内容提示 近年来,电子商务的繁盛正在快速改变中国人的消费习惯,据eMarketer报告显示,2012年中国网购用户已达2.2亿人,成为全球网购人群规模最大的国家,而今年这一数据将增长至2.71亿人。与此同时,网购交易中的欺诈犯罪近年来也在急剧上升,人工骗术和技术手段相结合的新型网购欺诈已成为网民线上生活的首要安全威胁。 9月23日下午,在由360公司主办的中国互联网安全大会上,360资深安全研究员万仁国以多个典型的网购案例为线索,揭露了当下在线支付面临的新兴威胁及网购安全的有效防范措施。 睡梦中被盗刷的银行卡之谜 2013年8月5日,深圳市的淘宝卖家茹女士一觉醒来后,看到手机短信上竟有6条当日凌晨的淘宝付款记录,从零点40分开始到一点08分之间,自己银行卡上的1.4万元居然全部被用来充值缴费和代付转账了。 “我明明在睡觉,电脑都关着,怎么会在淘宝上花掉那么多钱?”惊吓不已的茹女士赶紧打电话报了警,并第一时间联系360网购先赔服务中心申诉理赔。不过,蹊跷的是,360的工作人员对她的电脑检测后并未发现任何钓鱼和木马病毒的痕迹,并怀疑茹女士是否无意间向他人泄露了支付宝账号和密码。 可茹女士思来想去,自打开了淘宝店,自己对支付宝账号尤为谨慎,连老公都没告诉过,更不可能泄露给别人,“我一定是被人黑了,肯定中病毒了,不然谁的淘宝会自动付款?”随后,360的工作人员只好联系支付宝的工作人员进行联合调查。支付宝方随后回应称,原来并非茹女士的电脑出了问题,而是她的手机被骗子中了劫持信息木马。 据茹女士回忆,前两天自己确实用手机安装过一个客户端,当时是一个买家发来消息说挑了不少她店里的东西,希望茹女士看看宝贝款式、数量后适当给便宜些。随后,这个买家发来一个二维码清单让她扫描查看,茹女士扫描完该二维码就跳转到一个分享站,页面提示要求下载二维码最新客户端,等她下载安装后却发现并没有所谓的购物清单,再询问买家时对方就消失下线了。 事实上,茹女士遭遇了典型的二维码钓鱼欺诈,“她扫描二维码后跳转到一个下载页面,等她安装完所谓的客户端后,暗藏的apk木马文件就成功入侵了她的手机。”360资深安全研究员万仁国在中国互联网安全大会的现场向参会人员透露,该木马能将用户手机中收到的短信进行转发,并在用户手机上做删除操作,于是神不知鬼不觉中,骗子先通过手机绑定支付宝功能重置密码窃取到茹女士的支付宝账号信息,再利用支付宝验证码的短信进行了快捷支付操作。茹女士银卡上的1.4万元,就是这样被盗光的。 网购欺诈是互联网首要安全威胁 360互联网安全中心发布的2013年二季度“网购先赔服务”报告显示,二季度360共收到6272例用户报案,涉案总金额高达710余万元。总体看来,二季度投诉案例较一季度增长超过6倍,总涉案金额较一季度增长近了18倍,网购欺诈案发率和涉案金额均呈现快速增长的态势。 万仁国表示,无论是从统计数据还是实际的案件情况看,近年来互联网安全威胁已从传统的挂马、病毒和漏洞攻击等形式转变为以诈骗为主的犯罪形式,黑客攻击行为不再是单纯的“炫技”,而是直接以获取经济利益为目的。报告显示,2013年上半年我国人均网购消费650元,而360公布的2013年二季度网购人均受骗金额为 1133 元,几乎是人均网购消费的两倍,网购欺诈的巨大“黑产值”令人错愕。 从网络欺诈的手法看,人工欺诈与钓鱼、木马等技术手段相结合的方式占主流。不过,随着安全产品对木马病毒、钓鱼网站和人工欺诈的防护策略不断升级,骗子所使用的技术手段和人工骗术也在不断翻新升级,花样百出,并有复杂化、隐蔽化、迷惑性增强的发展趋势。整体看来,网购欺诈的总体风险显著升高,已成为当下互联网最首要的新兴安全威胁。 揭秘网购欺诈黑产“盈利”之道 在中国互联网安全大会的“新兴安全威胁论坛”上,万仁国谈到新型网购欺诈的黑产生态链时指出,正常的购物流程主要包括信息阶段和交易阶段,其中交易阶段是犯罪分子最容易下手套“钱”的环节,信息泄露、钓鱼和人工诱导几乎都发生在这个阶段。具体而言,木马、钓鱼和人工欺诈则是新型网购骗局最常见的三类犯罪手段。 (一)劫持信息木马:技术门槛最高的犯罪手段 虽然近两年来新增恶意程序和木马病毒的数量骤减,但网购欺诈中出现的各种劫持信息木马危害却不容小觑。目前最常见的网银劫持和支付劫持木马,会在网购支付阶段,记录和劫持网民的金融支付操作,在网民执行付款操作时,不法分子会秘密篡改收款人、商品名目、付款金额等网银订单信息,或修改付款方式(如将支付宝付款篡改为网银转账),从而给感染木马者带来难以预估的风险。 万仁国表示,劫持信息木马通常会在真实页面的上覆盖一层透明的欺诈页面,甚至有时需要利用真实的页面漏洞,才能盗取受害者的网银账号密码、支付验证码等重要信息。制作此类木马的技术门槛较高,加上安全软件对此类攻击的打击、拦截力度大,不法分子的欺诈成本就更高,所以能成功绕过安全软件对用户实施攻击的木马数量实际上并不多。 (二)“游击式”钓鱼网站:群体性欺诈之源 《2013年第二季度中国个人电脑上网安全报告》显示,2013年二季度新增钓鱼网站同比增长180.9%,取代木马病毒成为中国互联网安全最大威胁。目前,70%以上的钓鱼网站服务器设在境外,且生命周期极短,呈现“精准定位”、“迅速出击”、“骗完就闪”等特点,用法律手段来监管和打击钓鱼网站变得十分困难。 然而消费者在网购时,常常在搜索引擎里查询商品信息,又常用IM工具与商家进行在线沟通,这两个环节存在的钓鱼安全风险最高。假淘宝、假团购、假票务等虚假购物类钓鱼网站,最喜利用搜索引擎购买关键词来推广传播,其网址、域名又与被模仿的网站极其接近,消费者一不小心就会误以为是正规电商网站,等发现上当受骗时网页早已打不开了。而假冒卖家的骗子,常在IM沟通时以改价、交易失败等借口,发送钓鱼链接给消费者,辨别能力差的网民们很容易批量“中招儿”。 (三)社会工程学:传统骗术的互联网应用 依靠沟通技巧对受害者进行心理攻势的人工欺诈骗局,在互联网时代愈加泛滥,其危害性和高危性绝不亚于技术类的攻击。今年上半年,360发现的“超级网银”授权支付高危欺诈就属于纯人工诈骗的社会工程学范畴,单笔诈骗金额高达10万元。 据万仁国介绍,虽然现在网购人群的基数庞大,但许多消费者对网购流程、交易规则以及网银操作流程等仍不太熟悉,骗子就会利用这些流程和规则的某些隐晦漏洞实施人工欺诈。比如“授权支付”陷阱中,“授权支付”只是“超级网银”的跨行交易服务,分属不同的银行的两个账号,可以用链接的方式对另一个账户发起在线“授权”,一旦对方允许授权,被授权的一方就可以对授权账户进行任意的转账操作。为了迷惑受害人,骗子往往将授权支付操作说成是交易异常(如卡单、掉单等)的解锁操作或是网上分期付款预约操作。对于不熟悉甚至从没听说过网银授权支付业务用户来说,极易上当受骗。 此外,虚假400电话、兼职刷钻、为他人付款等流行骗局,也都是利用传统的人工骗术对网民进行心理进攻的,此类人工欺诈已成为互联网安全威胁的最大挑战和难题。 网购安全威胁的未来防范之路 面对当下的网购安全威胁,万仁国指出,技术手段为辅,人工诈骗为主、技术手段为辅的恶意欺诈形式,给安全软件的防范工作造成了很大的难度。 “网址云安全”等新型互联网安全技术虽然能在一定程度上与钓鱼网站进行技术对抗,但能否在反人工欺诈领域为网民提供大量服务支持,将成为安全厂商确保网民安全上网的重要发力点和突破点。 万仁国认为,网购支付阶段的安全隐患最多,安全厂商应与第三方支付平台联动,重点防范支付阶段的安全隐患。目前,360网购先赔服务中心正在努力推进同支付宝、易宝支付等支付平台的战略合作,如增强信息联动,共享安全信息,提高电商网站的支付门槛等措施,希望能对问题网站、问题商家早发现、早预防,确保广大网民在安全、放心的网络环境下消费。
责任编辑:陈晨
|