謹(jǐn)防網(wǎng)絡(luò)購(gòu)物的十大“黑客陷阱”



現(xiàn)如今,網(wǎng)絡(luò)購(gòu)物已經(jīng)悄然成為一種消費(fèi)時(shí)尚。截至到09年6月,我國(guó)網(wǎng)購(gòu)用戶規(guī)模已達(dá)8788萬(wàn),全年網(wǎng)購(gòu)總金額預(yù)計(jì)將達(dá)到2500億元左右。面對(duì)如此大的消費(fèi)市場(chǎng),一些網(wǎng)絡(luò)黑客捕捉到了“商機(jī)”,這些網(wǎng)購(gòu)的不速之客在用戶實(shí)行網(wǎng)購(gòu)的過(guò)程中,挖好了一個(gè)又一個(gè)“技術(shù)”陷阱,大肆騙取用戶錢財(cái)。

  據(jù)金山互聯(lián)網(wǎng)安全專家李鐵軍介紹,網(wǎng)絡(luò)購(gòu)物過(guò)程中的“陷阱”非常多,與一些現(xiàn)實(shí)中傳統(tǒng)的欺詐手法不同,網(wǎng)絡(luò)黑客往往憑借自身掌握的電腦知識(shí),利用一些技術(shù)手段,如利用木馬控制用戶電腦、劫持交易網(wǎng)頁(yè)、網(wǎng)站掛馬等,騙取用戶錢財(cái)。而這些手段和方式,與傳統(tǒng)的欺詐手法相比,更隱蔽,更不容易察覺(jué)。

  為了更好的保障網(wǎng)購(gòu)用戶的財(cái)產(chǎn)安全,12月9日,國(guó)內(nèi)知名的安全廠商金山聯(lián)手傲游瀏覽器、淘寶、支付寶共同推出了國(guó)內(nèi)首個(gè)網(wǎng)購(gòu)安全平臺(tái)。從登陸網(wǎng)頁(yè)、交易、支付等各個(gè)環(huán)節(jié)保障網(wǎng)購(gòu)用戶的購(gòu)物安全。同時(shí),為了讓更多的用戶在網(wǎng)絡(luò)購(gòu)物的過(guò)程中提高警惕,金山互聯(lián)網(wǎng)安全專家李鐵軍針對(duì)網(wǎng)絡(luò)購(gòu)物過(guò)程中的十大“黑客陷阱”進(jìn)行了深入解析。

  陷阱一、中獎(jiǎng)謎局

  中大獎(jiǎng)是網(wǎng)絡(luò)購(gòu)物過(guò)程中最常見的“釣魚”欺詐術(shù)。通常情況下,騙子冒充一些知名大公司的名義,通過(guò)QQ、淘寶旺旺等常用對(duì)話工具向用戶傳播中獎(jiǎng)信息。誘導(dǎo)用戶進(jìn)入相似度非常高的假網(wǎng)頁(yè),進(jìn)而引導(dǎo)用戶輸入網(wǎng)銀的帳號(hào)密碼或向其他指定帳號(hào)匯款,給用戶帶來(lái)經(jīng)濟(jì)上的損失。(圖1)


圖(1)

  案例:

  黃小姐經(jīng)常在淘寶網(wǎng)上購(gòu)物。近日,她像往常一樣看中了一件商品,當(dāng)她點(diǎn)擊該商品后卻出現(xiàn)了一個(gè)中獎(jiǎng)頁(yè)面, 上面寫著:“百萬(wàn)巨獎(jiǎng)樂(lè)翻天———淘寶周年慶典”等字樣,說(shuō)為了慶!疤詫殹背闪6周年,特與三星公司攜手舉辦“六周年慶典百萬(wàn)巨獎(jiǎng)樂(lè)翻天抽獎(jiǎng)活動(dòng)”,系統(tǒng)每日將在淘寶用戶中隨機(jī)抽取3名幸運(yùn)用戶,并稱黃小姐是幸運(yùn)用戶,中了5萬(wàn)元大獎(jiǎng)。同時(shí),網(wǎng)頁(yè)上還顯示了她的獲獎(jiǎng)驗(yàn)證碼,讓她登錄賬號(hào)和驗(yàn)證碼領(lǐng)取獎(jiǎng)品。同時(shí),網(wǎng)頁(yè)上提醒她要妥善保管好自己的驗(yàn)證碼,避免他人盜取冒領(lǐng)。在未收到獎(jiǎng)品之前,請(qǐng)勿登錄淘寶網(wǎng),以免賬號(hào)被盜,導(dǎo)致無(wú)法領(lǐng)到獎(jiǎng)品。

  一切看似都很正常,而黃小姐要想領(lǐng)取5萬(wàn)元大獎(jiǎng),必須先向指定帳戶預(yù)付千元的個(gè)人所的稅。狐貍尾巴終于露出來(lái)了。幸運(yùn)的是,黃小姐電腦中安裝了一個(gè)免費(fèi)的專門針對(duì)此種釣魚網(wǎng)站的安全工具金山網(wǎng)盾,當(dāng)黃小姐打開這個(gè)網(wǎng)頁(yè)的同時(shí),金山網(wǎng)盾提示黃小姐此網(wǎng)頁(yè)為危險(xiǎn)網(wǎng)頁(yè),并進(jìn)行了攔截。

  陷阱二、低價(jià)誘惑

  一件原本萬(wàn)元的產(chǎn)品,現(xiàn)在僅用幾百元就能買到。是不是你也有些心動(dòng)了呢?然而,天下沒(méi)有免費(fèi)的午餐。低價(jià)誘惑正是網(wǎng)絡(luò)購(gòu)物過(guò)程中的又一種常見欺詐形式。騙子先利用低價(jià)吸引用戶進(jìn)入假的釣魚網(wǎng)站,用戶一旦放松警惕,很有可能帶來(lái)財(cái)產(chǎn)損失。

  案例:

  張先生準(zhǔn)備為自己買一個(gè)3G手機(jī),無(wú)奈自己看中的一款產(chǎn)品目前在實(shí)體店中的銷售價(jià)格超出了預(yù)算范圍。于是,張先生準(zhǔn)備在網(wǎng)上看看是否有更便宜的。結(jié)果功夫不付有心人,張先生在一個(gè)論壇中,發(fā)現(xiàn)有人介紹這款手機(jī),而且價(jià)格僅是實(shí)體店中的三分之一,張先生迫不及待地登陸了帖子中提到的網(wǎng)頁(yè),并按照網(wǎng)頁(yè)上的提示完成了購(gòu)買,并向頁(yè)面上指定的帳戶匯了錢。結(jié)果,兩周過(guò)去了,張先生依然沒(méi)有是收到手機(jī),而再次登陸該網(wǎng)頁(yè)的時(shí)候,已經(jīng)無(wú)法打開。

  陷阱三、搜索欺詐

  用戶在網(wǎng)絡(luò)購(gòu)物的過(guò)程中,必不可少的要使用到搜索引擎。通過(guò)搜索引擎搜索商品,搜索自己想進(jìn)入的網(wǎng)址。以網(wǎng)絡(luò)銀行為例,大部分用戶可能并不能直接輸入某個(gè)網(wǎng)銀的地址,而必須要借助搜索引擎來(lái)進(jìn)行搜索,在這個(gè)過(guò)程中,黑客可通過(guò)制作假網(wǎng)站的方法,設(shè)計(jì)一個(gè)與真的網(wǎng)銀網(wǎng)頁(yè)同樣的網(wǎng)站,用戶一但誤進(jìn)入這個(gè)網(wǎng)頁(yè),黑客即將離開展開行騙,通過(guò)誘惑用戶輸入帳號(hào)和密碼等方式騙取用戶錢財(cái)。圖(2)


圖(2)

  案例:

  李女士在一次網(wǎng)絡(luò)購(gòu)物的過(guò)程中遇到了“李鬼”。李女士想通過(guò)網(wǎng)絡(luò)購(gòu)買一臺(tái)豆?jié){機(jī),已經(jīng)跟賣家談好價(jià)格,只需要通過(guò)電子銀行匯款后等待賣家發(fā)貨。由于不經(jīng)常使用網(wǎng)絡(luò)銀行,李女士并不記得具體的網(wǎng)址,只有借助搜索引擎。于是,通過(guò)搜索李女士很順利的進(jìn)入了該銀行網(wǎng)頁(yè)。而在交易過(guò)程中,李女士不經(jīng)意間看了一下網(wǎng)址,結(jié)果發(fā)現(xiàn)本來(lái)應(yīng)該是http://www.icbc.com.cn/icbc/卻變成了http://www.1cbc.com.cn/1cbc/,李女士慶幸還沒(méi)有匯款,立刻關(guān)閉了該網(wǎng)頁(yè)。

  陷阱四、網(wǎng)頁(yè)劫持

  如果用戶知道網(wǎng)上銀行的地址,就可以自己在瀏覽器中輸入該地址,但是在登錄過(guò)程中黑客借助用戶電腦中已植入的木馬,可對(duì)瀏覽器進(jìn)行HOSTS跳轉(zhuǎn)控制,將用戶引導(dǎo)到精心制作的假網(wǎng)站,記錄用戶的帳戶信息。另外,黑客還可利用某些系統(tǒng)安全漏洞進(jìn)行攻擊的腳本木馬,嵌入到網(wǎng)頁(yè)中。如果來(lái)訪電腦存在這些安全漏洞,腳本木馬就能攻入電腦,下載鍵盤記錄器和屏幕記錄器。

  案例:

  王小姐是一個(gè)網(wǎng)絡(luò)銀行的擁護(hù)者,自從有了網(wǎng)絡(luò)銀行,王小姐覺(jué)得給自己的生活帶來(lái)的諸多方便。不過(guò)前幾天,王小姐遇到了一件奇怪的事情。王小姐準(zhǔn)備通過(guò)網(wǎng)絡(luò)銀行交一下房貸,在通過(guò)瀏覽器輸入了網(wǎng)絡(luò)銀行的網(wǎng)址后,按回車鍵進(jìn)入了網(wǎng)絡(luò)銀行頁(yè)面,一切都沒(méi)有什么不同,而細(xì)心的王小姐發(fā)現(xiàn)在打開網(wǎng)頁(yè)的一瞬間,網(wǎng)址欄中顯示的地址已經(jīng)不再是自己輸入的地址,而是換成了另外一個(gè)地址。王小姐很奇怪,于是播打了金山毒霸的客服電話,金山毒霸反病毒專家經(jīng)過(guò)對(duì)問(wèn)題的分析,最后確認(rèn)王小姐的電腦被植入了木馬病毒,并對(duì)瀏覽器進(jìn)行HOSTS跳轉(zhuǎn)控制。當(dāng)王小姐輸入指定網(wǎng)址,打開網(wǎng)頁(yè)的過(guò)程中,已經(jīng)自動(dòng)跳轉(zhuǎn)到另一個(gè)網(wǎng)頁(yè)。

陷阱五、調(diào)包網(wǎng)址

  在挑選商品時(shí),用戶通常會(huì)向賣家咨詢商品更多的信息,或者討價(jià)還價(jià),在這個(gè)環(huán)節(jié)中用戶需要特別留意賣家發(fā)給我們的鏈接頁(yè)面是否正常。金山毒霸互聯(lián)網(wǎng)工作室已發(fā)現(xiàn),一些黑客會(huì)利用真實(shí)的網(wǎng)店商品與顧客討價(jià)還價(jià),卻將偽造的釣魚頁(yè)面鏈接發(fā)給買家,誘使買家在釣魚頁(yè)面購(gòu)買,以便套取買家的帳號(hào)信息。圖(3)

  案例:
  小濤想在網(wǎng)上購(gòu)買一張價(jià)值100元的手機(jī)充值卡,拍下之后付款到賣家的支付寶,賣家叫小濤登錄某網(wǎng)站,用網(wǎng)銀匯款0.1元到他的賬戶里,說(shuō)是用來(lái)提取單號(hào),通過(guò)單號(hào)來(lái)提取充值卡卡密。小濤心想:既然都付了100元錢到支付寶上了,也不在乎那0.1元了。于是按提示支付,可多次出現(xiàn)超時(shí)問(wèn)題,當(dāng)初以為是電腦瀏覽器問(wèn)題,于是和淘寶上那位賣充值卡的賣家說(shuō),讓他的“技術(shù)人員”加小濤QQ,加了后,一番交談,小濤進(jìn)入了“技術(shù)人員”所提供的支付網(wǎng)站,登錄網(wǎng)站后,在付款的前一刻,支付金額清清楚楚寫著“0.10元”,按了付款后,一分鐘內(nèi),手機(jī)收到銀行的短信,內(nèi)容說(shuō)“銀行支出10000元”!


  陷阱六、支付欺詐

  當(dāng)選中商品后就需要登錄網(wǎng)銀,在這個(gè)階段,最有可能遭遇的是黑客利用木馬進(jìn)行的鍵盤記錄和屏幕記錄,鍵盤記錄能幫助黑客獲得用戶的登錄帳號(hào),屏幕記錄則能將用戶的每一步操作都記錄下來(lái),為黑客提供“教程”。另外,在用戶通過(guò)IE成功登錄網(wǎng)銀后,一些“潛伏”在用戶電腦中的病毒開始操控用戶,如在用戶匯錢、轉(zhuǎn)帳時(shí)修改匯錢對(duì)象的帳號(hào)、姓名、金額等。

  案例:
  自己的電腦完全在別人的控制之中,而這個(gè)人又看不到,摸不著,想一想都讓人害怕。而近日,小張就遇到了類似的情形。小張?jiān)谝淮尉W(wǎng)絡(luò)購(gòu)物的過(guò)程中,突然發(fā)現(xiàn)自己的電腦鼠標(biāo)自己開始移動(dòng),并開始進(jìn)行交易操作,擁有幾年互聯(lián)網(wǎng)使用經(jīng)歷的小張還是第一次遇到這個(gè)事情。情急之下,小張立刻拔掉了網(wǎng)線,切斷了網(wǎng)絡(luò)。后經(jīng)過(guò)確認(rèn),原來(lái)小張的電腦里隱藏了一個(gè)灰鴿子木馬。小張的一舉一動(dòng)都在別人的監(jiān)控之下。

  陷阱七、真假交易

  偽造網(wǎng)絡(luò)店鋪和商品頁(yè)面,偽裝成賣家實(shí)施詐騙。通過(guò)偽造店鋪和商品頁(yè)面,并偽裝成賣家,利用交易中的留言或IM聊天工具、郵件等方式散發(fā)釣魚網(wǎng)站并用各種理由騙取買家點(diǎn)擊進(jìn)行詐騙。

  案例:
  網(wǎng)友小劉前幾天在網(wǎng)上買了一雙鞋,結(jié)果2周過(guò)去了,還沒(méi)手收到鞋。而最讓小劉鬧心的是,購(gòu)買過(guò)程中,賣家稱小劉購(gòu)買的款賣的特別快,剛好沒(méi)貨了,需要臨時(shí)去調(diào)貨,但需要小劉先匯下款,由于該賣家頁(yè)面上顯示的信譽(yù)度非常高,所以小劉也沒(méi)加思索,匯了款;叵肫鹫麄(gè)交易過(guò)程,小劉發(fā)現(xiàn),他并不是在淘寶上登陸此店鋪,而是在一個(gè)交易留言中登陸了該鏈接,也正式因?yàn)檫@樣,小劉才誤入了騙子的陷阱,做一一筆根本不存在的買賣。

  陷阱八、掛馬網(wǎng)頁(yè)

  欺詐類的網(wǎng)絡(luò)釣魚嚴(yán)重威脅著網(wǎng)銀用戶的帳戶安全,但在黑客為了經(jīng)濟(jì)利益越來(lái)越殺紅了眼的時(shí)候,網(wǎng)絡(luò)釣魚還和掛馬網(wǎng)站相互勾結(jié),以掛馬網(wǎng)站導(dǎo)致用戶中毒,木馬批量盜號(hào)最后針對(duì)性釣魚的方法,讓用戶防不勝防。

  案例:
  已有四年網(wǎng)上銀行使用心得的用戶孫先生講述了自己的一段經(jīng)歷。作為淘寶的資深賣家,孫先生對(duì)騙子的伎倆還算比較熟悉,前段時(shí)間,一個(gè)陌生人通過(guò)旺旺詢問(wèn)孫先生是否以卡號(hào)為*****的帳戶向他多匯入了一萬(wàn)多的貨款,因?yàn)樵撃吧藴?zhǔn)確的說(shuō)出了孫先生的帳戶信息,孫先生還是登錄了自己的網(wǎng)銀查看是否有這筆交易。

  就在孫先生查看帳戶發(fā)現(xiàn)并沒(méi)有這次交易之后,該陌生人還反復(fù)讓孫先生確認(rèn)是否多支付了貨款。第二天,讓孫先生奇怪的事情發(fā)生了,自己的網(wǎng)銀帳戶上只剩下了50多元錢,交易記錄中顯示著孫先生有一萬(wàn)多元的“金買”交易,孫先生很快撥打了銀行的客服熱線,賣掉了帳戶里購(gòu)買的紙黃金,“丟失”的錢回來(lái)了,只損失了200多塊錢的孫先生感到自己還算幸運(yùn)。

  盡管“丟失”的錢已經(jīng)找了回來(lái),不過(guò)孫先生還是對(duì)這次離奇的經(jīng)歷不得其解。了解到孫先生的遭遇后,金山毒霸互聯(lián)網(wǎng)工作室的工程師對(duì)這一事件做出了解釋:這一事件的關(guān)鍵是,旺旺聊天工具中的陌生人掌握了孫先生的帳戶號(hào)碼和姓名,換取了孫先生的信任。事實(shí)上,這是孫先生訪問(wèn)掛馬網(wǎng)站后中毒,銀行帳號(hào)等個(gè)人信息被盜,但因?yàn)閷O先生有口令卡或U盾,而孫先生在此受監(jiān)視過(guò)程中并未使用U盾或口令卡,導(dǎo)致對(duì)方無(wú)法將錢轉(zhuǎn)出,只能登錄用戶的銀行帳號(hào)將錢購(gòu)買為紙黃金或是通過(guò)E轉(zhuǎn)轉(zhuǎn)到支付卡(帳號(hào)內(nèi)部操作不需要U盾或動(dòng)態(tài)口令),此時(shí)用戶的帳號(hào)余額變少,但沒(méi)有實(shí)際損失。

  陷阱九、電子郵件圈套

  發(fā)送電子郵件,以虛假信息引誘用戶中圈套。不法分子大量發(fā)送欺詐性電子郵件,郵件多以中獎(jiǎng)、顧問(wèn)、對(duì)賬等內(nèi)容引誘用戶在郵件中填入金融賬號(hào)和密碼,或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁(yè)提交用戶名、密碼、身份證號(hào)、信用卡號(hào)等信息,繼而盜竊用戶資金。

  案例:

  前幾天,王小姐收到一封電子郵件,發(fā)現(xiàn)是一個(gè)化妝品店發(fā)來(lái)了,稱可以幫忙從國(guó)外帶各種化妝品。王小姐正好在計(jì)劃給自己購(gòu)買一款化妝品,于是就跟對(duì)方取得了聯(lián)系,經(jīng)過(guò)一翻交涉,對(duì)方同意以比較低的價(jià)格幫王小姐購(gòu)買化妝品,但需要王小姐先預(yù)付一半的費(fèi)用作為訂金,王小姐覺(jué)得這筆買賣很劃算,結(jié)果立刻給匯了款,匯款后王小姐就覺(jué)得不對(duì)勁,再一看,剛剛聊天的QQ頭像已經(jīng)變成了灰色,而且再也沒(méi)有回應(yīng)。

  陷阱十、肉雞交易

  網(wǎng)購(gòu)者通過(guò)瀏覽掛馬網(wǎng)站或下載軟件的過(guò)程中中了木馬,電腦淪為肉雞,該木馬可將擁護(hù)的銀行帳號(hào)和密碼盜取,但由于需要口令卡,一旦用戶有交易行為,通過(guò)設(shè)置假的銀行升級(jí)窗口,引導(dǎo)用戶輸入口令卡密碼,進(jìn)而轉(zhuǎn)移用戶錢財(cái)。

  案例:

  四川的楊女士要買個(gè)煮蛋器,在使用支付寶支付時(shí),突然彈出個(gè)農(nóng)業(yè)銀行的升級(jí)提示,要求輸入動(dòng)態(tài)口令卡密碼,楊女士一時(shí)沒(méi)留意就按提示輸入了,還輸入了兩次。但依然顯示支付失敗。后來(lái)?xiàng)钆咳ド虉?chǎng)購(gòu)物刷卡才知道,農(nóng)行卡內(nèi)的錢被盜走四千多元,只剩下幾元余額。

接  到楊女士求助的互聯(lián)網(wǎng)工作室對(duì)這一事件進(jìn)行了分析,首先楊女士因?yàn)椴患皶r(shí)更新殺毒軟件病毒庫(kù),導(dǎo)致楊女士訪問(wèn)了掛馬網(wǎng)站或者通過(guò)下載軟件中了木馬,該木馬將用戶的銀行賬號(hào)和密碼盜取,但由于需要口令卡,所以和孫先生的經(jīng)歷一樣,楊女士帳戶里的錢此時(shí)不會(huì)真正被盜。

  很快,“駐扎”在楊女士電腦系統(tǒng)中的木馬監(jiān)控到楊女士有支付行為,遠(yuǎn)程通知黑客“肉雞上線了”,而黑客通過(guò)預(yù)先已經(jīng)盜取的帳號(hào)和密碼迅速登錄網(wǎng)銀發(fā)起轉(zhuǎn)賬交易,同時(shí)將轉(zhuǎn)帳需要的口令卡的坐標(biāo)位置通過(guò)遠(yuǎn)控木馬發(fā)送到用戶端,此時(shí)楊女士的電腦上彈出了銀行升級(jí)的窗口,要求用戶填寫口令卡密碼,楊女士輸入后,黑客立即獲取到,轉(zhuǎn)賬交易成功。楊女士的錢就這樣被黑客盜走了。

  在金山毒霸工程師的分析下,楊女士終于明白了帳戶丟失的其中奧秘。盡管和孫先生相比楊女士的遭遇實(shí)屬不幸,但事后,楊女士還是表示,如果自己有豐富的安全經(jīng)驗(yàn),也不會(huì)被騙子“俘獲”,今后會(huì)養(yǎng)成實(shí)時(shí)更新殺毒軟件病毒庫(kù)、定期對(duì)系統(tǒng)進(jìn)行全盤掃描的好習(xí)慣。

  在整個(gè)網(wǎng)絡(luò)購(gòu)物的過(guò)程中,欺詐的手段千奇百怪,陷阱也絕不僅這十個(gè),騙子們經(jīng)常將一些欺詐手法,交叉使用,讓網(wǎng)購(gòu)者更是防不勝防。面對(duì)林林總總的欺詐手段,金山毒霸安全專家建議廣大網(wǎng)購(gòu)用戶從以下幾個(gè)方面做好防范工作:

  網(wǎng)購(gòu)過(guò)程中一定要提高自身的網(wǎng)絡(luò)安全意識(shí)。一旦遇到需要輸入帳號(hào)、密碼的環(huán)節(jié),交易前一定要仔細(xì)核實(shí)網(wǎng)址是否準(zhǔn)確無(wú)誤,再進(jìn)行填寫。

  目前網(wǎng)絡(luò)釣魚已經(jīng)成為網(wǎng)絡(luò)購(gòu)物的主要威脅之一。因此防止網(wǎng)絡(luò)釣魚對(duì)于網(wǎng)購(gòu)安全來(lái)講非常重要。專家建議廣大網(wǎng)購(gòu)用戶安裝免費(fèi)的防網(wǎng)絡(luò)釣魚工具金山網(wǎng)盾(http://www.skycn.com/soft/51829.html),有效防止各類網(wǎng)絡(luò)釣魚、欺詐行為。

  安裝專業(yè)的殺毒軟件如金山毒霸,全面防護(hù)電腦安全,遠(yuǎn)離病毒、木馬攻擊。

北大青鳥網(wǎng)上報(bào)名
北大青鳥招生簡(jiǎn)章