网络购物已成消费时尚,目前我国网购用户已经近亿,全年网购总额今年预计达到2500亿元左右。面对如此大的消费市场,一些网络黑客在用户网购过程中,挖好了一个个“陷阱”,骗取用户钱财。
金山互联网安全专家李铁军介绍了网络购物过程中的十大“陷阱”。
陷阱一:中奖迷局。骗子冒充一些知名大公司的名义,通过QQ、淘宝旺旺等常用对话工具向用户传播中奖信息,诱导用户进入相似度非常高的假网页,引导用户输入网银的账号密码或向其他指定账号汇款。
陷阱二:低价诱惑。骗子先利用低价吸引用户进入“钓鱼”网站,用户一旦放松警惕,很有可能带来财产损失。
陷阱三:搜索欺诈。用户在网络购物时要使用到搜索引擎。以网络银行为例,大部分用户要借助搜索引擎来搜索网银地址,黑客通过制作假网站,设计一个与真的网银网页同样的网站,用户一旦误入,黑客即展开行骗。
陷阱四:网页劫持。黑客借助用户电脑中已植入的木马,可对浏览器进行HOSTS跳转控制,将用户引导到假网站,记录用户的账户信息。
黑客陷阱
陷阱五:调包网址。在挑选商品时,用户通常会向卖家咨询信息或讨价还价,这时用户要特别留意卖家发给我们的链接页面是否正常。金山已发现一些黑客将伪造的“钓鱼”页面链接发给买家,诱使买家在“钓鱼”页面购买。
陷阱六:支付欺诈。登录网银阶段最有可能遭遇的是黑客利用木马进行的键盘记录和屏幕记录,键盘记录能帮助黑客获得用户的登录账号,屏幕记录则能将用户的每一步操作都记录下来。
陷阱七:真假交易。伪造网络店铺和商品页面实施诈骗。通过伪造店铺和商品页面,并伪装成卖家,利用交易中的留言或IM聊天工具、邮件等方式散发“钓鱼”网站并用各种理由骗取买家点击进行诈骗。
陷阱八:挂马网页。网络“钓鱼”还和挂马网站相互勾结,以挂马网站导致用户中毒,木马批量盗号最后针对性“钓鱼”的方法,让用户防不胜防。
陷阱九:电子邮件圈套。不法分子发送邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。
陷阱十:“肉鸡”交易。网购者通过浏览挂马网站或下载软件的过程中中了木马,电脑沦为“肉鸡”,该木马可将用户的银行账号和密码盗取,通过设置假的银行升级窗口,引导用户输入口令卡密码,进而转移用户钱财。
(《法制日报》 2009年12月20日 记者张建新)
淘宝网正式开通反钓鱼网站平台
为了继续扩大打击钓鱼网站的范围,淘宝网正式推出”反钓鱼网站平台“。近几年来,中国的电子商务产业以其方便快捷的特点迅速发展,并逐渐形成互联网商务活动的一大主流模式,推动了市场经济的活跃发展。同时人们在享受到网购生 活便利的同时,网络安全问题也日渐突出、形势日益严峻。钓鱼网站、病毒木马传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗的案件也有逐年上升的趋势, 一定程度上影响了电子商务发展的正常秩序,损害了网民的利益。
淘宝网一直以来均极为重视不断的打造更加诚信、安全的网上交易平台,以不断的构建中国互联网的新商业文明,提高网民对网络购物、消费的信任度,为中国电子商务产业的良性、可持续发展培育越加强大的市场。
为了最大化的保护网民的购物安全,我们先后与遨游、金山、瑞星、火狐等企业展开了合作,各方重点向以“钓鱼网站”为代表的严重危害网络交易安全的“毒瘤”开火,共同创造以诚信、安全为基础的新商业文明。
为了继续扩大打击钓鱼网站的范围,同时也是积极实施“大淘宝”战略的一部分,我们秉着诚信、平等、透明、分享、责任、和谐的理念,正式推出”反钓鱼网站平台“http://fandiaoyu.taobao.com/。
此次我们推出反钓鱼网站平台,旨在与外界共享钓鱼网站数据,共同进行打击,为网民搭建全球最为安全的互联网外部环境。我们也期待更多的互联网公司一起参与进来,合力打击钓鱼网站,让其没有生存之地,用实际行动保护网民的合法权益。
“网络钓鱼者”无本万利生意:每月净赚数十万
家住北京朝阳区的乔彤(化名),钟爱淘宝购物,并且一直以自己81笔安全网购交易记录而沾沾自喜,不过,最近一件事情打破了他的在线安全交易记录。 12月中旬,乔彤无意在一家淘宝店看到一款心仪已久的超长靴,而且标注绝对正品,380的标价也比专柜便宜很多,就打开卖家旺旺留言(乔彤事后才知道这个卖家旺旺账户已经被钓鱼者盗号),卖家让乔彤加其QQ专用号码,然后通过QQ发来了宝贝链接。
“点击打开后,和淘宝店里的页面是一样的,我就毫不犹豫地拍了,但系统提示让我登陆,我当时纳闷了一下,但当时没有多想,就输入了用户名密码,之后就进入付款界面了,我选择支付宝余额付款,输入支付密码然后没有跳到下一个界面,我就留意看了一眼,上面写的是即时到帐,才开始有不好的感觉,是不被骗了?”乔彤心里嘀咕。
不出所料,帐户上丢掉了380元的现金,比较幸运的是,乔彤的银行账户里面只有400元的存款,没有因此被骗走更多存款。
当乔彤被反病毒安全专家告知,自己已经中了“网络钓鱼”圈套时,从事房产销售的乔彤一头雾水。
“从社会工程学角度看,所谓‘网络钓鱼’就是指运用欺诈心理结合电脑科技的新犯罪手法。”金山毒霸反病毒专家李铁军解释道,“‘网络钓鱼’是一种网络欺诈行为,不法分子利用各种手段,仿冒真实网站的网页地址以及页面内容,以此来骗取用户银行或信用卡账号、密码等私人资料。”
据国家计算机网络应急中心估算,网络钓鱼带来的对电子商务用户损失目前已达76亿元,也就是说,平均每一位网购用户已经为潜在的网购安全威胁丢掉了86元的经济损失。除此之外,“网络钓鱼”的嚣张势头更是对公众应用互联网的信心打击。
而对于“网络钓鱼”欺诈手法原理的最好切入点,还要追溯到上世纪90年代的一个流行术语-“黑客社会工程学”,这是由著名黑客Kevin Mitnick早在上个世纪90年代就提出的新术语,即引诱某人去做某事或者泄露敏感信息。这个简单的概念已经早有年头,不过安全专家一致认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益。
“现在的钓鱼网站,通常伪装成为银行网站或者电子购物网站,窃取访问者提交的账号和密码信息。钓鱼网站的页面与真实网站界面完全一致,要求访问者提交账号和密码。一般来说钓鱼网站结构很简单,只有一个或几个页面,URL和真实网站有细微差别。”李铁军对此分析道。
他还指出,“钓鱼网站页面设计,就类似于假币中的半真半假币,也就是说,钓鱼程序设计人员分析比如一些淘宝宝贝页面,然后将需要的页面移植到本地,并对涉及帐号操作的部分页面进行改造从而控制交易的过程。目前常见的控制手段主要有两种,收集用户输入的帐号密码,交易密码;或者直接将钱转移到相应的帐号。”
所以,不难看出钓鱼网站的获利来源主要在以下三个途径,一、出售箱子:被钓鱼者的帐号密码信息;二、使用被盗者的淘宝帐号购买其他产品,然后销售;三、购买的钓鱼程序可以及时入账,此时提取现金即可。
“通过从金山网盾数据中心获得的最新数据表明,11月,金山网盾每日和支付宝交换的钓鱼网站数量都在300个左右,其中80%的钓鱼网站都会被买家或者卖家点击,在被淘宝用户点击到的这240个钓鱼网站,其中有20%-30%的钓鱼网站会交易成功,而一个钓鱼网站只要在一天之内获得一笔成功交易记录,就可以在短短两分钟之内把你支付账户里的存款全部吞掉,这显然是一种无本万利的生意。”李铁军透露了一组惊人的数据。
据网络钓鱼圈内人士披露,现在游戏点卡售卖是网络钓鱼主要目标对象,一天交易情况好的时候,会有几十笔交易,单笔交易从几十块钱到几百元钱不等。而一个钓鱼网站只要在一天之内获得一笔成功交易记录,就可以在短短两分钟之内把你支付账户里的存款全部吞掉,这显然是一种无本万利的生意。
金山安全专家李铁军提醒网民,首先,不要轻易打开没有经过网盾认证的链接,,支付宝和网银行卡的数字认证一定要办理,把风险降低到最小,同时建议网民一定要养成良好的网络购物安全习惯。
文/腾讯科技
新年网购热潮来临 注意网络黑客三大陷阱
新华网天津12月22日电(记者 张建新)圣诞临近,网络购物异常火暴,病毒、木马、钓鱼网站随之也异常活跃。据金山网盾研发中心监测数据显示,近日,病毒、木马数量呈暴涨态势,钓鱼网站数量也从日均400多,迅速增加到近千个。
北京的李女士想通过网络购买一台豆浆机,已经跟卖家谈好价格,只需要通过电子银行汇款后等待卖家发货。李女士借助搜索引擎顺利地进入了该银行网页。在交易过程中,李女士不经意间看了一下网址,结果发现本来应该是http://www.icbc.com.cn/icbc却变成了http://www.1cbc.com.cn/1cbc。
据知情人士透露,“网络钓鱼”收益主要来源于银行存款的直接套现,钓鱼者通过发布让人心动的“宝贝”,在买卖双方讨价还价后,卖家会在这个时机把钓鱼网站链接发过去。
年底节日比较多,购买礼物,送祝福等大家庆祝节日的方式都会被网络黑客所利用牟利,金山安全专家提醒网民,注意网络黑客三大陷阱:
一是钓鱼网站。圣诞期间,很多消费者通过网络为朋友选购小礼物,一些不法分子利用这一网络购物的高峰期,采用欺骗性的电子邮件和伪造的网站页面来盗取上网用户重要个人信息(如财务数据、银行信用卡号、网游账号等)。
二是病毒邮件。不少病毒在节日期间利用与祝福相关的主题发送染毒邮件进行传播,它们大多会包含一些敏感字眼,如“Merry Chrismas”“Happy New Year”“A Gift For You”等,用户一旦打开立刻中招。
三是圣诞祝福网页。一些木马被偷偷植入圣诞祝福的Flash网页,用户浏览该网页的同时将在不知不觉中陷入病毒危机。
临近圣诞、新年的网购热潮,金山反钓鱼专家提醒,网上交易过程中不要打开任何可疑的链接。支付宝和网上银行的安全增强业务一定要办理(比如动态手机密码等),把风险降低到最小;更不要轻易尝试点击QQ或者其他方式得到的交易链接。
在整个网络购物的过程中,欺诈的手段千奇百怪,陷阱也绝不仅这十个,骗子们经常将一些欺诈手法,交叉使用,让网购者更是防不胜防。面对林林总总的欺诈手段,金山毒霸安全专家建议广大网购用户从以下几个方面做好防范工作:
1、 网购过程中一定要提高自身的网络安全意识。一旦遇到需要输入帐号、密码的环节,交易前一定要仔细核实网址是否准确无误,再进行填写。
2、 目前网络钓鱼已经成为网络购物的主要威胁之一。因此防止网络钓鱼对于网购安全来讲非常重要。专家建议广大网购用户安装免费的防网络钓鱼工具金山网盾(http://www.duba.net/wangdun/),有效防止各类网络钓鱼、欺诈行为。
http://news.zdnet.com.cn/zdnetnews/2009/1215/1559762.shtml