聖誕節專題 | 躲得過初一、躲得過十五,卻躲不過Cyber Monday!
「聖誕老人鬍子」背後的危機
「聖誕老人」的鬍子咱們都見過,白色嘛!看起來是一種純凈、純真的顏色,但是,網路犯罪分子們卻正在試圖利用這種「純真」,對享受聖誕假期的網路購物者們實施網路欺詐行為。
近日,來自Check Point的研究人員就發現,網路犯罪分子正在通過廣受歡迎的AliExpress(速賣通)購物門戶試圖欺騙網路購物者。據悉,該網站在全球擁有超過1億名用戶,收入高達230億美元,是全球最受歡迎的網上購物門戶之一。
安全研究人員發現,該漏洞屬於開放式重新導向(open redirect)漏洞,可幫助攻擊者向購物者展示「優惠券」,以騙取敏感數據。試問,有一張「滿199減100」的優惠券,還是平台推送,你會點擊嗎?
相信很多「剁手黨」會和小編一樣,當看到平台推送的「搶券」信息,會毫不猶豫的打開。但是不得不說,有些「優惠券」真的是有毒的,比如,AliExpress平台上發現的這個。
受害者一旦點擊領取「優惠券」,便會執行包含惡意Java代碼的AliExpress網頁鏈接,桌面會跳出「假優惠券」的視窗來要求客戶提供信用卡數據。而背後的攻擊者則控制了這個假視窗,使得信用卡數據直接送給攻擊者而非購物網站。對,你就這樣被「釣魚」了,如果你的信用卡能透支1個億,後果真是不敢想像…….
根據最新的調查報告顯示,自2016年以來,針對網路零售商的網路攻擊已經增加了一倍,購物者應該意識到:「聖誕老人的鬍子」可能並沒有看起來那麼純凈美好,在任何網站上進行購物時都應該保持警惕。
你在盯著打折促銷,犯罪分子卻在盯著你
說到網購節,中國有「雙11」、「618」……美國也有「Cyber Monday」。Cyber Monday是最近幾年來,隨著網路購物日漸普及之後,逐漸流行起來的一個名詞。
其中「Monday」,指感恩節假期之後的第一個上班日,禮拜一。至於「Cyber」,其實就是網路購物的意思啦。「Cyber Monday」,就是感恩節假期之後的第一個上班日也是黑五之後的星期一,在美國標誌著感恩節至聖誕節之間網路購物旺季的開始!!!
根據調查數據顯示,2016年的「Cyber Monday」創造了美國電商歷史上的最大網購日,網路消費達到33.9億美元,今年預計這一數字會更大!但是,事情永遠不會這麼簡單、美好,另有數據顯示,「Cyber Monday」期間針對消費者的惡意攻擊行為增長了40%。
為了幫助消費者更為直觀地了解自己在網購過程中可能面臨的風險,OpenVPN公司最新發布了一份分析報告,直觀地展示了2016年「Cyber Monday」期間受災最嚴重的10個州的情況,其中包括受損金額、受害者人數以及受害最嚴重的消費者的性別及年齡等信息。
報告指出,就性別而言,在受災最嚴重的案件中男性所佔比例比女性多75%,這可能是因為男性在網購中花費的更多。此外,報告還發現,就年齡而言,50歲以上的人群更容易成為網路攻擊的受害者。
根據聯邦調查局IC3和CSN報告資料庫的數據顯示,以下是2016年遭受網路犯罪攻擊最嚴重的10個州:
1. 加利福尼亞州
網路犯罪損失:255,181,657美元;
受害人數:47,077;
受災最嚴重的消費者性別:男;
受災最嚴重的消費者年齡:40-49;
2. 佛羅里達州
網路犯罪損失:88,841,178美元;
受害人數:324,569;
受災最嚴重的消費者性別:女;
受災最嚴重的消費者年齡:60+;
3. 內華達州
網路犯罪損失:15,246,405美元;
受害人數:33,404;
受災最嚴重的消費者性別:女;
受災最嚴重的消費者年齡:40-49;
4. 德克薩斯州
網路犯罪損失:77,135,765美元;
受害人數:320,002;
受災最嚴重的消費者性別:男;
受災最嚴重的消費者年齡:30-39;
5. 新墨西哥州
網路犯罪損失:870,165美元;
受害人數:17,618;
受災最嚴重的消費者性別:男;
受災最嚴重的消費者年齡:60+;
6. 紐約
網路犯罪損失:106,225,695美元;
受害人數:148,637;
受災最嚴重的消費者性別:男;
受災最嚴重的消費者年齡:30-39;
7. 亞利桑那州(7、8並列)
網路犯罪損失:20,567,423美元;
受害人數:60,625;
受災最嚴重的消費者性別:男;
受災最嚴重的消費者年齡:60+;
8. 弗吉尼亞州
網路犯罪損失:49,175,677美元;
受害人數:75,831;
受災最嚴重的消費者性別:女;
受災最嚴重的消費者年齡:50-59;
9. 科羅拉多州
網路犯罪損失:30,893,224美元;
受害人數:46,795;
受災最嚴重的消費者性別:男;
受災最嚴重的消費者年齡:50-59;
10. 華盛頓
網路犯罪損失:25,728,634美元;
受害人數:55,607;
受災最嚴重的消費者性別:男;
受災最嚴重的消費者年齡:60+;
網購欺詐類型介紹
隨著電商收益增加,欺詐案例數目和電商交易欺詐比例也在飛速提高。欺詐類型不僅僅只是信用卡支付欺詐。犯罪分子變得更加狡猾,他們使用盜竊來的銀行賬號信息,通過手機、平板和電腦上的惡意軟體登錄網上銀行,進行欺詐性支付。
尼爾森(全球市場調研公司)採訪了6個國家不同行業的274位企業家,總結出以下幾種主要的欺詐類型:
1. 身份盜竊
電商中最常見的欺詐類型是身份盜竊(比例佔71%)、「網路釣魚」(66%)、和賬號盜竊(63%)。信用卡是主要盜竊目標,因為騙子進行無卡交易非常方便。傳統的身份盜用案例中,騙子的目標就是用另一個身份進行交易。與其自己創建一個新的身份,直接盜用他人身份信息更簡單迅速。
騙子通過獲取姓名、地址和郵箱、以及信用卡賬戶信息來盜取他人身份。用別人姓名和信用卡賬號在網上下單購物。「網路釣魚」就是用欺詐網站、郵件或簡訊騙取個人信息。另一種詐騙手段是網址嫁接,當消費者點擊一個網站時,會直接被導入到另一個欺詐網站上。通常,這些盜用的身份信息都是用來進行欺詐性交易——大部分情況下,賬號中的支付信息已經被盜走。
2. 友善欺詐(Friendly Fraud)
這種欺詐方式並不像聽起來那麼友善。消費者在網上訂購產品或服務,用信用卡或借記卡付款。然後聲稱信用卡賬戶信息被盜竊,要求退款。他們獲得了退款,但是也保留了商品或服務。這種盜竊方式多發於服務行業,比如賭博。
友善欺詐也經常與再發貨連在一起。騙子用盜來的支付信息付款,但是又不想貨物直接送到自己的家庭地址。相反,他們通過盜用信息下單,然後由中間人(信息被盜用者)退貨給騙子。
3. 聯屬欺詐
Affiliate Program,是一種國外流行的互聯網營銷模式。聯屬欺詐有兩種表現形式,都是為了同一個目標:聯屬(affiliate program)會員通過製造虛假訪客量和註冊數據來騙取非法傭金。
4. 三邊欺詐
三邊欺詐是通過三點來實施的:第一點,註冊虛假網店,低價提供高需求商品,還有其它一些其他吸引人的條件,比如下單後立即發貨。這個網店用來收集消費者地址和信用卡數據——這是它唯一的目的;第二點,利用從別處盜來的信用卡數據和客戶名稱去真正的網店下單,然後把收貨地址填在自己假網店下單的客戶地址;第三點,再用假網店盜取的信用卡賬號購買其他產品。這樣,訂單信息和信用卡賬戶之間很難追查到有什麼聯繫,從而導致欺詐難以發現,容易給賣家造成較大損失。
5. 商家欺詐
商家欺詐很簡單:產品標價很低,但是收到付款後不會發貨。這種欺詐類型也存在於批發商中。沒有具體針對哪種付款方式,但肯定是屬於買方無法申請自動退款的類型。
6. 跨境交易欺詐
跨境交易欺詐預防最大的挑戰,就是缺乏統一的市場交易規範機制。跨境交易量不斷增加,也給欺詐預防帶來很大困難。各國的欺詐預防工具也有很大差異。語言障礙,以及將貨物跨境發往單一客人的複雜流程,都讓跨境交易欺詐更加難以防範。
7. 不同銷售平台欺詐
欺詐方式根據銷售渠道進行變化,而很多企業都在努力實現多渠道銷售讓欺詐預防難度更大。通過第三方平台進行的欺詐交易,比較容易成功,因為人們的防範心理很輕;接著是移動端交易和自主站交易。
假日購物安全指南
未來,網上購物預計還會呈現持續增長的趨勢,人們越來越習慣通過筆記本電腦、台式機、手機或是平板電腦來完成購物需求,但是,我們應該如何確保敏感信息的安全呢?
接下來,小編就為大家總結6條安全小貼士,希望可以幫助大家保障自身在線消費行為安全:
1. 請留意您的瀏覽器鏈接地址
你每次上網的時候,瀏覽器的頂部欄中都會有一個網址,它既能夠告知你在互聯網中的位置,又能夠很好地提示你所在網站的合法性。所以,網購時一定要留意網店的網址信息,留意是否存在「釣魚站點」的情況,特別是一些虛假的淘寶店鋪、拍拍商鋪等,域名中或許存在「taobao」、「paipai」字樣,但實卻為釣魚站點。所以,我們需要在瀏覽過程中重點關注和仔細留意。
此外,對於消費目的,和其他一些涉及個人信息的事情,你需要確保其網址是以HTTPS開頭的,「S」表示它是一個安全的鏈接,任何想要與你產生交易行為的網站都應該有它。
2. 小心電子郵件交易
一般來說,網購者的收件箱中經常會收到許多數字廣告,如果這些廣告是來自你經常光顧的店鋪的話,那麼它們大多數是合法的。你需要謹慎對待的是那些來自你不熟悉的店鋪的廣告,或是那些看起來好的難以置信的廣告和店鋪/產品信息(就像上文提到的速賣通優惠券的事情)。
檢查網路釣魚電子郵件是一件比較困難的事情,消費者需要對「網路釣魚」和「社會工程」等攻擊手段具備一定程度的了解,加強自身安全意識。
3. 不要使用公共WiFi購物
公共WiFi很便利,但是它卻並不安全,你不知道誰才是網路背後的操縱者,他們可能會做些什麼,亦或者他們具備什麼能力—也許他們正在等待竊取你的信用卡信息……
如果你想要進行任何涉及金錢的交易行為,請盡量利用自家網路進行,且需要確保你的家庭網路是安全的——一個能夠公開訪問的WiFi網路存在非常嚴重的安全風險。
4. 使用密碼管理器
設置複雜強大的密碼是非常必要的,但是如果你把它們輸入到被間諜軟體感染的設備中,即便是再高強的密碼也存在被盜的風險。通過使用密碼管理應用程序可以進一步增強安全性。
該應用程序不僅可以讓你只需輕鬆一點就能夠登錄網站,還可以生成非常安全的隨機密碼,你所需要做的就是使用一個主密碼來解鎖該應用程序,讓它來為你完成所有辛苦的工作。而且,由於你沒有手動輸入密碼,所以被盜的風險也隨之降低很多。
5. 及時更新你的設備和殺毒軟體
沒人喜歡「軟體更新」的安全提示:它們會打斷我們正在進行的事情(如遊戲、視頻),還需要花費很長時間來進行安裝配置,但這並不意味著它們是不必要的。
對操作系統進行更新可以修補很多安全漏洞,而如果沒有更新病毒庫,防病毒軟體也就不復存在任何意義。如果你是那種每次看到「程序更新」提示都自動忽略的人,建議你在網購之前花費一些時間對所有需要更新的程序進行升級,並對計算機等設備進行全面的安全掃描。
如果你的計算機上沒有任何殺毒軟體,最好現在就安裝一些口碑良好的軟體,在此就不做推薦了。
6. 堅持使用一張信用卡付款
通過堅持使用一張信用卡,可以將你的風險隔離到一個賬戶中,而如果你選擇的賬戶具有良好的安全功能,一旦出現任何問題,還會在第一時間收到警報,最大限度保障安全。
最後,小編就想問一句:敢不敢留言分享自己的「雙11」、「雙12」和正在進行的「雙旦」都分別貢獻了多少?
本文翻譯自:https://blog.checkpoint.com/2017/11/20/danger-behind-santas-beard/ ,https://www.techrepublic.com/article/cyberattacks-most-likely-to-happen-in-these-10-states-on-cyber-monday/ ,https://www.techrepublic.com/article/dont-let-yourself-be-targeted-by-cybercriminals-here-are-6-tips-for-safe-holiday-shopping/,如若轉載,請註明原文地址: http://www.4hou.com/info/news/9449.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※義大利再現一家Hacking Team 這是怎麼回事?
※通過域名註冊控制目標所有io後綴的域名
※殺人無形:黑客可以遠程訪問注射器輸液泵,為病人輸入致命劑量
※HomeHack——LG物聯網家用電器中的新漏洞
TAG:信息安全 |