针对网购的钓鱼网站传播渠道与传统的病毒传播有很大不同。传统病毒一般依附于访问量较高的网站，比如色情网站、视频或软件下载站等，属于比较典型的一对多的Web1.0式的传播方式。

        钓鱼网站的传播方式因此更类似于互动的Web2.0，采用P2P传播模式。一般来讲，网购钓鱼网站的传播渠道主要为QQ、淘宝旺旺等聊天工具，以及电子邮件、短信、论坛和博客、微博客、网游聊天频道等。

图10：2011年上半年网购钓鱼网站传播渠道分布

       今年上半年，诈骗者通过聊天工具传输钓鱼网址的案例非常突出，占所有传播渠道的3/4。如果某个网民的QQ号或旺旺号被盗，好友被盗的概率就会大增。

        骗子会假冒被盗者的身份向好友行骗，行骗的手段有很多：给好友传输木马文件或者钓鱼网址，将木马或钓鱼链接在QQ群中共享，修改QQ的签名、发送带广告地址的文件夹行骗等。若遭遇这种情况的网民缺少怀疑和防范，就可能上当受骗。

        五、病毒集团3大新特色

        今年上半年，网购木马、钓鱼网站等黑色产业链的集团化作案趋势愈加明显，由此不仅带来了钓鱼网站等数量的快速增加，也使得它们的作案手段愈加专业。

        目前，网购欺诈呈现出三大主要趋势：木马、钓鱼网址更新越来越快，传统安全软件应接不暇；木马样本的体积制作得越来越大，试图绕过杀毒软件的云技术；整个作案速度越来越快。

        （一）10000:1的数量战

        一般来说，网购木马均有个病毒母体，一个新病毒的制作需要较高的技术水平，新增的速度不会很快，但该病毒进行版本更新是非常简便的，就相当于更换一个“面具”，进行简单的“加壳”、“加花”，稍微更改下程序代码即可。

        目前，很多病毒集团制作了相应的程序，可瞬间对木马进行大量的版本更新。网购木马的更新从原来的每周一次更新已经升级到现在的每日多次更新。一个木马母本往往可以生成几十个新木马，有的更多为几百个，甚至几万个。

        病毒集团更新网购木马版本，几乎不花费任何成本，但传统杀毒软件却需要对所有的新版本木马重新进行鉴定识别。从一个新版本木马的出现到被传统杀毒软件鉴定为危险程序，往往需要几个小时甚至更久，这期间就可能有大量的网民不幸“中招”。

        钓鱼网站也存在类似的更新加快的情形，病毒集团利用批量制作钓鱼网站的工具，简单点击即可快速生成多个钓鱼网站。

        病毒集团首先会挑选一些高质量的淘宝店，只需要点击几次鼠标，就将这个淘宝店的所有内容批量生成十几个、几十个完全相同但URL网址不同的钓鱼网店。而钓鱼网站的推广还会借助病毒程序来完成。比如木马修改用户系统，直接在网民桌面弹出钓鱼网站。

        传统杀毒软件虽然可以拦截钓鱼网址，但拦截方法是基于用户举报，拦截效果有限：主动向安全厂商举报钓鱼网址的网民很少。而钓鱼网址的生存周期普遍不超过一周，收集的大量网址，也会很快失效。

        （二）网购木马游击战绕过杀软防线

        除了与安全厂商展开数量上的较量之外，网购木马还在如何绕过杀毒软件的防御上下了很多功夫。

        为了对抗第一代采用MD5识别的杀毒软件，木马作者会随机修改网购木马的大小，使MD5验证很快失效。作者还会把木马的体积做到数十MB，甚至数百MB，这是对抗杀毒软件云技术的方法：因为越大的软件计算MD5越慢，上传到云服务器也越慢。

        还有网购木马会利用正常软件来启动自身，用以绕过一些安全软件的主动防御。

        （三）完成网购盗窃只需5分钟

        由于集团化作战，诈骗者的作案速度大大加快。而同时，网购木马和钓鱼网站又通过快速增加数量和增大体积，来拖慢传统杀毒软件的鉴定速度，为自己赢得作案时间。

        据电子商务网站报案数据统计，诈骗者从诱使网民上当至完成骗取钱财整个过程平均只需要20多分钟，最短的不过5分钟！

        而很多杀毒软件从收集一个新的未知文件到鉴定为病毒，并更新至网民电脑病毒库中，一般需要几个小时，甚至几天，而这时诈骗活动早已完成，诈骗者早已逃之夭夭。

        六、网购盗窃手法大揭秘

        网民在网购的过程中被盗的经历五花八门，但金山安全中心专家指出，从技术角度来说，网购盗窃技术手段主要有两种：传输木马病毒和制作钓鱼网站。

        （一）网购木马

        木马分为两种：一种是以交易劫持为主的网购木马，一种是以盗取QQ、网游等账号为目的的盗号木马。其中前者感染量与日剧增，而后者的威胁逐步下降。

        1、常用手法

        网购时，往往习惯和卖家进行沟通。诈骗者更倾向于使用QQ而不是淘宝旺旺，并以各种名义给买家传输文件，比如衣服照片、货品清单、折扣登记、礼品赠送等，借口不一。

        骗子装扮的卖家发送的文件多为网购木马，买家打开这些文件（木马）后，在接下来的交易过程事，木马会盗取买家的淘宝ID等个人隐私，创建一个新的隐藏的交易单，这个交易单会抢在正常交易单之前被提交。

        在整个过程中，买家完全看不到交易信息被篡改，会直接将货款打到犯罪分子指定的帐号中，不知不觉就上当受骗。网购木马的打劫就好比在超市购物，却把货款付给了假冒的隐身收银员，而超市和其他顾客都看不见这个收银员，一致认为这个被盗的客户在说谎。

        2、木马技术分类

        a)盗号木马

        盗号木马主要通过潜藏在网页中或是图片及一些文件里，通过受害者打开网页或是打开卖家发来的文件，盗取网民的淘宝ID、支付宝ID、QQ号、银行卡或信用卡信息，然后伺机窃取用户资产。

        b)早期交易劫持木马

        这类木马是最早发现的网购木马类型，大小一般为30MB左右，用图片或Office图标做掩饰，在整个网购木马中占比约为20%。 

        此类网购木马不需要借助任何其他文件，所有操作都由自己完成，通过淘宝旺旺、QQ等将以“实物图”等命名的文件发给买家，买家打开就会直接运行木马程序。

        c)“压缩包炸弹”类网购木马

        最近发现的网购木马的新形式，主要采用两种方式逃脱杀毒软件的查杀。

        首先，它将自身体积由原来网购木马的几十MB增大至上百MB，有的整个文件达到400MB左右，文件体积的增大会极大地影响传统杀毒软件的查杀结果；然后，病毒作者再用稀有的压缩格式对病毒进行多层循环打包。

        这类网购木马在最后一层打包后会重新命名为实物图等一些会诱导买家点击的名字，让受害者自行解包运行，此类木马在网购木马中约占45%。

        d)利用好压等软件漏洞来执行的网购木马

        这类网购木马的策略主要是依附于正常的有数字证书的应用程序（比如好压），由正常程序间接运行网购木马，以躲避杀毒软件的拦截。该木马在传播时将自己的病毒dll文件命名成HaoZip.dll，连同正常的好压软件（exe文件）一同打包。

        用户收到文件后，运行好压的exe时会自动加载HaoZip.dll文件，而这个dll文件，正是网购木马自身。作者为了骗用户点击，会把好压的exe文件命名为“实物图/高清图”等诱导用户点击。

        此类木马在网购木马中约占30%。

        （二）钓鱼网站

        钓鱼网站通常是一些正规银行及电子商务网站的克隆网站，也就是我们所说的“山寨版”，目前钓鱼网站是构成网购安全威胁最主要的一部分。

        1、常用手法

        a)购物聊天传输钓鱼网站

        消费者网购时，很多人选择和卖家在QQ或者旺旺聊天，收到卖家给发送的各种链接，而钓鱼网站就会掺杂其中，页面通常会模仿淘宝、拍拍、支付宝、财富通等购物相关的网站，引导消费者在假冒的网页上进行支付。

        b)网络和短信、电话联合诈骗

        骗子首先群发短信，谎称受害人有一笔交易发生，建议网民访问相关网站处理。若网民信以为真，就会访问钓鱼网站。按提示操作，就可能损失金钱或其它敏感信息。

        c)被盗QQ骗取好友

        骗子利用木马盗取用户的QQ号，再冒用他人身价给QQ好友群发消息，让好友代付购物。或者在QQ消息中发送钓鱼网站链接，好友不知实情，就可能会帮忙付款，最后钱财成功掉入了犯罪分子的口袋里。

        d)低价诱惑被钓鱼

        消费者在淘宝网等某些购物网站上买东西时，会发现有的店里的东西比商场里或是其他店里卖的便宜，然后就被极低价格固定了思维，直接点击支付，买下了商品，事后才发现东西没有拿到，钱也不翼而飞了。

        e)一元秒杀、刷信用、删差评圈套

        很多不法分子批量伪造各种“秒杀网，淘宝秒杀，一元秒杀”等站点，诱惑用户去点击，然后引导受骗者输入网银、支付宝、财付通账号密码，然后盗取用户的个人信息，致使资金全部卷入黑客的钱袋里。

        另外很多店家的信誉很高（实为钓鱼网站），其实是通过一些刷信誉软件等来刷信誉，让你掉入他的陷阱中。还有一些骗子声称可以删除差评，而实际上要么发送网购木马，要么使用钓鱼网站实施诈骗。