[发明专利]防止钓鱼网站窃取用户敏感信息的方法

说明书

技术领域

本发明涉及一种防止钓鱼网站窃取用户敏感信息的方法。

背景技术

网上欺诈行为以网络钓鱼和网络诈骗两种类型为主。“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的敏感信息，如财务数据，信用卡号、账户用户名、口令、社保编号以及游戏卡密码等内容。网络诈骗者利用人们的好奇心、同情心和贪心，使用各种噱头，编造各种诱饵欺骗人们。这些以欺诈为目的的网站就称为钓鱼网。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。

国内现有处理机制都难以有效制止。对“网络钓鱼”的诈骗行为，工信部和公安部都设有专门的监管机构。其他各大部委也都有专门的监管机构负责行业内的网络安全管理。但由于“钓鱼网站”频繁出现，现有的处理机制很难及时有效制止“钓鱼网站”。为弥补政府监管的不足，在我国成立了民间的“中国反钓鱼网站联盟”，“中国反钓鱼网站联盟”主要由几十家金融机构、电子商务网站，以及国内主要的域名注册服务机构组成。该联盟在接到涉及联盟成员的投诉后，权威技术鉴定机构会立即对其进行判定，一经认定，两个小时内暂停其域名解析，终止欺诈行为。上述的无论是政府监管，还是中国反钓鱼网站联盟的停止域名解析，它们的处理方式都是事后处理，实际上钓鱼网站已经对用户造成了危害，这种处理方式只是为了减小钓鱼网站对其它用户的危害，它不能起到防患于未然的作用。

中国专利文献CN101919219公开了一种防止钓鱼攻击的方法和装置。该方法使用户能够在与远程服务器认证之前检查动态个人属性。用户的动态个人属性可以在认证过程期间(例如，响应于经由用户终端来自用户的请求)或在登录过程之前(例如，在带外通信中，诸如电子邮件、即时消息等)提供给该用户。由于动态个人属性在用户输入敏感的认证证书之前提供给用户，因此，动态个人属性可用于在用户输入任何敏感信息之前辨别有效服务器和无效服务器，(即，因为无效服务器不知道动态个人属性)，该方法可以起到防患于未然的作用。

但是，由于该方法采用的是由远程服务器提供的动态的与个人最近行为有关的动态个人属性，如，所述用户支付的账单的金额、所述用户用信用卡进行购买的金额、所述用户用信用卡进行购买的位置、所述用户用ATM卡进行ATM取款的金额、所述用户使用ATM卡进行ATM取款的位置、与所述用户所接收的来电相关的信息，与所述用户所拨打的去电相关的信息、所述用户所接收的文本消息的发送者、所述用户所发送的文本消息的接收者、所述用户的移动设备的当前位置、呼叫期间所述用户的无线电话的位置或者与所述用户相关联的即时消息客户机中的状态消息。再由用户来判断该动态个人属性的真伪，来辨别远程服务器是有效服务器，还是无效服务器。这种方式存在如下问题，一是网络服务商需要不断地收集和更新用户的最新资料，才可以提供最新的动态个人属性，这样会大大的增加网络服务商的工作量；二是要求用户很清楚的记得与动态个人属性相关事项，才可以确认其动态个人属性是否正确，对于那些年令较大，情况较多或记忆力有限的用户，往往不能很准确地判断其动态个人属性的正确性，给用户造成困惑；三是由于与个人属性相关的信息有许多，钓鱼网站比较容易猜中，或者通过电信诈骗得到。四是如果这些动态个人属性只出现在网站上让用户确认，钓鱼网站可以不出现这个动态个人属性的确认画面，用户容易疏漏。五是如果这些个人属性预先通知到用户让用户确认，那么这种不断更新的信息大都通过手机、电子邮件等手段，但这些手段已经被证明其繁琐，且不可靠性。

发明内容

本发明的目的是克服上述问题，向社会提供一种即时的、方便的、安全的，以及用户和网络服务商之间双向确认的防止钓鱼网站窃取用户敏感信息的方法。

本发明的技术方案是：提供一种防止钓鱼网站窃取用户敏感信息的方法，包括如下步骤，

(S1)、登录远程服务器，并在该远程服务器网页的相关窗口输入与该远程服务器提供商预先约定的标识符；

(S2)、远程服务器在网页上显示至少三组跟时间有关的第一服务商动态密码；三组第一服务商动态密码分别是操作时段前、操作时段中和操作时段后各一组服务商动态密码；如果远程服务器不能显示第一服务商动态密码，则(S8)、为无效网站，结束；如果远程服务器能显示第一服务商动态密码，则进入第(S3)步；