標籤:

網購和個人隱私泄漏

前天,一個顧客收到自稱「仕族總部」的客服電話,準確報出該顧客在仕族官網的購物金額、所購商品等訂單信息,說有免費貴重贈品送給顧客,僅收取298元運費和手續費。好在仕族的顧客不是市井大媽,沒上當,把情況反饋到了我們。

我們對同時段的顧客抽查回訪,發現其它顧客都沒收到類似的詐騙電話。信息泄密的環節出在哪裡呢?

據我個人研究,顧客信息的泄露,多在電商網站、快遞、顧客本身這三個環節。不過,以下內容,多有主觀不專業之處,歡迎批評指正。

【網站環節

我曾遇到過向我兜售別家電商網站顧客數據的黑客。借談價之機,學到了一些知識。後來又專門做了功課,開始意識到跟黑客相比,絕大多數網站都不堪一擊。好比街頭的警察崗亭,看起來蠻穩固,是因為沒碰到手持火箭筒的人。

普通電商網站資料庫的安全防範只能說是一般性的。就連大型電商網站的安全防範,也不能抵禦頂級黑客的攻擊。攻防的勝敗取決於雙方的能力水平。說個淺顯道理,年薪百萬的安全技術人員,多半趕不上年入千萬的高級黑客能力強(注意這是一個簡單的比方,具體情況複雜得多,不能這樣概括)。所以,當竊取數據的利益遠高於安全人員的年薪時,自然會有比之水平更高的黑客們去嘗試。這是技術層面的。

有人說,大型電商網站投入巨資購買的設備和技術,難道抵不上黑客一人之力?事實是:越龐大的組織,短板漏洞越多,特別是涉及到「人」的操作,是技術堡壘中最容易攻破的誇張點說,可能一個實習生接了一個電話,一個不關鍵的信息流出到黑客手中,循著這個小口子,藉助「社會工程學」技巧,黑客就一步一步接近了核心數據。當然如果那個實習生就是黑客本人,事情就更好辦了。——關於安全社會工程學,建議閱讀米特尼克所著《欺騙的藝術》。

建議:註冊電商網站時,個人資料作適當處理,姓名、郵箱、電話、密碼都單獨設置,專用於電商購物,尤其要和支付類信息分開。

【快遞環節

快遞能夠獲取的不光是面單上的信息。只要詐騙團伙願意出錢,貪圖不法利益的快遞員可以把從紙箱底部把包裹打開,把發貨清單拍照,然後重新封回。尤其是紙箱類包裹,用膠帶重新封裝就可以了,都不用浪費一個新的快遞塑膠袋。

建議:用假名購物和收貨。如果有人自稱某銀行某部門,卻叫不對你的名字,你就知道有詐了。

【顧客環節】

黑客就能知道你很多沒有加密的信息。我可以確定的說:99%的私人電腦中都有病毒或木馬(僅指視窗系統,蘋果系統我不夠了解),黑客知道你太多信息。(對此有質疑的,請將常用的10個工具軟體打包上傳到查毒網站「virustotal.com」和「virscan.org」,查過再說。必須打包上傳,不是僅上傳EXE文件。)

病毒和木馬首先來源於大量的「被破解的收費軟體」或「收費軟體破解器」,沒錯,這些破解軟體不是雷鋒做的,它們主人的名字叫黑客。你沒用過盜版軟體?好樣的,但你一樣逃不過下面兩關。

其次,許多免費軟體,也內置了惡意軟體,搜集您的個人信息用於出售算是好的,它們甚至修改您的電腦——不不不,不一定是彈出廣告。他只要在你的購物鏈接中添上一小串代碼,你買的東西,賣家會給他提成的……這些人可能不是黑客,他們的名字有時候叫做「生活所迫」。

然後,輪到大軟體廠商了。企鵝?X60?……沒錯,他們的內置進程時刻監控著你的電腦。企鵝是超級大廠,它的某些行為和國家安全有關,順帶關注你的生活習慣,不會幹啥出格的事情,裝了就裝了,再說你不用也不行么。X60這麼厲害的軟體我就不敢多說了。值得注意的是,這些軟體,殺毒軟體都不會報毒的,他們互相之間有協議,你敢殺我,我就敢滅你。

類似WinRAR、AcdSEE、HDTunePro、WIN整系統純凈版打包、一鍵克隆軟體這些最常用的各種工具軟體,普遍都加了料,不信我們來試試看:在WINRAR中國總代網軟眾信息winrar.com.cn下載WinRAR 5.10簡體中文版32位版本,然後到著名的兩個查毒網站「virustotal.com」和「virscan.org」查查看,結果如圖,這查出來的可是一堆病毒啊(本文刊出數月後,這些軟體會不會變乾淨有待觀察)。

從官網WinRAR.com下載的英文版查出病毒15個。所以,提供給不同對象,它們可以提供不同版本,我想最安全的應該是提供給政府部門的。

ACDSee 官方免費版 1.0.1.192(更新時間2013-10-10)好點,「virustotal.com」最多時可以查出3個病毒(不排除誤報),因為文件太大,在「virscan.org」不能查,按照我的經驗「virscan.org」常常更嚴格,估計查出幾個不在話下。

最常用的工具軟體都含有病毒或後門,你的安全誰來保證?

個人電腦被黑這事我親身經歷過。一個黑客,通過QQ告訴我正在電腦上做的所有事情,而我的電腦是反覆殺過毒十分「乾淨」的。這事情證明了,一個殺毒軟體根本不夠用,我要裝滿virustotal.com集錄的54個殺毒軟體,才能發現大多數病毒。

這些軟體想幹什麼?

1.好點的軟體商,只獲取普遍的用戶電腦使用習慣、生活消費習慣,進行「大數據分析」,自用或賣錢。這個雖然侵犯人權,對電腦用戶個人的實際利益影響不大。

2.差的能力又低點的,篡改上網首頁換取廣告費,篡改購物鏈接獲取銷售推廣提成,偷竊個人信息賣給不良電商甚或詐騙犯也是一種。

3.惡意而又能力高的,除以上外還可以操控你的電腦卸載競爭對手的軟體,利用你的名義發微博支持自己公司,等等等等,可以做太多事情。

嗯,在視窗系統上防範病毒木馬,太難了。

轉載請閱讀右側本專欄說明。


推薦閱讀:

生活小用品(二)
很多原裝進口的冰酒在專業 B2C 網站上一兩百的可以賣到六七千瓶,怎麼回事?
在國外購物受到不負責任的服務應該怎麼做?
網購中如何準確選擇適合自己的尺碼?

TAG:网上购物 |