近日，国内互联网安全漏洞平台乌云网发布了一则名为“某新伪基站钓鱼网站导致大量银行卡泄露”的漏洞。

　　根据该漏洞显示，该漏洞造成了用户资料大量泄露。被泄露的用户资料中包含用户银行卡等多个敏感信息。根据乌云网统计，从伪基站泄露银行卡信息的用户粗略估算有数百万，2015年每年大约有十万左右用户被骗信息。

　　“伪基站”即假基站，通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息，通过伪装成运营商的基站，冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

　　根据乌云网一位“白帽子”不完整统计，每天新增加的钓鱼网站大概有 10 多个。目前被利用伪基站钓鱼且有效的网站大概有2000多个。比较小的钓鱼站每天可能有数十个用户受骗，一般常见的钓鱼网站每天会有100个左右受骗者，有一些专业的骗子集团可以每天骗300多个受害者。乌云白帽子曾发现一个钓鱼网站内有11万受害者的案例存在。

　　“钓鱼”手法

　　钓鱼，用来泛指网络诈骗者利用发送不实信息来诱惑用户上当，从而达到获得用户数据信息的目的。

　　乌云漏洞平台负责人指出，伪基站作案手法非常相似，这些人首先会注册大量与中国移动等企业的官网类似的域名。作案设备一般都是在一些私人渠道购买到用来群发短信的伪基站设备，然后将事先注册好的钓鱼域名与钓鱼系统(网站、手机应用)通过伪基站下发。发送短信的内容一般为“尊敬的用户，因您的话费积分没有兑换即将清零，请登录xx网站，下载客户端兑换287.80元现金礼包”。从而骗取用户登录网站，并输入相关银行卡等敏感信息。

　　除此之外，伪基站还需要建立相关网站等配套平台，这还需要一个钓鱼系统与手机木马。

　　据介绍，这套钓鱼套件已经非常成熟。且钓鱼网站界面与官方系统极其相似，提示用户有积分可以兑换现金，然后选择银行卡类型并填写相关信息(姓名、手机、账号、身份证、密码、有效期、CVV2等等)，最终这些敏感的信息被入库纪录进行洗钱。手机木马负责拦截用户短信，并将如银行交易验证码等关键信息发给远程的黑客。

　　如3月27日，乌云网的另一则名为“一场钓鱼引发的大量网银密码泄漏(各大银行均有中招)”的漏洞显示，攻击者利用10086伪基站进行钓鱼，通过让用户点击兑换积分实施诈骗。登录该页面可获得用户登录网银、身份证、密码等信息。

　　安全专家提醒，钓鱼网站可以假乱真，如何识别真假网站是防止被骗的关键因素，一般正规的电商银行网站都会部署SSL证书来进行唯一真实身份标识和网站数据加密，所以网购支付要认准https加密链接。SSL证书要向CA机构如沃通CA申请，按照国际标准通过严格的身份认证和材料审核合格后才能颁发SSL证书。

　　银行卡数据的泄露是否会造成资金的流失?

　　银行卡数据的泄露是否会造成资金的流失是很多消费者担心的问题，如果泄露信息是信用卡，填写了卡号、有效期、CVV2后就可以直接消费了。如果是银行卡，骗子也有办法进行周折，比如目前比较确定的一种手段是：钓鱼网站会欺骗用户下载安装一个“手机营业厅”软件，这其实是个手机木马。这种木马会拦截银行发给你手机的网银转账验证码等信息，将其发给远程的骗子，导致资金流失。