網購和個人隱私泄漏

前天，一個顧客收到自稱「仕族總部」的客服電話，準確報出該顧客在仕族官網的購物金額、所購商品等訂單信息，說有免費貴重贈品送給顧客，僅收取298元運費和手續費。好在仕族的顧客不是市井大媽，沒上當，把情況反饋到了我們。

我們對同時段的顧客抽查回訪，發現其它顧客都沒收到類似的詐騙電話。信息泄密的環節出在哪裡呢？

據我個人研究，顧客信息的泄露，多在電商網站、快遞、顧客本身這三個環節。不過，以下內容，多有主觀不專業之處，歡迎批評指正。

【網站環節】

我曾遇到過向我兜售別家電商網站顧客數據的黑客。借談價之機，學到了一些知識。後來又專門做了功課，開始意識到跟黑客相比，絕大多數網站都不堪一擊。好比街頭的警察崗亭，看起來蠻穩固，是因為沒碰到手持火箭筒的人。

普通電商網站資料庫的安全防範只能說是一般性的。就連大型電商網站的安全防範，也不能抵禦頂級黑客的攻擊。攻防的勝敗取決於雙方的能力水平。說個淺顯道理，年薪百萬的安全技術人員，多半趕不上年入千萬的高級黑客能力強（注意這是一個簡單的比方，具體情況複雜得多，不能這樣概括）。所以，當竊取數據的利益遠高於安全人員的年薪時，自然會有比之水平更高的黑客們去嘗試。這是技術層面的。

有人說，大型電商網站投入巨資購買的設備和技術，難道抵不上黑客一人之力？事實是：越龐大的組織，短板漏洞越多，特別是涉及到「人」的操作，是技術堡壘中最容易攻破的。誇張點說，可能一個實習生接了一個電話，一個不關鍵的信息流出到黑客手中，循著這個小口子，藉助「社會工程學」技巧，黑客就一步一步接近了核心數據。當然如果那個實習生就是黑客本人，事情就更好辦了。——關於安全社會工程學，建議閱讀米特尼克所著《欺騙的藝術》。

建議：註冊電商網站時，個人資料作適當處理，姓名、郵箱、電話、密碼都單獨設置，專用於電商購物，尤其要和支付類信息分開。

【快遞環節】

快遞能夠獲取的不光是面單上的信息。只要詐騙團伙願意出錢，貪圖不法利益的快遞員可以把從紙箱底部把包裹打開，把發貨清單拍照，然後重新封回。尤其是紙箱類包裹，用膠帶重新封裝就可以了，都不用浪費一個新的快遞塑膠袋。

建議：用假名購物和收貨。如果有人自稱某銀行某部門，卻叫不對你的名字，你就知道有詐了。

【顧客環節】

黑客就能知道你很多沒有加密的信息。我可以確定的說：99%的私人電腦中都有病毒或木馬（僅指視窗系統，蘋果系統我不夠了解），黑客知道你太多信息。（對此有質疑的，請將常用的10個工具軟體打包上傳到查毒網站「virustotal.com」和「virscan.org」，查過再說。必須打包上傳，不是僅上傳EXE文件。）

病毒和木馬首先來源於大量的「被破解的收費軟體」或「收費軟體破解器」，沒錯，這些破解軟體不是雷鋒做的，它們主人的名字叫黑客。你沒用過盜版軟體？好樣的，但你一樣逃不過下面兩關。

其次，許多免費軟體，也內置了惡意軟體，搜集您的個人信息用於出售算是好的，它們甚至修改您的電腦——不不不，不一定是彈出廣告。他只要在你的購物鏈接中添上一小串代碼，你買的東西，賣家會給他提成的……這些人可能不是黑客，他們的名字有時候叫做「生活所迫」。

然後，輪到大軟體廠商了。企鵝？X60？……沒錯，他們的內置進程時刻監控著你的電腦。企鵝是超級大廠，它的某些行為和國家安全有關，順帶關注你的生活習慣，不會幹啥出格的事情，裝了就裝了，再說你不用也不行么。X60這麼厲害的軟體我就不敢多說了。值得注意的是，這些軟體，殺毒軟體都不會報毒的，他們互相之間有協議，你敢殺我，我就敢滅你。

類似WinRAR、AcdSEE、HDTunePro、WIN整系統純凈版打包、一鍵克隆軟體這些最常用的各種工具軟體，普遍都加了料，不信我們來試試看：在WINRAR中國總代網軟眾信息winrar.com.cn下載WinRAR 5.10簡體中文版32位版本，然後到著名的兩個查毒網站「virustotal.com」和「virscan.org」查查看，結果如圖，這查出來的可是一堆病毒啊（本文刊出數月後，這些軟體會不會變乾淨有待觀察）。

從官網WinRAR.com下載的英文版查出病毒15個。所以，提供給不同對象，它們可以提供不同版本，我想最安全的應該是提供給政府部門的。

ACDSee 官方免費版 1.0.1.192（更新時間2013-10-10）好點，「virustotal.com」最多時可以查出3個病毒（不排除誤報），因為文件太大，在「virscan.org」不能查，按照我的經驗「virscan.org」常常更嚴格，估計查出幾個不在話下。

最常用的工具軟體都含有病毒或後門，你的安全誰來保證？

個人電腦被黑這事我親身經歷過。一個黑客，通過QQ告訴我正在電腦上做的所有事情，而我的電腦是反覆殺過毒十分「乾淨」的。這事情證明了，一個殺毒軟體根本不夠用，我要裝滿http://virustotal.com集錄的54個殺毒軟體，才能發現大多數病毒。

這些軟體想幹什麼？

1.好點的軟體商，只獲取普遍的用戶電腦使用習慣、生活消費習慣，進行「大數據分析」，自用或賣錢。這個雖然侵犯人權，對電腦用戶個人的實際利益影響不大。

2.差的能力又低點的，篡改上網首頁換取廣告費，篡改購物鏈接獲取銷售推廣提成，偷竊個人信息賣給不良電商甚或詐騙犯也是一種。

3.惡意而又能力高的，除以上外還可以操控你的電腦卸載競爭對手的軟體，利用你的名義發微博支持自己公司，等等等等，可以做太多事情。

嗯，在視窗系統上防範病毒木馬，太難了。

轉載請閱讀右側本專欄說明。

推薦閱讀：