中國互聯網安全大會：網購欺詐成為新興安全威脅

近年來，電子商務的繁盛正在快速改變中國人的消費習慣，據eMarketer報告顯示，2012年中國網購用戶已達2.2億人，成為全球網購人群規模最大的國家，而今年這一數據將增長至2.71億人。與此同時，網購交易中的欺詐犯罪近年來也在急劇上升，人工騙術和技術手段相結合的新型網購欺詐已成為網民線上生活的首要安全威脅。

9月23日下午，在由360公司主辦的中國互聯網安全大會上，360資深安全研究員萬仁國以多個典型的網購案例為線索，揭露了當下在線支付面臨的新興威脅及網購安全的有效防范措施。

睡夢中被盜刷的銀行卡之謎

2013年8月5日，深圳市的淘寶賣家茹女士一覺醒來后，看到手機短信上竟有6條當日凌晨的淘寶付款記錄，從零點40分開始到一點08分之間，自己銀行卡上的1.4萬元居然全部被用來充值繳費和代付轉賬了。

“我明明在睡覺，電腦都關著，怎么會在淘寶上花掉那么多錢？”驚嚇不已的茹女士趕緊打電話報了警，并第一時間聯系360網購先賠服務中心申訴理賠。不過，蹊蹺的是，360的工作人員對她的電腦檢測后并未發現任何釣魚和木馬病毒的痕跡，并懷疑茹女士是否無意間向他人泄露了支付寶賬號和密碼。

可茹女士思來想去，自打開了淘寶店，自己對支付寶賬號尤為謹慎，連老公都沒告訴過，更不可能泄露給別人，“我一定是被人黑了，肯定中病毒了，不然誰的淘寶會自動付款？”隨后，360的工作人員只好聯系支付寶的工作人員進行聯合調查。支付寶方隨后回應稱，原來并非茹女士的電腦出了問題，而是她的手機被騙子中了劫持信息木馬。

據茹女士回憶，前兩天自己確實用手機安裝過一個客戶端，當時是一個買家發來消息說挑了不少她店里的東西，希望茹女士看看寶貝款式、數量后適當給便宜些。隨后，這個買家發來一個二維碼清單讓她掃描查看，茹女士掃描完該二維碼就跳轉到一個分享站，頁面提示要求下載二維碼最新客戶端，等她下載安裝后卻發現并沒有所謂的購物清單，再詢問買家時對方就消失下線了。

事實上，茹女士遭遇了典型的二維碼釣魚欺詐，“她掃描二維碼后跳轉到一個下載頁面，等她安裝完所謂的客戶端后，暗藏的apk木馬文件就成功入侵了她的手機。”360資深安全研究員萬仁國在中國互聯網安全大會的現場向參會人員透露，該木馬能將用戶手機中收到的短信進行轉發，并在用戶手機上做刪除操作，于是神不知鬼不覺中，騙子先通過手機綁定支付寶功能重置密碼竊取到茹女士的支付寶賬號信息，再利用支付寶驗證碼的短信進行了快捷支付操作。茹女士銀卡上的1.4萬元，就是這樣被盜光的。

網購欺詐是互聯網首要安全威脅

360互聯網安全中心發布的2013年二季度“網購先賠服務”報告顯示，二季度360共收到6272例用戶報案，涉案總金額高達710余萬元。總體看來，二季度投訴案例較一季度增長超過6倍，總涉案金額較一季度增長近了18倍，網購欺詐案發率和涉案金額均呈現快速增長的態勢。

萬仁國表示，無論是從統計數據還是實際的案件情況看，近年來互聯網安全威脅已從傳統的掛馬、病毒和漏洞攻擊等形式轉變為以詐騙為主的犯罪形式，黑客攻擊行為不再是單純的“炫技”，而是直接以獲取經濟利益為目的。報告顯示，2013年上半年我國人均網購消費650元，而360公布的2013年二季度網購人均受騙金額為 1133 元，幾乎是人均網購消費的兩倍，網購欺詐的巨大“黑產值”令人錯愕。

從網絡欺詐的手法看，人工欺詐與釣魚、木馬等技術手段相結合的方式占主流。不過，隨著安全產品對木馬病毒、釣魚網站和人工欺詐的防護策略不斷升級，騙子所使用的技術手段和人工騙術也在不斷翻新升級，花樣百出，并有復雜化、隱蔽化、迷惑性增強的發展趨勢。整體看來，網購欺詐的總體風險顯著升高，已成為當下互聯網最首要的新興安全威脅。

揭秘網購欺詐黑產“盈利”之道

在中國互聯網安全大會的“新興安全威脅論壇”上，萬仁國談到新型網購欺詐的黑產生態鏈時指出，正常的購物流程主要包括信息階段和交易階段，其中交易階段是犯罪分子最容易下手套“錢”的環節，信息泄露、釣魚和人工誘導幾乎都發生在這個階段。具體而言，木馬、釣魚和人工欺詐則是新型網購騙局最常見的三類犯罪手段。

（一）劫持信息木馬：技術門檻最高的犯罪手段

雖然近兩年來新增惡意程序和木馬病毒的數量驟減，但網購欺詐中出現的各種劫持信息木馬危害卻不容小覷。目前最常見的網銀劫持和支付劫持木馬，會在網購支付階段，記錄和劫持網民的金融支付操作，在網民執行付款操作時，不法分子會秘密篡改收款人、商品名目、付款金額等網銀訂單信息，或修改付款方式（如將支付寶付款篡改為網銀轉賬），從而給感染木馬者帶來難以預估的風險。

萬仁國表示，劫持信息木馬通常會在真實頁面的上覆蓋一層透明的欺詐頁面，甚至有時需要利用真實的頁面漏洞，才能盜取受害者的網銀賬號密碼、支付驗證碼等重要信息。制作此類木馬的技術門檻較高，加上安全軟件對此類攻擊的打擊、攔截力度大，不法分子的欺詐成本就更高，所以能成功繞過安全軟件對用戶實施攻擊的木馬數量實際上并不多。

（二）“游擊式”釣魚網站：群體性欺詐之源

《2013年第二季度中國個人電腦上網安全報告》顯示，2013年二季度新增釣魚網站同比增長180.9%，取代木馬病毒成為中國互聯網安全最大威脅。目前，70%以上的釣魚網站服務器設在境外，且生命周期極短，呈現“精準定位”、“迅速出擊”、“騙完就閃”等特點，用法律手段來監管和打擊釣魚網站變得十分困難。

然而消費者在網購時，常常在搜索引擎里查詢商品信息，又常用IM工具與商家進行在線溝通，這兩個環節存在的釣魚安全風險最高。假淘寶、假團購、假票務等虛假購物類釣魚網站，最喜利用搜索引擎購買關鍵詞來推廣傳播，其網址、域名又與被模仿的網站極其接近，消費者一不小心就會誤以為是正規電商網站，等發現上當受騙時網頁早已打不開了。而假冒賣家的騙子，常在IM溝通時以改價、交易失敗等借口，發送釣魚鏈接給消費者，辨別能力差的網民們很容易批量“中招兒”。

（三）社會工程學：傳統騙術的互聯網應用

依靠溝通技巧對受害者進行心理攻勢的人工欺詐騙局，在互聯網時代愈加泛濫，其危害性和高危性絕不亞于技術類的攻擊。今年上半年，360發現的“超級網銀”授權支付高危欺詐就屬于純人工詐騙的社會工程學范疇，單筆詐騙金額高達10萬元。

據萬仁國介紹，雖然現在網購人群的基數龐大，但許多消費者對網購流程、交易規則以及網銀操作流程等仍不太熟悉，騙子就會利用這些流程和規則的某些隱晦漏洞實施人工欺詐。比如“授權支付”陷阱中，“授權支付”只是“超級網銀”的跨行交易服務，分屬不同的銀行的兩個賬號，可以用鏈接的方式對另一個賬戶發起在線“授權”，一旦對方允許授權，被授權的一方就可以對授權賬戶進行任意的轉賬操作。為了迷惑受害人，騙子往往將授權支付操作說成是交易異常（如卡單、掉單等）的解鎖操作或是網上分期付款預約操作。對于不熟悉甚至從沒聽說過網銀授權支付業務用戶來說，極易上當受騙。

此外，虛假400電話、兼職刷鉆、為他人付款等流行騙局，也都是利用傳統的人工騙術對網民進行心理進攻的，此類人工欺詐已成為互聯網安全威脅的最大挑戰和難題。

網購安全威脅的未來防范之路

面對當下的網購安全威脅，萬仁國指出，技術手段為輔，人工詐騙為主、技術手段為輔的惡意欺詐形式，給安全軟件的防范工作造成了很大的難度。“網址云安全”等新型互聯網安全技術雖然能在一定程度上與釣魚網站進行技術對抗，但能否在反人工欺詐領域為網民提供大量服務支持，將成為安全廠商確保網民安全上網的重要發力點和突破點。

萬仁國認為，網購支付階段的安全隱患最多，安全廠商應與第三方支付平臺聯動，重點防范支付階段的安全隱患。目前，360網購先賠服務中心正在努力推進同支付寶、易寶支付等支付平臺的戰略合作，如增強信息聯動，共享安全信息，提高電商網站的支付門檻等措施，希望能對問題網站、問題商家早發現、早預防，確保廣大網民在安全、放心的網絡環境下消費。

來源：大眾財經網

　　版權及免責聲明：凡本網所屬版權作品，轉載時須獲得授權并注明來源“中國產業經濟信息網”，違者本網將保留追究其相關法律責任的權力。凡轉載文章，不代表本網觀點和立場。版權事宜請聯系：010-65363056。

延伸閱讀