网络钓鱼(Phishing)

Glossary category

网络钓鱼(Phishing)

什么是网络钓鱼?

网络钓鱼是一种欺诈行为,犯罪行为人冒充受信任的个人、机构或服务提供方,以获取信息、钱款或系统访问权限。在实践中,网络钓鱼通常表现为欺骗性电子邮件、短信、电话、社交媒体消息或虚假网站,诱使接收者泄露密码、银行账户信息、身份识别资料或安全验证码,或者打开恶意附件、点击有害链接。

从法律与合规角度来看,网络钓鱼并不仅仅是一起技术安全事件。它可能涉及诈骗、身份盗用、未经授权访问信息系统、非法处理个人信息、与伪造相关的行为,以及侵害财产或信息安全的犯罪。根据具体事实,同一次网络钓鱼攻击可能同时引发刑事、民事、监管和合同层面的法律后果。

网络钓鱼攻击往往经过精心策划。发送者可能使用与银行、快递公司、公共机关、雇主或商业伙伴的正规沟通高度相似的品牌标识、域名、签名和措辞。更复杂的形式,例如鱼叉式网络钓鱼,通常针对特定个人或部门,如财务、人力资源或高级管理层。其目的通常是绕过正常的核验程序,并制造一种虚假的紧迫性、保密性或权威感。

网络钓鱼在实践中如何运作?

典型的网络钓鱼场景通常始于一条看似真实的消息,要求收件人立即采取行动,例如登录账户、确认付款信息、更新账户、打开发票或验证身份。收件人可能被重定向至虚假网站,或被诱导在回复中、电话交谈中直接提供信息。在其他情况下,消息中可能包含恶意软件,从而进一步入侵设备或企业网络。

网络钓鱼既可能影响个人,也可能影响企业。个人可能遭受资金损失,失去对电子邮箱账户、社交媒体账号或网上银行的访问权限。企业则可能面临未经授权的转账、机密信息泄露、运营中断、商业秘密流失以及数据保护事件。如果个人信息被泄露,该事件还可能需要根据隐私保护和网络安全规则进行法律评估,开展内部报告,并向主管机关或受影响人员进行通知。

在商业环境中,网络钓鱼经常与商务电子邮件入侵、发票诈骗、工资转移诈骗以及未经授权的付款指令相关联。即使技术层面的入侵范围有限,法律风险也可能相当重大。实践中常会出现以下问题:内部是否存在过失、安全措施是否充分、员工行为是否合规、合同中风险如何分配、是否需要通知保险人,以及已转出资金是否有追回可能。

网络钓鱼案件中何时建议寻求法律协助?

无论是在网络钓鱼事件发生后,还是在预防阶段,寻求法律协助都十分重要。如果网络钓鱼已经发生,时间至关重要。尽早行动有助于固定证据、减少经济损失、评估报告义务、支持与银行和服务提供商沟通,并判断是否应向执法机关或其他主管部门报案。在某些情况下,及时进行法律与技术协调,可以提高冻结交易或限制被盗数据进一步滥用的可能性。

对于个人而言,如果因欺骗而转出资金、账户被接管、身份证件或个人信息被滥用,或者本人作为受害方卷入相关程序,可能需要法律支持。对于企业经营者而言,当网络钓鱼影响员工、管理层账户、客户数据、供应商沟通或内部审批流程时,法律协助往往是必要的。

如果网络钓鱼事件引发更广泛的法律后果,法律支持也可能十分关键。例如,与银行发生争议、合同当事人之间产生索赔、被指控组织性安全防护不足,或涉及犯罪行为人的刑事责任以及证据策略等问题。在跨境案件中,还可能出现管辖权、证据语言、境外服务提供商以及国际合作等额外问题。

尽快咨询律师,有助于避免二次错误,例如毁损证据、作出不准确的通知、在未经核实的情况下承认事实、未能妥善保存内部记录,或延误对未经授权转账采取行动。早期法律审查还可以降低可避免争议、责任风险、监管风险和经济损失的可能性。

律师事务所在网络钓鱼相关事项中可提供的支持尤其包括:

  • 评估事件的法律性质及可采取的应对方案,
  • 协助准备向执法机关及其他机构提交的通知或报案材料,
  • 协助为刑事或民事程序固定、整理证据,
  • 分析个人、董事会成员及员工可能面临的责任风险,
  • 就与银行、支付机构、合同相对方或保险人之间的争议提供法律建议,
  • 就涉及个人信息、保密义务和内部合规程序的事项提供支持,
  • 制定旨在降低网络钓鱼风险的内部政策和应急响应流程。

需要处理网络钓鱼相关法律问题?欢迎联系我们。

另请参阅

  • 伪造
  • 起诉书
  • 受害方
  • 盗窃