“幸亏多点击了几下,不然我就被‘钓鱼’了。”说起今年“双十一”的网购经历,北京一家事业单位的年轻职员小陆仍心有余悸。
那天晚上,小陆在淘宝网上浏览着各种各样的打折衣服。在卖家热情地发来的各种款式的链接之间穿梭了一阵之后,小陆准备给选中的衣服付款了。在准备点击“付款”时,她突然想返回淘宝首页看一看。但是,无论她怎么点击“首页”,网页都没有反应。她再一试,发现整个页面只有“付款”这个链接可以点击。有着网购经验的小陆意识到了什么,她狠狠地在键盘上敲下两个字,“骗子”。之后,那边“卖家”再也没有回复了。
报道显示,“双十一”期间,仅天猫商城和淘宝网就实现191亿元的交易额。有网友说,光棍节成了网购狂欢节。
跟小陆相比,河北石家庄市的张小姐就没有这么幸运了。据当地媒体报道,“双十一”期间网购时,卖家也给她发了一个类似的链接。在张小姐输入银行账号、密码等信息之后,她卡内的3000多元全部被转走了。此案引起警方关注。
此前,在接受媒体采访时,腾讯网络安全产品“电脑管家”负责人吴波表示,每逢光棍节、国庆节等特殊节日,钓鱼网站、木马病毒总伺机出动,成为消费者安全网购的最大威胁,因网购被骗的案例几乎每天都有发生。
中国青年报记者调查后了解到,这些钓鱼案例大致可以分为三类。
发送钓鱼邮件是较常见的一种。在这种钓鱼邮件中,黑客会打着一些网站的旗号进行促销,诱使人们打开链接。钓鱼页面与真网站的页面几乎完全相同,网友一旦输入用户名、密码,这些信息马上就会被黑客掌握。
盗取账户后钓鱼则是第二类手法。对于一些提供快捷支付功能的平台,黑客在盗号之后除可马上将余额向账户支付外,还可使用的后续手段是,利用该账户向其好友和联系人或店铺发布虚假商品或钓鱼链接,以此欺骗更多人。
第三类则是将钓鱼程序伪装实用软件,引诱用户下载。一些黑客还会将盗号木马伪装成购物攻略、特价商品列表等文件。用户下载安装之后,即会被监视交易过程。当程序发现用户要执行支付操作时,支付对象将马上被重定向为黑客的账户。
据了解,上述问题与电子商务网站的技术或管理漏洞密不可分。如果某些电商网站存在SQL注入漏洞且密码加密强度不够,黑客可以盗取网站数据库。而一些正规网站由于人力不足或其他原因,对网站广告未能严格审查,也会导致钓鱼网站广告混入其中。更严重的是,由于缺乏成熟的身份认证系统,一些不法分子还可通过复制他人手机SIM卡使用户信息重新注册,进而将账户信息一网打尽。
用户使用习惯也成为网购被“钓鱼”的原因。网络安全人士分析说,不少用户习惯在不同网站使用同一个用户名、密码,一旦一个网站的用户信息在钓鱼网站被窃取,其他信息也面临危险。此外,不少用户在交易时,常常不会关注对方发送的链接及文件的安全性、真实性,也缺乏验证所谓电商网站客服人员身份的经验。
“随着人们网购需求的加大,一些安全防护软件已注意到如何保护线上交易的安全。”北京卡巴斯基科技有限公司媒体专员时瑀告诉记者说,据该公司有关部门统计,人们网购时面临的主要威胁是钓鱼网站和盗号木马。
国内一家反钓鱼网站的组织统计显示,在该组织认定并处理的3397个钓鱼网站中,90%以上是网购、电商类网站。仅在“光棍节”之后的一周内,该组织就认定并处理了1084个钓鱼网站。
时瑀说,目前,主流安全防护软件对这两种威胁已有所防范。不过,她强调说,即使安装了安全防护软件,人们依然需要提高安全意识。她建议,网购不可贪图便宜、轻信虚假信息,特别要注意确认对方提供链接的安全性,不轻易接收对方发送的文件。此外,在通过电商平台交易时,务必只选择安全的交易平台,并注意确认商品与支付的页面是否一致,“如账户出现可疑迹象,应该及时通知电商网站冻结账户,或者报警”。