近年來,電子商務(wù)的繁盛正在快速改變中國人的消費習慣���,據(jù)eMarketer報告顯示��,2012年中國網(wǎng)購用戶已達2.2億人�,成為全球網(wǎng)購人群規(guī)模最大的國家�����,而今年這一數(shù)據(jù)將增長至2.71億人���。與此同時��,網(wǎng)購交易中的欺詐犯罪近年來也在急劇上升����,人工騙術(shù)和技術(shù)手段相結(jié)合的新型網(wǎng)購欺詐已成為網(wǎng)民線上生活的首要安全威脅���。
9月23日下午���,在由360公司主辦的中國互聯(lián)網(wǎng)安全大會上�,360資深安全研究員萬仁國以多個典型的網(wǎng)購案例為線索��,揭露了當下在線支付面臨的新興威脅及網(wǎng)購安全的有效防范措施��。
睡夢中被盜刷的銀行卡之謎
2013年8月5日���,深圳市的淘寶賣家茹女士一覺醒來后�����,看到手機短信上竟有6條當日凌晨的淘寶付款記錄���,從零點40分開始到一點08分之間,自己銀行卡上的1.4萬元居然全部被用來充值繳費和代付轉(zhuǎn)賬了��。
“我明明在睡覺����,電腦都關(guān)著���,怎么會在淘寶上花掉那么多錢�����?”驚嚇不已的茹女士趕緊打電話報了警��,并第一時間聯(lián)系360網(wǎng)購先賠服務(wù)中心申訴理賠���。不過����,蹊蹺的是���,360的工作人員對她的電腦檢測后并未發(fā)現(xiàn)任何釣魚和木馬病毒的痕跡���,并懷疑茹女士是否無意間向他人泄露了支付寶賬號和密碼。
可茹女士思來想去���,自打開了淘寶店���,自己對支付寶賬號尤為謹慎,連老公都沒告訴過����,更不可能泄露給別人,“我一定是被人黑了�,肯定中病毒了��,不然誰的淘寶會自動付款����?”隨后����,360的工作人員只好聯(lián)系支付寶的工作人員進行聯(lián)合調(diào)查。支付寶方隨后回應(yīng)稱�����,原來并非茹女士的電腦出了問題����,而是她的手機被騙子中了劫持信息木馬。
據(jù)茹女士回憶�,前兩天自己確實用手機安裝過一個客戶端,當時是一個買家發(fā)來消息說挑了不少她店里的東西��,希望茹女士看看寶貝款式�����、數(shù)量后適當給便宜些���。隨后��,這個買家發(fā)來一個二維碼清單讓她掃描查看��,茹女士掃描完該二維碼就跳轉(zhuǎn)到一個分享站���,頁面提示要求下載二維碼最新客戶端,等她下載安裝后卻發(fā)現(xiàn)并沒有所謂的購物清單�����,再詢問買家時對方就消失下線了�。
事實上,茹女士遭遇了典型的二維碼釣魚欺詐��,“她掃描二維碼后跳轉(zhuǎn)到一個下載頁面���,等她安裝完所謂的客戶端后�����,暗藏的apk木馬文件就成功入侵了她的手機��?��!?60資深安全研究員萬仁國在中國互聯(lián)網(wǎng)安全大會的現(xiàn)場向參會人員透露��,該木馬能將用戶手機中收到的短信進行轉(zhuǎn)發(fā)����,并在用戶手機上做刪除操作���,于是神不知鬼不覺中�����,騙子先通過手機綁定支付寶功能重置密碼竊取到茹女士的支付寶賬號信息�����,再利用支付寶驗證碼的短信進行了快捷支付操作��。茹女士銀卡上的1.4萬元���,就是這樣被盜光的。
網(wǎng)購欺詐是互聯(lián)網(wǎng)首要安全威脅
360互聯(lián)網(wǎng)安全中心發(fā)布的2013年二季度“網(wǎng)購先賠服務(wù)”報告顯示����,二季度360共收到6272例用戶報案,涉案總金額高達710余萬元���?�?傮w看來�,二季度投訴案例較一季度增長超過6倍����,總涉案金額較一季度增長近了18倍,網(wǎng)購欺詐案發(fā)率和涉案金額均呈現(xiàn)快速增長的態(tài)勢��。
萬仁國表示����,無論是從統(tǒng)計數(shù)據(jù)還是實際的案件情況看,近年來互聯(lián)網(wǎng)安全威脅已從傳統(tǒng)的掛馬�、病毒和漏洞攻擊等形式轉(zhuǎn)變?yōu)橐栽p騙為主的犯罪形式,黑客攻擊行為不再是單純的“炫技”���,而是直接以獲取經(jīng)濟利益為目的�。報告顯示�,2013年上半年我國人均網(wǎng)購消費650元,而360公布的2013年二季度網(wǎng)購人均受騙金額為 1133 元,幾乎是人均網(wǎng)購消費的兩倍��,網(wǎng)購欺詐的巨大“黑產(chǎn)值”令人錯愕��。
從網(wǎng)絡(luò)欺詐的手法看����,人工欺詐與釣魚、木馬等技術(shù)手段相結(jié)合的方式占主流����。不過,隨著安全產(chǎn)品對木馬病毒��、釣魚網(wǎng)站和人工欺詐的防護策略不斷升級��,騙子所使用的技術(shù)手段和人工騙術(shù)也在不斷翻新升級���,花樣百出���,并有復雜化、隱蔽化�����、迷惑性增強的發(fā)展趨勢。整體看來�,網(wǎng)購欺詐的總體風險顯著升高,已成為當下互聯(lián)網(wǎng)最首要的新興安全威脅�。
揭秘網(wǎng)購欺詐黑產(chǎn)“盈利”之道
在中國互聯(lián)網(wǎng)安全大會的“新興安全威脅論壇”上���,萬仁國談到新型網(wǎng)購欺詐的黑產(chǎn)生態(tài)鏈時指出�,正常的購物流程主要包括信息階段和交易階段����,其中交易階段是犯罪分子最容易下手套“錢”的環(huán)節(jié),信息泄露��、釣魚和人工誘導幾乎都發(fā)生在這個階段�。具體而言,木馬�、釣魚和人工欺詐則是新型網(wǎng)購騙局最常見的三類犯罪手段。
(一)劫持信息木馬:技術(shù)門檻最高的犯罪手段
雖然近兩年來新增惡意程序和木馬病毒的數(shù)量驟減�����,但網(wǎng)購欺詐中出現(xiàn)的各種劫持信息木馬危害卻不容小覷���。目前最常見的網(wǎng)銀劫持和支付劫持木馬����,會在網(wǎng)購支付階段,記錄和劫持網(wǎng)民的金融支付操作���,在網(wǎng)民執(zhí)行付款操作時�,不法分子會秘密篡改收款人����、商品名目、付款金額等網(wǎng)銀訂單信息���,或修改付款方式(如將支付寶付款篡改為網(wǎng)銀轉(zhuǎn)賬)�����,從而給感染木馬者帶來難以預估的風險�����。
萬仁國表示��,劫持信息木馬通常會在真實頁面的上覆蓋一層透明的欺詐頁面����,甚至有時需要利用真實的頁面漏洞,才能盜取受害者的網(wǎng)銀賬號密碼���、支付驗證碼等重要信息��。制作此類木馬的技術(shù)門檻較高�����,加上安全軟件對此類攻擊的打擊、攔截力度大����,不法分子的欺詐成本就更高,所以能成功繞過安全軟件對用戶實施攻擊的木馬數(shù)量實際上并不多���。
(二)“游擊式”釣魚網(wǎng)站:群體性欺詐之源
《2013年第二季度中國個人電腦上網(wǎng)安全報告》顯示���,2013年二季度新增釣魚網(wǎng)站同比增長180.9%,取代木馬病毒成為中國互聯(lián)網(wǎng)安全最大威脅���。目前����,70%以上的釣魚網(wǎng)站服務(wù)器設(shè)在境外,且生命周期極短��,呈現(xiàn)“精準定位”��、“迅速出擊”���、“騙完就閃”等特點�,用法律手段來監(jiān)管和打擊釣魚網(wǎng)站變得十分困難����。
然而消費者在網(wǎng)購時,常常在搜索引擎里查詢商品信息�����,又常用IM工具與商家進行在線溝通��,這兩個環(huán)節(jié)存在的釣魚安全風險最高�。假淘寶、假團購�、假票務(wù)等虛假購物類釣魚網(wǎng)站,最喜利用搜索引擎購買關(guān)鍵詞來推廣傳播�,其網(wǎng)址、域名又與被模仿的網(wǎng)站極其接近��,消費者一不小心就會誤以為是正規(guī)電商網(wǎng)站,等發(fā)現(xiàn)上當受騙時網(wǎng)頁早已打不開了��。而假冒賣家的騙子��,常在IM溝通時以改價��、交易失敗等借口���,發(fā)送釣魚鏈接給消費者�,辨別能力差的網(wǎng)民們很容易批量“中招兒”�。
(三)社會工程學:傳統(tǒng)騙術(shù)的互聯(lián)網(wǎng)應(yīng)用
依靠溝通技巧對受害者進行心理攻勢的人工欺詐騙局,在互聯(lián)網(wǎng)時代愈加泛濫���,其危害性和高危性絕不亞于技術(shù)類的攻擊。今年上半年�,360發(fā)現(xiàn)的“超級網(wǎng)銀”授權(quán)支付高危欺詐就屬于純?nèi)斯ぴp騙的社會工程學范疇,單筆詐騙金額高達10萬元�。
據(jù)萬仁國介紹,雖然現(xiàn)在網(wǎng)購人群的基數(shù)龐大���,但許多消費者對網(wǎng)購流程���、交易規(guī)則以及網(wǎng)銀操作流程等仍不太熟悉��,騙子就會利用這些流程和規(guī)則的某些隱晦漏洞實施人工欺詐�。比如“授權(quán)支付”陷阱中�����,“授權(quán)支付”只是“超級網(wǎng)銀”的跨行交易服務(wù)�����,分屬不同的銀行的兩個賬號�����,可以用鏈接的方式對另一個賬戶發(fā)起在線“授權(quán)”��,一旦對方允許授權(quán)���,被授權(quán)的一方就可以對授權(quán)賬戶進行任意的轉(zhuǎn)賬操作����。為了迷惑受害人�����,騙子往往將授權(quán)支付操作說成是交易異常(如卡單、掉單等)的解鎖操作或是網(wǎng)上分期付款預約操作����。對于不熟悉甚至從沒聽說過網(wǎng)銀授權(quán)支付業(yè)務(wù)用戶來說,極易上當受騙���。
此外����,虛假400電話����、兼職刷鉆、為他人付款等流行騙局�����,也都是利用傳統(tǒng)的人工騙術(shù)對網(wǎng)民進行心理進攻的��,此類人工欺詐已成為互聯(lián)網(wǎng)安全威脅的最大挑戰(zhàn)和難題�����。
網(wǎng)購安全威脅的未來防范之路
面對當下的網(wǎng)購安全威脅�����,萬仁國指出��,技術(shù)手段為輔��,人工詐騙為主����、技術(shù)手段為輔的惡意欺詐形式,給安全軟件的防范工作造成了很大的難度�。“網(wǎng)址云安全”等新型互聯(lián)網(wǎng)安全技術(shù)雖然能在一定程度上與釣魚網(wǎng)站進行技術(shù)對抗����,但能否在反人工欺詐領(lǐng)域為網(wǎng)民提供大量服務(wù)支持,將成為安全廠商確保網(wǎng)民安全上網(wǎng)的重要發(fā)力點和突破點��。
萬仁國認為�����,網(wǎng)購支付階段的安全隱患最多�,安全廠商應(yīng)與第三方支付平臺聯(lián)動,重點防范支付階段的安全隱患。目前�����,360網(wǎng)購先賠服務(wù)中心正在努力推進同支付寶�����、易寶支付等支付平臺的戰(zhàn)略合作�����,如增強信息聯(lián)動��,共享安全信息�,提高電商網(wǎng)站的支付門檻等措施,希望能對問題網(wǎng)站��、問題商家早發(fā)現(xiàn)���、早預防�����,確保廣大網(wǎng)民在安全、放心的網(wǎng)絡(luò)環(huán)境下消費。
來源:大眾財經(jīng)網(wǎng)
版權(quán)及免責聲明:凡本網(wǎng)所屬版權(quán)作品�����,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”���,違者本網(wǎng)將保留追究其相關(guān)法律責任的權(quán)力����。凡轉(zhuǎn)載文章��,不代表本網(wǎng)觀點和立場�。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀
