看好货之后锁定，双方都锁定的情况下才能付款。再比如快递，买了衣服，邮给你个石头。因为做不到一手钱一手货。其实这就是明摆着耍赖。淘宝上另一种赖法是退货不退钱。网络交易为了防止某一方沉寂，淘宝有个默认7天自动付款（退款）的功能。但是这个也是明赖。所以一般骗子也会找个第三方来赖，比如快递公司。有了第三方，这个事情就说不清了。所以淘宝上都强调要当面签收。

最近有这么个例子。A到C店里买东西，拍下后说地址改了，要发到另一个地址B家。于是C发货了。然后A投诉到淘宝，说没发货要求退款。由于A口头改了地址，淘宝一查交易地址确实没发货，就强制退款了，于是C去找B要退货。结果发现B在和A做炒作信用的互换交易，B由于收到了这批货，已经给A附了款。这个事情本质是“虚假中间人”。A间接促成了B和C的交易，并利用时间差截获货款。这就不是一个完整的“一手钱一手货”的交易。

有些交易，买卖的是服务凭据。这就更没法追究。服务享受了就没了。比如新闻报过的火车实名制车票挂失补办的问题。就是利用了付款和上车的时间差。并不是在检票口当场付款上车，而是持票上车，这样我拿着原来的票和挂失补办的票，就能两个人乘车。

其实这些都是传统交易就有的骗法，和网络没关系。只不过网上交易的特点——无法监督，双方不见面，让这些骗法成本更低。好像之前河里某个姐姐要买房就差不点上类似的当，好在及时打电话给闺蜜，点破了。

由网络本身产生的骗法，就是信息安全和加密类书里常介绍的，对网络这种操作方式本身的攻击，包括盗窃和伪造。我们来看，从你在电脑（手机）前点击按钮付款，到银行划账，中间有多少步。1）你看到屏幕显示的，你输入的，不一定是软件收到的（键盘钩子）。2）软件收到的，不一定是发到网络上的（dll木马劫持）。 3）发到网络上的，不一定发往正确的地方（重定向，虚假钓鱼网站）。4）发到网上的，银行收到不一定正确（网络窃听和伪造）。

这几个环节都会产生欺骗。比较有技术含量是修改软件，植入木马。业界也用很多技术方法来应对，说我们要用https加密（防止网络窃听和伪造），各种数字证书，带显示屏不带显示屏的Ukey，等等。但是这种方面成本高，技术门槛高，一般人搞不了。魔低道也低。以前河里有某大哥说，某省级根CA密钥(理解为发身份证的机构，自身必须绝对可信）都能轻易拿到。在这个领域搞的，都是国际黑客，对个人划不来。

但是往往脆弱的在人。钓鱼网站就是，不用什么黑客软件来改数据，而是直接把你引导到错误的网站。人犯错误的概率就大了。稍高级一点的，只是让你下载个病毒图片，病毒引导过去，你看不到，比较隐蔽。稍低级点的，电话诈骗，你孩子受伤了，自己转账去吧。当对人进行攻击的时候，所有技术手段都能被绕过去的。有这么个例子：某D女士网购，被引导到某钓鱼网站，但是她开了手机动态密码，就是每次转账银行都发不同的密码到她手机上。普通的钓鱼网站就算偷到了帐号，不破门去抢手机也是拿不到密码搞不到钱的。结果，人家后台是手工和银行网站同步操作的，D女士在这边输入帐号，骗子在那边银行上输入帐号，银行显示的校验码什么的，钓鱼网站再同步显示回来，该发动态密码的时候，也正常发动态密码。直到最后一步，D女士的电脑上提示账户问题无法登陆，那边骗子进了真正的银行转钱。这种“虚假中间人”欺骗能绕过所有的验证方法，什么口令卡，动态密码，啥都没用。唯一有效的是硬件Ukey。让银行网站和你手里的Ukey直接建立数据联系，别人插不进来。但也只是人工插不进来，黑客还是有办法的，所以网银客户端什么的必须从银行自己的网站下载。

怎么防范呢？对于传统骗法，就是认准了“不见兔子不撒鹰”。认死理的老太太最好骗也最难骗。另外是拍下、付钱、发货、收货都必须是同一个帐号地址。因为网上仲裁是只看计算机记录的。其他什么约定都没用。这方面去淘宝论坛看，大片大片的争议贴。

对于网络攻击，需要有一定的计算机知识，确保数据链是可信的。没有计算机知识怎么办。河友说了，我银行卡就放200块。你顶天能骗我多少？这是风险控制。允许出错，但控制出错的后果。

真不幸了有没有追回的法子呢？咱们都知道了，这种案子犯罪成本小，破案成本大，取证难，抓捕难。尤其是相关法律不健全！甚至某些情况找到人了也告不成诈骗，只能告个破坏计算机数据罪！警察也懒的管这些事。银行倒是能起作用，像河友说的国外银行就金融诈骗科。其实国内也能做到，再假的账户，总得有人去开户吧？再怎么网银，总得到摄像头底下去取现吧？我不知道骗子是不是聪明到了拿这些钱海外网购来洗白。银行只是不愿做。他们自己给错了钱到想着告储户呢。

网上有些流传的段子，比如对于电话诈骗的，因为是大撒网捕鱼，骗子的网银会持续一段时间不会马上抽逃。那就每次汇一分钱，对方付手续费。2元能换对方200元，你骗了我你也拿不到，都交银行手续费了。还有说登陆骗子网银故意输错密码，造成网银锁定，暂时无法转出。但是这些都是传说，有没有用不知道。而且关键是缺少银行的配合，怎么折腾都是拿不回自己的钱的。老引好像不常在河里了，不然可以请他说几个网络诈骗的案子。去年好像是有个北京的案子，卡在储户手里，卡被骗子伪造，异地取款转钱，最后告起来，银行说储户保管密码不善，储户举证说卡一直在我手里，骗子是异地取钱，告银行没有认真核实真假卡。好像是告赢了，但我也只记得有这么一例。咱从技术上说，要想伪造卡，骗子应该至少是拿到过原卡的。

所以说，根本上还是安全意识。我以前介绍过一种随机密码的方法“左手食指放在键盘Y上，弹献给爱丽丝两个小节”，别笑，我真这么做的，只是没这么夸张。另外各家mail，论坛，qq，网银，取款密码，查询密码，统统不要一样。这么多密码能记住么？我说两个技巧，一是有些数字，只对自己有意义别人不知道，比如说我就记得小学时买的第一张彩票的号码，小孩子记性好，一张彩票翻来覆去看。30多岁了这个号码也没忘。另一个技巧河友也说过，就是用简单的规律稍加变换。比如“情人湖雅虎”“情人湖建行”“招情人商湖”这样的。记住一个等于记住了5，6个。还有，3年换一次，至少把招商和建行的互换一下，这个我说不准是好还是坏。

千万不要过分相信计算机自身的安全，包括银行官网。招商证券网页登录，以前就是密码不加密的。所以只能在家用网银，实在不行了在网吧用，回家马上把密码改了。常用的几个网址最好记住，比如招商是cmbchina.com，但是建设银行以前是ccb.cn后来才改成.com。自己手动输入，别点链接。百度也不可靠，那个家伙有钱就能排前面。感觉不对了，先打电话到银行把账户冻结再说。另外强迫自己定期查账，对于单身老爷们。

安全和方便是需要平衡的，现在支付宝推出个快捷支付，不需要走银行的验证，只要通过了支付宝验证，就能从银行划钱。这个自己把握了。

在就是身份证，没办法，国内就这样，泄漏太多了。我在深圳养成的习惯是凡用身份证复印件必须写用途+使用日期。现在懒了，不是每次都写。

信用卡的话，据说如果只凭签名（不凭密码），挂失前72（或24）小时内的损失能追回来。但是没试过。另外背面那单独的3个数字，在国外是和密码有同样效果的，我是记下来之后，卡片上涂黑。有用没用不知道，只当心里安慰吧。去ktv唱歌，卡不要交给服务员。超市刷卡，没密码也要装模作样按6个（随便按）等等。

• 这么久了居然还有人收藏，再补充一点