是谁在泄露了用户信息?对电商用户被骗巨款事件的冷静分析
自从大家的钱包和互联网产生了联系,无论是网购还是理财,用户的财产安全就一直是个风口浪尖上的问题。近期,笔者有看到有媒体在报道用户在电商平台上网购后被骗巨款的案例,并在一系列分析后,把矛头指向电商平台,认为其泄露用户信息。对于这种论断,笔者还真是不太敢苟同,毕竟普通用户很难了解目前互联网安全领域的一些现状。我们不妨从技术的角度,对事件的来龙去脉进行详细的梳理。
网购用户被骗的详细分析:两种可能
按照网友的描述,被骗的经过是由于在网上购买了99元的周林频谱护腰带,随后骗子冒充客服,以“系统维护升级,订单无效,需退款”的借口盗刷了网友的银行卡。“按照他的提示,插入网银后,对方让先支付2元转账,我输入密码进行网银操作,2分钟后,对方称支付未成功,需再次输入支付密码,这样又操作了两次,刚完成操作,对方突然挂断电话,此时我收到农行发来的账户变动短信提醒,显示账户刚刚进行了3笔交易,共划走227558元。我马上就报警了。”
事情的核心是不法分子获取了用户的登录信息,也就是用户名、密码,登录用户账户后,就可以看到他的购买记录、联系信息。随后,骗子会冒充客服联系用户,这其中可能是QQ,也可能是手机或固话,他们甚至可能通过软件修改自己的显示号码,冒充官方客户。接下来就是上面那个受害者遭遇的情况了,骗子报出用户刚刚支付的订单,借此获取用户的新任,然后以平台故障、需要给用户退款等等借口,让用户登录他们的钓鱼网址,骗取用户的银行卡信息和验证码……
因此,事件的核心就是骗子是如何获取用户登录信息的。从电商网络安全的角度,通常有两种可能性。一是骗子直接攻击电商的用户数据库,获取信息。但这是一条高难度的自虐或者说自投罗网路线。因为京东这样的电商平台有着非常完善和先进的安全措施,用户数据库是其最核心的资产,别说黑客从外部攻击了,就是内部人员都很难获取用户详细信息。记得笔者去年年底参加京东技术狂欢节时,京东安全部门就阐述过其安全策略和措施,用户信息的安全性处于最高级别,甚至比盗窃银行金库还难。
那么,第二种可能性是什么呢?就是黑客的 “撞库攻击”。什么是“撞库攻击”呢?就是很多用户,在不同网站使用的用户名密码都是一样的。不仅自己方便,黑客也方便了。不是每个网站都有京东这样的严格用户数据安全措施,有些网站甚至会用明文(也就是没有加密的信息)存储用户名和密码。这是一条黑色产业链,黑客攻击大量互联网平台,例如论坛、社区,如果盗取了数据库,就会生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登陆的用户信息,这就可以理解为撞库攻击。随后,这些用户信息就被出售给骗子,文章开头的一幕就会发生了。
撞库攻击有可能发生吗?答案是极有可能。从网络安全的角度,这已经成为目前最为普遍的攻击方式之一。那么,撞库攻击,谁是最大的受益者?当然是黑客和其产业链上的那些人,这包括地下数据交易者、骗子等三教九流。所以,从利益链条的分析来看,发生撞库攻击的概率是非常大的。
对策:我们该如何保护自己?
了解的问题的原因,就不难找到对策。所有的骗子之所以能够成功,就是因为我们有时候太容易相信别人,点击了不该点击的网站,给了人家不该给的权限。
而问题的关键在于,即便是支付不成功,只有在“内部系统”操作才是安全的,这点几乎适用于所有电商,不论是淘宝、天猫、京东还是亚马逊,骗子之所以得逞,往往是走的外部流程,给你一个“退款网址”、往其他账户去汇款,所以遇到这种事情,不论是谁,哪怕是显示京东客服的号码,也是不要相信的。
所以,从这点来说,用户应该是在钱财面前万分小心才是——这好比你可以在外面乱交朋友不要紧,但不要见着一个朋友要借钱就倾囊相授,那多半会死得很惨。千万不要对任何人透露你的银行卡信息,不管是信用卡号,CV码还是密码,更不要相信什么“支付未成功”而去第二次付款——如果是银行或商家的责任,你都要理直气壮的去找商家踢馆,而不是在骗子的指导下再来一次。
所谓魔高一尺道高一丈,而至于京东这样的电商平台,也在不断提升自己的安全措施。据笔者了解,京东在致力于用大数据进行用户行为分析,力争第一时间揪出那些骗子的登录行为。同时,京东还通过登录IP监控,风险用户数据识别等方式,不断把高风险的用户标识出来,提醒用户更改密码或提升安全措施。针对最近频发的撞库行为京东在付款成功界面上增加防诈骗安全提醒,提醒内容:“京东不会以订单异常、升级系统为由,要求您点击链接退款”;排查高风险用户帐号并主动警示用户修改密码;在商家后台发布防诈骗公告,后台订单查询界面添加安全提示;通过多种技术手段防止商家账号被盗;针对重点商家沟通与提升防范措施;在京东主站首页面不断发出“消费警示”,京东官方客服人员不会以400或手机号码联系用户,更不会以QQ线上方式与用户沟通;用户手机收到的因京东服务产生的手机验证码,不要告知任何人,也不要填写到任何非京东(jd.com)的网站页面中。
这些措施虽然老套,但这就是最有效的方式,对于大多数用户来说,了解了这些就会大大降低受骗的可能性。在这个高科技的年代,防骗的方法固然需要不断学习,但根本在于你不能大意,否则,一定有人在幕后打你的主意。柿子捡软的捏,是一个普遍真理,即便是盗贼,也还是懂的。不多说了,我先改自己的登录密码去了。