导语:近日,来自Check Point的研究人员就发现,网络犯罪分子正在通过广受欢迎的AliExpress(速卖通)购物门户试图欺骗网络购物者。
“圣诞老人胡子”背后的危机
“圣诞老人”的胡子咱们都见过,白色嘛!看起来是一种纯净、纯真的颜色,但是,网络犯罪分子们却正在试图利用这种“纯真”,对享受圣诞假期的网络购物者们实施网络欺诈行为。
近日,来自Check Point的研究人员就发现,网络犯罪分子正在通过广受欢迎的AliExpress(速卖通)购物门户试图欺骗网络购物者。据悉,该网站在全球拥有超过1亿名用户,收入高达230亿美元,是全球最受欢迎的网上购物门户之一。
安全研究人员发现,该漏洞属于开放式重新导向(open redirect)漏洞,可帮助攻击者向购物者展示“优惠券”,以骗取敏感数据。试问,有一张“满199减100”的优惠券,还是平台推送,你会点击吗?
相信很多“剁手党”会和小编一样,当看到平台推送的“抢券”信息,会毫不犹豫的打开。但是不得不说,有些“优惠券”真的是有毒的,比如,AliExpress平台上发现的这个。
受害者一旦点击领取“优惠券”,便会执行包含恶意Java代码的AliExpress网页链接,桌面会跳出“假优惠券”的视窗来要求客户提供信用卡数据。而背后的攻击者则控制了这个假视窗,使得信用卡数据直接送给攻击者而非购物网站。对,你就这样被“钓鱼”了,如果你的信用卡能透支1个亿,后果真是不敢想象…….
根据最新的调查报告显示,自2016年以来,针对网络零售商的网络攻击已经增加了一倍,购物者应该意识到:“圣诞老人的胡子”可能并没有看起来那么纯净美好,在任何网站上进行购物时都应该保持警惕。
你在盯着打折促销,犯罪分子却在盯着你
说到网购节,中国有“双11”、“618”……美国也有“Cyber Monday”。Cyber Monday是最近几年来,随着网络购物日渐普及之后,逐渐流行起来的一个名词。
其中“Monday”,指感恩节假期之后的第一个上班日,礼拜一。至于“Cyber”,其实就是网络购物的意思啦。“Cyber Monday”,就是感恩节假期之后的第一个上班日也是黑五之后的星期一,在美国标志着感恩节至圣诞节之间网络购物旺季的开始!!!
根据调查数据显示,2016年的“Cyber Monday”创造了美国电商历史上的最大网购日,网络消费达到33.9亿美元,今年预计这一数字会更大!但是,事情永远不会这么简单、美好,另有数据显示,“Cyber Monday”期间针对消费者的恶意攻击行为增长了40%。
为了帮助消费者更为直观地了解自己在网购过程中可能面临的风险,OpenVPN公司最新发布了一份分析报告,直观地展示了2016年“Cyber Monday”期间受灾最严重的10个州的情况,其中包括受损金额、受害者人数以及受害最严重的消费者的性别及年龄等信息。
报告指出,就性别而言,在受灾最严重的案件中男性所占比例比女性多75%,这可能是因为男性在网购中花费的更多。此外,报告还发现,就年龄而言,50岁以上的人群更容易成为网络攻击的受害者。
根据联邦调查局IC3和CSN报告数据库的数据显示,以下是2016年遭受网络犯罪攻击最严重的10个州:
1. 加利福尼亚州
网络犯罪损失:255,181,657美元;
受害人数:47,077;
受灾最严重的消费者性别:男;
受灾最严重的消费者年龄:40-49;
2. 佛罗里达州
网络犯罪损失:88,841,178美元;
受害人数:324,569;
受灾最严重的消费者性别:女;
受灾最严重的消费者年龄:60+;
3. 内华达州
网络犯罪损失:15,246,405美元;
受害人数:33,404;
受灾最严重的消费者性别:女;
受灾最严重的消费者年龄:40-49;
4. 德克萨斯州
网络犯罪损失:77,135,765美元;
受害人数:320,002;
受灾最严重的消费者性别:男;
受灾最严重的消费者年龄:30-39;
5. 新墨西哥州
网络犯罪损失:870,165美元;
受害人数:17,618;
受灾最严重的消费者性别:男;
受灾最严重的消费者年龄:60+;
6. 纽约
网络犯罪损失:106,225,695美元;
受害人数:148,637;
受灾最严重的消费者性别:男;
受灾最严重的消费者年龄:30-39;
7. 亚利桑那州(7、8并列)
网络犯罪损失:20,567,423美元;
受害人数:60,625;
受灾最严重的消费者性别:男;
受灾最严重的消费者年龄:60+;
8. 弗吉尼亚州
网络犯罪损失:49,175,677美元;
受害人数:75,831;
受灾最严重的消费者性别:女;
受灾最严重的消费者年龄:50-59;
9. 科罗拉多州
网络犯罪损失:30,893,224美元;
受害人数:46,795;
受灾最严重的消费者性别:男;
受灾最严重的消费者年龄:50-59;
10. 华盛顿
网络犯罪损失:25,728,634美元;
受害人数:55,607;
受灾最严重的消费者性别:男;
受灾最严重的消费者年龄:60+;
网购欺诈类型介绍
随着电商收益增加,欺诈案例数目和电商交易欺诈比例也在飞速提高。欺诈类型不仅仅只是信用卡支付欺诈。犯罪分子变得更加狡猾,他们使用盗窃来的银行账号信息,通过手机、平板和电脑上的恶意软件登录网上银行,进行欺诈性支付。
尼尔森(全球市场调研公司)采访了6个国家不同行业的274位企业家,总结出以下几种主要的欺诈类型:
1. 身份盗窃
电商中最常见的欺诈类型是身份盗窃(比例占71%)、“网络钓鱼”(66%)、和账号盗窃(63%)。信用卡是主要盗窃目标,因为骗子进行无卡交易非常方便。传统的身份盗用案例中,骗子的目标就是用另一个身份进行交易。与其自己创建一个新的身份,直接盗用他人身份信息更简单迅速。
骗子通过获取姓名、地址和邮箱、以及信用卡账户信息来盗取他人身份。用别人姓名和信用卡账号在网上下单购物。“网络钓鱼”就是用欺诈网站、邮件或短信骗取个人信息。另一种诈骗手段是网址嫁接,当消费者点击一个网站时,会直接被导入到另一个欺诈网站上。通常,这些盗用的身份信息都是用来进行欺诈性交易——大部分情况下,账号中的支付信息已经被盗走。
2. 友善欺诈(Friendly Fraud)
这种欺诈方式并不像听起来那么友善。消费者在网上订购产品或服务,用信用卡或借记卡付款。然后声称信用卡账户信息被盗窃,要求退款。他们获得了退款,但是也保留了商品或服务。这种盗窃方式多发于服务行业,比如赌博。
友善欺诈也经常与再发货连在一起。骗子用盗来的支付信息付款,但是又不想货物直接送到自己的家庭地址。相反,他们通过盗用信息下单,然后由中间人(信息被盗用者)退货给骗子。
3. 联属欺诈
Affiliate Program,是一种国外流行的互联网营销模式。联属欺诈有两种表现形式,都是为了同一个目标:联属(affiliate program)会员通过制造虚假访客量和注册数据来骗取非法佣金。
4. 三边欺诈
三边欺诈是通过三点来实施的:第一点,注册虚假网店,低价提供高需求商品,还有其它一些其他吸引人的条件,比如下单后立即发货。这个网店用来收集消费者地址和信用卡数据——这是它唯一的目的;第二点,利用从别处盗来的信用卡数据和客户名称去真正的网店下单,然后把收货地址填在自己假网店下单的客户地址;第三点,再用假网店盗取的信用卡账号购买其他产品。这样,订单信息和信用卡账户之间很难追查到有什么联系,从而导致欺诈难以发现,容易给卖家造成较大损失。
5. 商家欺诈
商家欺诈很简单:产品标价很低,但是收到付款后不会发货。这种欺诈类型也存在于批发商中。没有具体针对哪种付款方式,但肯定是属于买方无法申请自动退款的类型。
6. 跨境交易欺诈
跨境交易欺诈预防最大的挑战,就是缺乏统一的市场交易规范机制。跨境交易量不断增加,也给欺诈预防带来很大困难。各国的欺诈预防工具也有很大差异。语言障碍,以及将货物跨境发往单一客人的复杂流程,都让跨境交易欺诈更加难以防范。
7. 不同销售平台欺诈
欺诈方式根据销售渠道进行变化,而很多企业都在努力实现多渠道销售让欺诈预防难度更大。通过第三方平台进行的欺诈交易,比较容易成功,因为人们的防范心理很轻;接着是移动端交易和自主站交易。
假日购物安全指南
未来,网上购物预计还会呈现持续增长的趋势,人们越来越习惯通过笔记本电脑、台式机、手机或是平板电脑来完成购物需求,但是,我们应该如何确保敏感信息的安全呢?
接下来,小编就为大家总结6条安全小贴士,希望可以帮助大家保障自身在线消费行为安全:
1. 请留意您的浏览器链接地址
你每次上网的时候,浏览器的顶部栏中都会有一个网址,它既能够告知你在互联网中的位置,又能够很好地提示你所在网站的合法性。所以,网购时一定要留意网店的网址信息,留意是否存在“钓鱼站点”的情况,特别是一些虚假的淘宝店铺、拍拍商铺等,域名中或许存在“taobao”、“paipai”字样,但实却为钓鱼站点。所以,我们需要在浏览过程中重点关注和仔细留意。
此外,对于消费目的,和其他一些涉及个人信息的事情,你需要确保其网址是以HTTPS开头的,“S”表示它是一个安全的链接,任何想要与你产生交易行为的网站都应该有它。
2. 小心电子邮件交易
一般来说,网购者的收件箱中经常会收到许多数字广告,如果这些广告是来自你经常光顾的店铺的话,那么它们大多数是合法的。你需要谨慎对待的是那些来自你不熟悉的店铺的广告,或是那些看起来好的难以置信的广告和店铺/产品信息(就像上文提到的速卖通优惠券的事情)。
检查网络钓鱼电子邮件是一件比较困难的事情,消费者需要对“网络钓鱼”和“社会工程”等攻击手段具备一定程度的了解,加强自身安全意识。
3. 不要使用公共WiFi购物
公共WiFi很便利,但是它却并不安全,你不知道谁才是网络背后的操纵者,他们可能会做些什么,亦或者他们具备什么能力—也许他们正在等待窃取你的信用卡信息……
如果你想要进行任何涉及金钱的交易行为,请尽量利用自家网络进行,且需要确保你的家庭网络是安全的——一个能够公开访问的WiFi网络存在非常严重的安全风险。
4. 使用密码管理器
设置复杂强大的密码是非常必要的,但是如果你把它们输入到被间谍软件感染的设备中,即便是再高强的密码也存在被盗的风险。通过使用密码管理应用程序可以进一步增强安全性。
该应用程序不仅可以让你只需轻松一点就能够登录网站,还可以生成非常安全的随机密码,你所需要做的就是使用一个主密码来解锁该应用程序,让它来为你完成所有辛苦的工作。而且,由于你没有手动输入密码,所以被盗的风险也随之降低很多。
5. 及时更新你的设备和杀毒软件
没人喜欢“软件更新”的安全提示:它们会打断我们正在进行的事情(如游戏、视频),还需要花费很长时间来进行安装配置,但这并不意味着它们是不必要的。
对操作系统进行更新可以修补很多安全漏洞,而如果没有更新病毒库,防病毒软件也就不复存在任何意义。如果你是那种每次看到“程序更新”提示都自动忽略的人,建议你在网购之前花费一些时间对所有需要更新的程序进行升级,并对计算机等设备进行全面的安全扫描。
如果你的计算机上没有任何杀毒软件,最好现在就安装一些口碑良好的软件,在此就不做推荐了。
6. 坚持使用一张信用卡付款
通过坚持使用一张信用卡,可以将你的风险隔离到一个账户中,而如果你选择的账户具有良好的安全功能,一旦出现任何问题,还会在第一时间收到警报,最大限度保障安全。
最后,小编就想问一句:敢不敢留言分享自己的“双11”、“双12”和正在进行的“双旦”都分别贡献了多少?