【51CTO.com 综合消息】互联网发展到今天,网购已经成为最重要的应用之一。对于消费者,网购提供了廉价、便捷的购物平台;对于商家,互联网为降低成本,扩大营销渠道提供了有力支持。中国互联网络信息中心(CNNIC)2012年7月发布的《中国互联网络发展状况统计报告》显示:截至2012年6月底,国内网络购物用户规模达到2.10亿,占同期中国网民总数的39.0%,较2011年底用户增长8.2%;团购用户规模为6181万,占同期中国网民总数的11.5%。
网购在带来方便实惠的同时,也让网络犯罪分子找到了攻击牟利的途径。钓鱼欺诈网站、网购木马和网站拖库盗号等问题严重威胁网购消费者的财产安全。特别是钓鱼欺诈网站,已经呈现出产业化、规模化和专业化的发展趋势,让普通网民防不胜防。
网络购物遭遇不法侵害,不仅给网购用户带来损失,同时也严重损害了电商行业的整体信誉及网民对网络购物的信任感,严重制约了互联网经济的发展和繁荣。通过技术和法律手段打击各种网购犯罪行为,是现代互联网安全的重要课题。
第一章 网购钓鱼网站新增40万家
钓鱼网站的特点是假冒知名购物网站或品牌官网的身份,欺骗消费者输入账号密码、支付交易资金。
(一) 网购钓鱼数据统计
根据360安全中心统计:截至12月24日,2012年互联网上新增与网购相关的钓鱼网站数量达到39.27万家(以host计算),相比2011全年购物类钓鱼网站增长155%,恶意网址更是高达数百万的量级(以url计算)。
由于钓鱼网站更新快、变化多,恶意网址库数量庞大,无法下发到用户电脑里,目前主流安全软件均采用网址云安全查询的方式,将用户访问网址与服务器实时更新的恶意网址库进行比对,这样也可以保证及时拦截的效果。
截至报告发布前,360安全浏览器和网盾在2012年共拦截购物类钓鱼网站18.55亿次,是2011全年购物类钓鱼网站拦截量(6.61亿次)的2.8倍。
|
|
| 图1 |
|
|
| 图2 |
从技术特征来看,钓鱼网站大多使用cc、tk、pl、info、in、no等境外域名,99.99%以上的钓鱼网站无正常备案;大部分钓鱼网站搭建在境外IP上,比例达到76.25%,基于香港IP的钓鱼网站比例也高达13.23%,使用VPS主机(虚拟专用服务器)的情况尤其泛滥。
可见,依靠法律监管钓鱼网站尚存在一定困难,在很多情况下,钓鱼犯罪的源头难以定位。因此,安全厂商通过技术手段来识别和拦截钓鱼网站,是打击钓鱼网站最为切实可行的方式。
(二) 网购钓鱼主要形式
从内容和欺诈形式上看,购物类钓鱼网站主要包括假冒淘宝、假药网站、网游交易欺诈、模仿知名品牌官网、手机充值欺诈、假票网站(机票/火车票)以及假冒网上银行。
|
|
| 图3 |
典型钓鱼网站示例:
1)假冒淘宝——利用伪造商品页面诱骗买家支付,实际付款对象是不法分子的账户。有时此类钓鱼网站也会套取受骗者的帐号密码。
|
|
| 图4 |
2)假药网站——伪造或凭空捏造权威资质证明,虚构患者疗效案例,集中在男性壮阳药、跨国公司名贵进口药、疑难杂症特效药、知名的中药处方药四大领域。
|
|
| 图5 |
3)网游交易欺诈——以热门网游虚拟装备、游戏币交易为名,低价诱惑游戏玩家交易支付,骗取玩家钱财。
|
|
| 图6 |
4)模仿品牌官网——伪装时尚数码产品的官网或官方销售渠道,例如iPhone、iPad、小米手机等,以远低于正常价格的标价出售,递送假冒伪劣的山寨手机。
|
|
| 图7 |
5)手机充值欺诈——假冒移动、联通、电信等运营商指定充值中心名义,以“充100送50”等优惠活动吸引网友充值,付款后无法获得话费。
|
|
| 图8 |
6)假票网站——模仿航空公司官网、旅行社、票务公司、12306.cn火车票网站等,通过搜索引擎竞价排名或SEO推广,在人们搜索机票、火车票相关信息时排在前列,诱骗消费者向不法分子设置的个人银行账户汇款。
|
|
| 图9 |
7)假冒网银——这是对网购族财产威胁最大的一类钓鱼网站。不法分子以网银账户冻结、动态口令(E令)升级等名义,通过短信、邮件诱骗攻击目标登录假冒网银的钓鱼网站,套取账户、密码以及动态口令信息,再迅速在口令有效期内入侵受骗者网银账户将资金转走。
|
|
| 图10 |
8)其他形式——除了上述常见的购物类钓鱼网站以外,一些利用网络平台联络、交易的二手车、手机监听卡、家电维修售后、办证等钓鱼网站也日益增多。可以预见,随着网购应用的普及,越来越多诈骗活动将被不法分子移植到互联网上,这也促使人们需要更进一步提升安全意识和强化安全防护措施。
(三) 钓鱼网站传播途径
360安全中心综合用户举报与“网购先赔”案例发现,购物类钓鱼网站主要通过搜索竞价排名和SEO推广,比例达到43.2%;此外,不法分子通过聊天工具一对一或聊天群发送钓鱼网址,通过分类信息网站、论坛、微博发布低价商品信息,诱骗用户访问钓鱼网站也是其重要传播渠道。
|
|
| 图11 |
钓鱼网站通过搜索引擎进行传播的方式主要有两种,一种是黑链植入SEO(搜索引擎优化),一种是直接利用竞价排名系统。
1)黑链植入SEO,简单的说就是黑客首先入侵政府、高校等在搜索引擎中权重较高的网站,在网站页面植入自己的网站链接和关键词,并且巧妙隐藏使人不易发现。但搜索引擎在抓取页面信息时,却会抓取到这些隐蔽的链接,从而使钓鱼网站在热词搜索结果中排名靠前。
2)利用竞价排名系统进行推广则更为恶劣。由于某些搜索引擎审查不严,使得钓鱼网站的制作者可以直接在竞价排名系统中购买关键词,让自己的网站排在搜索结果的顶端,从而让网民误入钓鱼网站。
对于不熟悉互联网的电脑用户来说,鉴别钓鱼网站应首先确定网址来源是否可信。如果是通过搜索引擎或陌生人发布的信息打开的网址,而且其中带有中奖、低价打折商品等诱惑信息时,应向他人求助核实。
典型案例:假冒光大银行钓鱼网站利用百度推广盗取用户资金
http://finance.people.com.cn/bank/n/2012/1010/c202331-19217569.html
据《羊城晚报》报道,今年5月31日,广州的许先生为向家里汇款,用百度搜索光大银行网站,搜索结果显示第一位的就是“光大银行”的链接。当许先生点开这个网站,一切看起来都非常正常,页面也很逼真,他没有丝毫起疑,就按照正常程序在页面上输入了账号和密码,并将手机接收的动态指令也输入进去,谁知刚刚输完,自己工作几年辛苦攒下的4万元就立即被转走,转入一个在甘肃农行开户的陌生账户里。许先生这才意识到,自己在假冒光大网银的钓鱼网站上中招了,损失却无法弥补。 #p#
第二章 网购木马日趋衰落
网购木马是一类专门针对网上支付劫持交易资金的木马程序。2011年,网购木马活跃度达到顶峰,一度被认为是危害最高的木马种族。不过由于360安全软件针对网购木马建立了严密的防护措施,以及政府相关部门的打击震慑,2012年网购木马活跃度大幅降低,主要威胁电脑“裸奔”的网购用户。
网购木马的标志性事件包括两起,第一起是今年4月徐州市公关局抓捕“浮云”网购木马案犯罪嫌疑人,网购木马数量明显降低;第二起是今年12月,“支付大盗”网购木马利用百度竞价排名推广,假冒阿里旺旺官网传播木马,网购消费者仍然不可对此类木马掉以轻心。
1) “浮云”网购木马案
2012年4月,江苏省徐州市公安局对“浮云”网购木马案的犯罪嫌疑人展开集中抓捕行动,成功抓获了包括木马制作者、租马人、免杀人在内的犯罪嫌疑人58名。从此,网购木马数量也开始明显降低。
“浮云”木马会诱骗网民支付一笔小额假订单,却在后台执行另外一个高额定单,用户确认后,高额转账资金就会进入木马制造者的账户。犯罪嫌疑人高某通过这种方式,敛财达1000多万人民币。
2) “支付大盗”木马竞价推广
12月6日,360安全中心发现一款名为“支付大盗”的新型网购木马活跃度正在急剧增加。木马网站利用百度竞价排名伪装为“阿里旺旺官网”,诱骗网友下载运行木马,再暗中劫持受害者网上支付资金,把付款对象篡改为黑客账户。不过用户电脑只要安装360安全卫士软件,无需升级就可拦截“支付大盗”木马。
|
|
| 图12 |
根据360“网购先赔”用户反馈,迄今没有一例360用户因木马攻击损害而提出赔付要求。 #p#
第三章 网站拖库冲击电商帐号体系
2011年底,国内多家知名网站曝出遭黑客拖库泄密事件。由于互联网是以电子邮箱为泛ID的帐号认证体系,众多网民又习惯使用统一的注册邮箱和密码。因此一旦有网站被黑客拖库泄密,黑客会利用密码数据尝试破解高价值的帐号,各大电商网站因此首当其冲成为黑客拖库洗号的受害者。包括一些知名的B2C电商网站,用户在不知不觉间发现账户余额被盗用,究其原因,就是一些网站数据库泄露导致的黑客盗号。
(一) 购物网站的安全性
360网站安全检测平台(webscan.360.cn)对注册网站的扫描结果显示,超过75%的网站存在高危漏洞,这就意味着黑客可以通过漏洞获取网站权限,甚至完全控制网站服务器,进而盗取用户的注册邮箱帐号和密码数据库(拖库)。
在抽样检测的网站中,购物类网站(不含团购网站)的安全性在各类网站中处于中等水平。在百分制的安全测评体系中,购物类网站平均得分为65分,好于成绩垫底的政府网站(35分)和高校网站(37分),但明显低于成绩最好的门户网站(74分)和社交网站(82分)。由于购物网站的安全性直接关系到用户的财产安全,其安全性还需要进一步提升和完善。
360网站安全检测平台发现,国内团购网站在安全方面的表现则更加令人失望,平均得分仅为43分,不及格。这一得分也意味着团购网站普遍存在高危漏洞,非常容易被黑客拖库,如不及时修复漏洞,用户的帐号密码很难得到有效的保护。
(二) 第三方网站泄密影响电商帐号安全
电商网站自身安全是否就足够了呢?答案是否定的。在更多情况下,黑客会攻击没有专业安全维护的中小网站,比如一些网络论坛、游戏社区等,拖库后将数据导入自动化程序,瞄准知名电商网站批量尝试登录盗号(撞号)。
典型案例:当当网用户余额礼品卡遭盗刷 公司称将全额补偿
http://finance.sina.com.cn/consume/puguangtai/20120326/022011674017.shtml
据《新京报》报道,今年3月,多名网友称自己的当当网账户余额及礼品卡遭盗刷。随后,当当网发表声明称,于3月19日至3月21日冻结所有账户余额及礼品卡,便于用户及时修改密码,当当网将给受损用户全额补偿。
当当网CEO李国庆发微博称,“发现窃贼不仅使用某论坛网站被曝光的密码,盗用顾客在当当网的顾客账户余额,还把账户彻底修改”。
(三) 如何保护网购帐号的安全
因网站安全性欠缺而导致的用户个人帐号信息泄漏,是任何个人电脑安全机制都无法防范的。我们呼吁各家网站加强网站安全建设,提升防黑能力。如果没有专业安全团队维护,可以选择免费的360网站安全检测平台(webscan.360.cn),及时检测和修补网站漏洞。另外,网站管理者还应对用户数据库采取严格的加密保护措施,避免明文存储,最大程度防范泄密风险。
360安全中心也提醒广大网购用户,通过更加合理的密码管理措施,尽可能的减小网站被黑对自身帐号的影响:
1) 对密码分级管理,重要帐号(如常用邮箱、网上支付、聊天帐号等)必须单独设置密码;
2) 定期修改网购帐号的密码;
3) 尽可能使用“大小写英文+数字+特殊符号”的高强度密码;
4) 如无必要,网购帐号内不存有余额。 #p#
第四章 浏览器防钓鱼防欺诈
浏览器是用户上网的窗口,也是网购交易操作的主要平台。因此,浏览器提供安全防护措施,是保护用户防范钓鱼欺诈网站的基础保障。
为了更有效、全面地防钓鱼欺诈,360安全浏览器从三个层面为用户提供安全保护:
(一) 网址云安全和网站照妖镜
目前国内外主流安全软件均采用网址云安全技术拦截钓鱼网站。这是因为:
1) 钓鱼网站以模仿知名官网为主,普遍不包含恶意代码,很难通过特征匹配直接识别,只有与恶意网址库比对网址才能够精准拦截;
2) 钓鱼网站的数量巨大,如果将恶意网址库全部下载到客户端,不仅会占用磁盘空间和网络带宽,比对恶意网址库的处理任务会拖慢电脑速度;
3) 钓鱼网站变化很快,生命周期一般在几个小时内。如果在客户端更新恶意网址库,很难第一时间实现对钓鱼网站的有效拦截。
可见,仅仅依靠本地安全机制是很难解决钓鱼网站的识别与拦截问题。就目前的技术手段而言,网址云安全技术是有效的解决方案。
具体到360网址云安全,用户电脑会定期更新经过360安全认证的可信网站白名单,当用户访问这些正规网站时,网址是不会进行云安全鉴定的。只有访问那些不在白名单中,可能存在风险隐患的网址时,360会把网址进行不可逆的加密处理,然后与云安全服务器上的“恶意网址库”进行比对,发现是恶意网址就对用户进行报警提示。
云安全检测的网址是经过MD5编码后的加密字符串,而不是用户访问的具体网址记录,这样可以保证用户的隐私不会泄露。云安全服务器上的“恶意网址库”实时更新,数量已超过1亿条(以URL计算),能够更及时拦截钓鱼网站。
服务器的计算能力和存储能力远在个人电脑之上,云安全检测在一瞬间就可以完成,既能提供安全防护,又能保证用户的上网速度和上网体验。目前,网址云安全技术已经全面的应用在360安全浏览器和安全卫士产品中。
下图为360网址云安全拦截钓鱼网站的实例:
|
|
| 图13 |
“网站照妖镜”则是360安全浏览器独创的一项功能。当用户使用360安全浏览器(6.1版本)访问可疑网址时,如果想了解网站可信度,只要点击网址右侧的“照妖镜”按钮,一秒内就可鉴定出网站是否存在风险。
|
|
| 图14 |
(二) 网站名片
包括网址云安全和网站照妖镜在内,都是从检测钓鱼网站的角度出发。对于不法分子最新制作出来的钓鱼网站,以及使用多层隐蔽技术的钓鱼网站来说,任何安全软件都无法确保100%识别拦截。这种情况下,360安全浏览器“网站名片”直接展现网站真实身份,从根本上解决了钓鱼网站假冒知名网站身份行骗的问题。
我们打开一个网页,一般只能看到这个网页的网址和网页上的内容,对于这个网站是否合法,注册机构或个人是谁,都很难了解。这也为网络安全带来了巨大的隐患。而360“网站名片”则可以有效解决这一问题,帮助用户识别和防范钓鱼网站。
按照相关法规,国内经营的网站均需在工信部进行ICP/IP备案,目前的备案类别主要分为:军队、政府机关、事业单位、企业、社会团体和个人这么几种。ICP/IP备案信息实际上就是政府颁发给网站的一张身份证,这些信息均可以在工信部网站进行查询。
但是对于普通网民来说,如果每次上网都要去工信部网站验证一下,显然是很不方便的。而360“网站名片”则是将网站备案信息直接显示在浏览器的地址栏上,方便用户查看。下图就是北京协和医院官方网站的“名片”:
|
|
| 图15 |
除了工信部的ICP/IP备案信息外,360“网站名片”还联合了多家权威认证机构,提供经过审核的其他身份信息,例如医院、政府、银行、品牌官网等资质信息。
网站名片可以有效帮助用户识别安全软件暂时没有加入“恶意网址库”的钓鱼网站。比如,某家网站自称是工商银行网上银行,但360“网站名片”显示其为个人备案的网站或根本没有备案,则可以断定这是身份造假的钓鱼网站。
需要说明的是,某些企业网站虽然进行了ICP/IP备案,但仍然可能在自己的网站上发布虚假信息;另外,也不能排除某些身份可靠的网站遭遇黑客攻击或页面被篡改的可能性。虽然上述情况概率极低,用户也需要加以防范。
(三) 网购先赔
作为360网购安全解决方案的终极防护措施,360安全浏览器和360安全卫士为用户提供了“网购先赔”服务。也就是说,如果360用户使用“网购先赔”支持的浏览器上网购物时,如遇钓鱼网站或木马而蒙受经济损失,奇虎360公司负责为用户赔偿损失,全年最高赔付36000元,单笔最高赔付1000元。
360安全浏览器致力于为用户提供全面的防钓鱼、防欺诈功能,我们相信这些功能可以保护用户上网不受骗、网购不丢钱。基于对产品的信心,360安全浏览器用户可享受双倍赔付的“网购先赔”服务,为安全网购再多加一道保险。
|
|
| 图16 |
