中国光大银行钓鱼网事件分析

一、 事件回顾

最近有大量用户给超级巡警安全中心举报，收到如下的信息。“尊敬的用户您好！为配合国家在两会期间新 * 的“关于废除银行各项服务性收费”的政策，中国光大银行现已成功向您的帐户汇入了一笔返还资金，资金数额为800元，详情请登录hxxp://cebbrnk.com进行账户查询。”。短信结尾还留有光大银行的客服电话。当用户没有安装任何类似于畅游精灵的网页防护软件并登陆网站，输入网银账户和密码后，很快就会发现账户中的资金全部被转走。

二、 钓鱼网分析

超级巡警安全中心在接到用户举报后，随即对中国光大银行钓鱼网进行了完整分析。

根据分析，该网站是在2011年3月4号注册，并且租用了远在美国圣安娜Krypt机房的一台服务器来搭建单独搭建钓鱼网站，超级巡警安全中心认为这完全是为了进行欺诈钓鱼而搭建的网站。该网站使用微软IIS作为WEB服务，目前平均日流量近百，也就是说，每天有近百位用户可能沦为钓鱼的受害者。

虽然从页面上分析，钓鱼网和中国光大银行官方网站几乎一模一样。就连网址也很像（钓鱼网：hxxp://cebbrnk.com，中国光大银行官网： hxxp://www.cebbank.com），粗心的用户可能一不小心就上当了。虽然两个域名只差一个字母，然后他们所指向的IP地址却各不相同。下面两张图为分析人员对域名解析的测试：

中国光大银行官网IP地址（图1）

光大银钓鱼网站IP地址（图2）

不光从IP解析上我们可以发现钓鱼网的破绽，从网页上的信息，也能发现不少漏洞。当用户要进行网银登录的时，可以发现。光大银行官网是有防伪信息验证和验证码输入的（如图3），而钓鱼网站却只让直接让用户输入账号密码（如图4）。

中国光大银行官网网银登陆页面（图3）

钓鱼网网银登陆页面（图4）

此外，光大银行为了保证信息传输中的安全，对于有账号密码输入的页面都采用了HTTPS协议进行通信（如图5）。而钓鱼网站只是为了骗取用户信息，只是采用了传统的HTTP协议进行通信（如图6）。

中国光大银行官网（图5）

光大钓鱼网站（图6）

超级巡警团队根据观测发现，像此类的钓鱼网，一般都不会把整个网站完整的山寨出来，只需要仔细的找找，就会发现钓鱼网中，一定会存在链接到官网地址。当点击钓鱼网页中的快捷服务时，网页就会跳向光大银行的官网。根据图7的源码分析，可以很清晰的看到，这是一段指向官网的代码。

钓鱼网有指向官网的链接（图7）

三、 事件总结

“钓鱼网银”的不断出现，给用户带来了极大的安全隐患，同时也让用户无法正常的体验网上银行给大家带来的好处。因此超级巡警相安全中心提醒广大用户，除了平时要树立安全防范意识。

应该注意以下几点：

一、记住正确的银行网址和客服电话，一切通过普通手机号发送的网银提示短信都不可信。

二、随时关注自己账户的变动情况，一旦发现异常，即使联系银行客服。

三、安装超级巡警和畅游精灵，给个人电脑和上网环境提供实时的安全防护。对于来历不明的电子邮件，不随意接收、下载。

四、在任何情况下，绝不将银行账号和密码透露给其他人，并时刻警惕任何通过短信、电话和电子邮件等方式向您索要银行账号和密码的行为。

五、养成良好的操作习惯，学会正确使用网上银行。在操作结束后先退出网银系统，再关闭浏览器；不要将生日设置为银行卡密码。

此次，光大银行钓鱼网事件的出现，再次证明了银行钓鱼的数量的不断攀升。超级巡警安全中心希望用户在做好安全防护的同时，各大银行也都能做好相关的安全措施，同时希望有关部门能够严厉打击这些钓鱼网站，依法严惩违法分子。