1、第七章 電子商務(wù)安全,引例,一、如何避免網(wǎng)絡(luò)釣魚攻擊獲取客戶信息 根據(jù)英國的一互聯(lián)網(wǎng)監(jiān)測公司Netcraft聲稱，2006年3月12日，中國一家銀行的服務(wù)器被網(wǎng)絡(luò)騙子用做網(wǎng)絡(luò)釣魚（phishing）網(wǎng)站的主機(jī)，以復(fù)制美國一些銀行和網(wǎng)絡(luò)零售商的顧客資料。這是銀行網(wǎng)絡(luò)首次被犯罪分子用來偷取另一銀行顧客資料的攻擊事件。攻擊中發(fā)出的電子郵件是偽裝成摩根大通網(wǎng)上銀行的調(diào)查，郵件中謊稱用戶只要填寫賬號和個(gè)人信息后，會收到20美元的辛苦費(fèi)。那么什么是網(wǎng)絡(luò)釣魚攻擊？如何識別垃圾郵件及假冒郵件？在發(fā)送和接收郵件時(shí)應(yīng)該注意什么？,二、如何預(yù)防病毒的危害 2006年12月初，我國互聯(lián)網(wǎng)上大規(guī)模爆發(fā)“熊貓燒香”病毒及

2、其變種。一只憨態(tài)可掬、頷首敬香的“熊貓”在互聯(lián)網(wǎng)上瘋狂“作案”?？ㄍɑ獗淼牟《?，隱藏著巨大的傳染力，短短幾個(gè)月，“熊貓燒香”病毒給成千上萬個(gè)人用戶、網(wǎng)吧及企業(yè)局域網(wǎng)用戶，造成直接和間接損失超過1億元。如何預(yù)防計(jì)算機(jī)病毒和網(wǎng)絡(luò)病毒呢？,電子商務(wù)的安全目標(biāo),電子商務(wù)安全技術(shù),電子商務(wù)的安全管理,本章主要內(nèi)容,電子商務(wù)的安全問題主要體現(xiàn)在：, 首先是一個(gè)復(fù)雜的管理問題 其次是一個(gè)技術(shù)安全問題,第一節(jié) 電子商務(wù)的安全內(nèi)涵,一、電子商務(wù)面臨的威脅 二、電子商務(wù)安全的目標(biāo),一、電子商務(wù)面臨的威脅,（一）個(gè)人電腦面臨的威脅 被他人盜取用戶密碼、信用卡賬號等； 計(jì)算機(jī)系統(tǒng)被木馬攻擊； 用戶在瀏覽網(wǎng)頁時(shí)，被惡

3、意程序進(jìn)行攻擊； 個(gè)人計(jì)算機(jī)受計(jì)算機(jī)病毒感染； 黑客利用系統(tǒng)本身存在的漏洞攻擊他人。,（一）個(gè)人電腦面臨的威脅,1、被他人盜取用戶密碼、信用卡賬號等；,大學(xué)生用黑客病毒網(wǎng)上盜款48萬 張先生是一家私營企業(yè)主，一直使用網(wǎng)上銀行進(jìn)行資金管理。2006年12月22日，當(dāng)張先生查詢自己的銀行賬戶時(shí)，突然發(fā)現(xiàn)兩張銀行卡內(nèi)的48萬余元已被劃走，焦急萬分的張先生立即到公安機(jī)關(guān)報(bào)警。民警接到報(bào)案后，經(jīng)過各地警方縝密偵查，利用先進(jìn)網(wǎng)絡(luò)技術(shù)手段，于2007年將犯罪嫌疑人孫木云、郭浩抓獲歸案。,郭浩，1986年出生，是黑龍江某大學(xué)計(jì)算機(jī)專業(yè)的大學(xué)生;孫木云，1989年出生，當(dāng)時(shí)在上海某個(gè)網(wǎng)吧做網(wǎng)管。2006年12月

4、，郭浩在大學(xué)生宿舍內(nèi)，通過“灰鴿子”病毒軟件發(fā)現(xiàn)了身在北京的張先生的電腦中了“灰鴿子”病毒。郭浩便通過“灰鴿子”病毒遠(yuǎn)程監(jiān)控系統(tǒng)，監(jiān)控該電腦。在張先生上網(wǎng)進(jìn)行網(wǎng)絡(luò)銀行卡操作時(shí)，郭浩獲知了張先生的銀行卡賬號、密碼，而后通過遠(yuǎn)程監(jiān)控下載了受害人銀行卡的電子證書。2006年12月17日，郭浩聯(lián)絡(luò)在山東的孫木云，要求其幫助將錢轉(zhuǎn)出。隨后，兩人連夜將張先生兩張銀行卡內(nèi)的48萬余元分40余筆轉(zhuǎn)出，打入位于廣州、上海和北京的出售游戲點(diǎn)卡的公司，并將點(diǎn)卡存入虛擬的網(wǎng)絡(luò)賬戶。 張先生的48萬余元就這樣一夜之間蒸發(fā)了。,案 例,（一）個(gè)人電腦面臨的威脅,2.計(jì)算機(jī)系統(tǒng)被木馬攻擊；,“木馬產(chǎn)業(yè)鏈”,最近兩年來，隨著

5、“網(wǎng)上大盜”數(shù)量的不斷增多，“木馬產(chǎn)業(yè)鏈”這一黑色產(chǎn)業(yè)也在不斷壯大和分工。目前已經(jīng)發(fā)展為包括木馬制造、木馬傳播、密碼竊取、洗錢等環(huán)節(jié)在內(nèi)完整產(chǎn)業(yè)鏈形態(tài)。,（一）個(gè)人電腦面臨的威脅,3、用戶在瀏覽網(wǎng)頁時(shí)，被惡意程序進(jìn)行攻擊；,2000年2月8日到10日，一伙神通廣大的神秘黑客在三天的時(shí)間里接連襲擊了互聯(lián)網(wǎng)上包括雅虎、美國有線新聞等在內(nèi)的五個(gè)最熱門的網(wǎng)站，并且造成這些網(wǎng)站癱瘓長達(dá)數(shù)個(gè)小時(shí)。 在雅虎網(wǎng)站上，黑客使用了一種名為“拒絕服務(wù)”的入侵方式，在不同的計(jì)算機(jī)上同時(shí)用連續(xù)不斷的服務(wù)器電子請求來轟炸雅虎網(wǎng)站。這種方式類似于某人通過不停撥打某個(gè)公司的電話來阻止其他電話打進(jìn)，從而導(dǎo)致公司通信癱瘓。在襲擊

6、進(jìn)行最高峰的時(shí)候，網(wǎng)站平均每秒鐘要遭受一千兆字節(jié)數(shù)據(jù)的猛烈攻擊，這一數(shù)據(jù)量相當(dāng)于普通網(wǎng)站一年的數(shù)據(jù)量! 面對如此猛烈的攻擊，雅虎的技術(shù)人員卻束手無策，只能眼睜睜地看著泛濫成災(zāi)的電子郵件垃圾死死地堵住了雅虎用戶們上網(wǎng)所需的路由器。,案例：“拒絕服務(wù)”,雅虎網(wǎng)站遭襲后第二天，盡管世界各著名網(wǎng)站已經(jīng)高度警惕，但還是再次遭到這些神秘黑客的襲擊。世界最著名的網(wǎng)絡(luò)拍賣行eBay因神秘黑客襲擊而癱瘓了整整兩個(gè)小時(shí)，以致任何的用戶都無法登錄該站點(diǎn)；赫赫有名的美國有線新聞網(wǎng) CNN隨后也因遭神秘黑客的襲擊而癱瘓近兩個(gè)小時(shí)；風(fēng)頭最勁的購物網(wǎng)站A也被迫關(guān)閉一個(gè)多小時(shí)!,（一）個(gè)人電腦面臨的威脅,4、個(gè)人計(jì)算機(jī)受計(jì)算

7、機(jī)病毒感染；,計(jì)算機(jī)蠕蟲病毒,計(jì)算機(jī)蠕蟲病毒不會感染寄生在其它檔案，而是會自我復(fù)制并主動散播到網(wǎng)絡(luò)系統(tǒng)上的其它計(jì)算機(jī)里面。就像蟲一樣在網(wǎng)絡(luò)系統(tǒng)里面到處爬竄，所以稱為“蠕蟲”。如沖擊波病毒，感染該病毒會導(dǎo)致系統(tǒng)不穩(wěn)定，造成系統(tǒng)崩潰，并出現(xiàn)倒計(jì)時(shí)重啟系統(tǒng)。,特洛伊木馬(Trojan Horse),特洛伊木馬 (或簡稱Trojan) 是一種計(jì)算機(jī)程序，偽裝成某種有用的或有趣的程序，比如屏幕保護(hù)程序、算命程序、計(jì)算機(jī)游戲等，但是實(shí)際上卻包藏禍心，暗地里做壞事;它可以破壞數(shù)據(jù)、騙取使用者的密碼等等。一般特洛伊木馬不會自我復(fù)制，也不會主動散播到別的計(jì)算機(jī)里面。 此外，還有：Pakistan 病毒 金蟬 病

8、毒 海盜旗 病毒 蠕蟲 avaSnake 病毒 Mail-Bomb 病毒 熊貓燒香 病毒 紅色代碼,（一）個(gè)人電腦面臨的威脅,5、流氓軟件。,什么是流氓軟件？,“流氓軟件”是介于病毒和正規(guī)軟件之間的軟件。如果電腦中有流氓軟件，可能會出現(xiàn)以下幾種情況：用戶使用電腦上網(wǎng)時(shí)，會有窗口不斷跳出；電腦瀏覽器被莫名修改增加了許多工作條；當(dāng)用戶打開網(wǎng)頁時(shí)，網(wǎng)頁會變成不相干的奇怪畫面，甚至是黃色廣告。 有些流氓軟件只是為了達(dá)到某種目的，比如廣告宣傳。這些流氓軟件雖然不會影響用戶計(jì)算機(jī)的正常使用，但在當(dāng)用戶啟動瀏覽器的時(shí)候會多彈出來一個(gè)網(wǎng)頁，以達(dá)到宣傳目的。,流氓軟件類別,間諜軟件、行為紀(jì)錄軟件、瀏覽器劫持軟件

9、、搜索引擎劫持軟件、廣告軟件、自動撥號軟件、盜竊密碼軟件等。,強(qiáng)制安裝 難以卸載 瀏覽器劫持 廣告彈出 惡意收集用戶信息 惡意卸載 惡意捆綁 惡意安裝,它具有如下特點(diǎn)：,（一）個(gè)人電腦面臨的威脅,6、黑客利用系統(tǒng)本身存在的漏洞攻擊他人。,安卓系統(tǒng)案例：,據(jù)烏云漏洞平臺2015年10月報(bào)告，安卓手機(jī)軟件（APP)存在一個(gè)“WormHole(蟲洞）”的安全漏洞。只要安卓設(shè)備連接網(wǎng)絡(luò)，無論是否刷機(jī)成為超級用戶（root),黑客都能對設(shè)備實(shí)現(xiàn)遠(yuǎn)程操控，安裝指定應(yīng)用。同時(shí)，還可上傳隱私短信和照片，彈出對話框顯示廣告或釣魚鏈接。,蘋果系統(tǒng)案例,2015年8月烏云漏洞平臺披露，國內(nèi)一些ios應(yīng)用/插件開發(fā)團(tuán)

10、隊(duì)在盜取越獄用戶的蘋果云服務(wù)（iCloud)賬號與明文密碼，并記錄在遠(yuǎn)程服務(wù)器。據(jù)了解，當(dāng)時(shí)已有超過22萬云服務(wù)賬號密碼等信息被多款內(nèi)置后門iOS插件竊取，是越獄iPhone手機(jī)真實(shí)竊密案例。經(jīng)驗(yàn)證，這些被盜的云服務(wù)賬號可以隨意登錄，各種郵件和照片等信息全部泄露。,（二）網(wǎng)絡(luò)安全的威脅,1. 黑客攻擊 2. 搭線竊聽 3. 偽裝身份 4. 信息泄密、篡改、銷毀 5. 間諜軟件襲擊 6. 網(wǎng)絡(luò)釣魚,案例一：,中國最小黑客：,新聞晨報(bào)：2014中國互聯(lián)網(wǎng)安全大會，12歲熊孩子汪正揚(yáng)，成了中國最小的黑客。還在清華附中讀初一的他：為了不做作業(yè)，入侵了學(xué)校的在線答題系統(tǒng)；他利用黑客“抓包技術(shù)”，花1分錢

11、買了2500元的東西除了這些糗事，他還修復(fù)計(jì)算機(jī)漏洞100多個(gè)。 這位年僅12歲的漏洞報(bào)告者是來自清華附中初一年級的汪正揚(yáng)同學(xué)。他是北京市公安局、教委實(shí)施網(wǎng)安啟明星工程校本課的小學(xué)員之一。,2005年2月份發(fā)現(xiàn)的一種騙取美邦銀行（Smith Barney）用戶的帳號和密碼的“網(wǎng)絡(luò)釣魚”電子郵件，該郵件利用了IE的圖片映射地址欺騙漏洞，并精心設(shè)計(jì)腳本程序，用一個(gè)顯示假地址的彈出窗口遮擋住了IE瀏覽器的地址欄，使用戶無法看到此網(wǎng)站的真實(shí)地址。當(dāng)用戶使用未打補(bǔ)丁的Outlook打開此郵件時(shí)，狀態(tài)欄顯示的鏈接是虛假的。當(dāng)用戶點(diǎn)擊鏈接時(shí)，實(shí)際連接的是釣魚網(wǎng)站http:/*.41.155.60:87/s。

12、該網(wǎng)站頁面酷似Smith Barney銀行網(wǎng)站的登陸界面，而用戶一旦輸入了自己的帳號密碼，這些信息就會被黑客竊取。,案例二：網(wǎng)絡(luò)釣魚攻擊,2004年7月發(fā)現(xiàn)的某假公司網(wǎng)站（網(wǎng)址為），而真正網(wǎng)站為，詐騙者利用了小寫字母l和數(shù)字1很相近的障眼法。詐騙者通過QQ散布“XX集團(tuán)和XX公司聯(lián)合贈送QQ幣”的虛假消息，引誘用戶訪問。一旦訪問該網(wǎng)站，首先生成一個(gè)彈出窗口，上面顯示“免費(fèi)贈送QQ幣”的虛假消息。而就在該彈出窗口出現(xiàn)的同時(shí)，惡意網(wǎng)站主頁面在后臺即通過多種IE漏洞下載病毒程序lenovo.ex，并在2秒鐘后自動轉(zhuǎn)向到真正網(wǎng)站主頁，用戶在毫無覺察中就感染了病毒。病毒程序執(zhí)行后，將下載該網(wǎng)站上的另一個(gè)

13、病毒程序bbs5.exe，用來竊取用戶的傳奇帳號、密碼和游戲裝備。當(dāng)用戶通過QQ聊天時(shí)，還會自動發(fā)送包含惡意網(wǎng)址的消息。,（1）信息的截獲和竊取。,如果沒有采用加密措施或加密強(qiáng)度不夠，攻擊者可能通過互聯(lián)網(wǎng)、公共電話網(wǎng)、搭線、電磁波輻射范圍內(nèi)安裝截收裝置或在數(shù)據(jù)包通過的網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)等方式，獲取輸入的機(jī)密信息，或通過對信息流量和流向、通信頻度和長度等參數(shù)的分析，推出有用信息，如消費(fèi)者的銀行賬號、密碼以及企業(yè)的商業(yè)機(jī)密等。,（2）信息的篡改。,當(dāng)攻擊者熟悉了網(wǎng)絡(luò)信息格式以后，通過各種技術(shù)方法和手段對網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途修改，并發(fā)往目的地，從而破壞信息的完整性。 篡改、刪除、插入,（3）信

14、息假冒。,當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息以后，可以假冒合法用戶或發(fā)送假冒信息來欺騙其他用戶。,（4）惡意破壞。,由于攻擊者可以接入網(wǎng)絡(luò)，則可能對網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。,（三）電子商務(wù)中防詐騙意識薄 弱的威脅,案例一:朋友圈的集贊你參加過嗎？,案例一：微信集贊詐騙,2016年1月，浙江蒼南的陳女士朋友圈被當(dāng)?shù)匾患矣皹堑募澔顒铀⑵亮?。消息說，轉(zhuǎn)發(fā)影樓活動到朋友圈，集38個(gè)贊就能免費(fèi)拍照，并領(lǐng)取一臺多功能料理機(jī)，陳女士從朋友處獲悉，這家影樓已經(jīng)經(jīng)營三四年，而且有多人領(lǐng)到多功能料理機(jī)，于是陳女士也加入了集贊大軍。 1月18

15、號，集齊38個(gè)贊的陳女士前往影樓預(yù)約拍照，但影樓的一名員工跟她說，需要等1月20號之后才可以預(yù)約，而且要交300元的押金，押金將在拍照后退還。陳女士質(zhì)疑為什么要交押金，對方說，影樓擔(dān)心活動推出之后一些參與者光拍照不取片，照片積壓不好處理，所以要收取押金，等領(lǐng)完照片后馬上退還，陳女士沒有猶豫交了押金。 1月20號，陳女士致電影樓被告知預(yù)約已經(jīng)排滿，讓她以后再約，2月21號，陳女士在朋友圈看到有人說，影樓已經(jīng)關(guān)門，便前往影樓，發(fā)現(xiàn)影樓人去樓空，此后，陳女士聽說有幾百人受騙，于是報(bào)了警。,犯罪分子冒充商家發(fā)布“點(diǎn)贊有獎”信息,要求參與者將姓名、電話等個(gè)人資料發(fā)至微信平臺，一旦商家套取完足夠的個(gè)人信息

16、后，即以“押金”、“手續(xù)費(fèi)”、“公證費(fèi)”、“保證金”等形式實(shí)施詐騙。如果消費(fèi)者貪圖這些小便宜，往往一步一步陷入騙局。,案例二：誠招網(wǎng)絡(luò)兼職，幫助網(wǎng)上商城賣家刷信譽(yù)，可從中賺取傭金,2015年10月10日，剛從大學(xué)畢業(yè)的小龔在微博上看到一條兼職信息，要求很簡單，只要會上網(wǎng)即可，條件卻很誘人，時(shí)間可以自由安排，一天有200500元的收益。一心想著賺點(diǎn)外快的小龔，試著加了微博上發(fā)的QQ?？头芸彀l(fā)了工作流程表和項(xiàng)目申請表過來，小龔按要求填寫了表格，并給對方發(fā)了過去。 這份兼職的工作是網(wǎng)上商城刷信譽(yù)，就是兼職人員通過客服發(fā)送的指定鏈接，按照要求在商城購買商品，付款之后，商城并不會真的把貨物發(fā)出，而是將

17、貨款跟傭金返還給兼職人員。練手時(shí)，小龔在網(wǎng)上商城拍了一只包，支付120元，很快自己銀行卡里就收到了125元錢。輕輕松松，小龔賺了5元錢。,正式刷單，買的并不是商品，而是游戲點(diǎn)卡。刷完第一單，小龔發(fā)現(xiàn)貨款并沒有像練手時(shí)那樣打回到自己銀行卡上，她警惕地趕緊詢問客服?？头忉?，要刷完10單才能將本金跟傭金一并返還。 刷到第9單時(shí)，小龔發(fā)現(xiàn)，這筆訂單的金額突然由600元增加到了1800元。她又有點(diǎn)疑心，客服解釋，單子的鏈接都是系統(tǒng)自動生成的，按要求操作就行了。 就這樣，小龔又按要求支付了很多單，但遲遲沒有收到匯款信息。這時(shí)的小龔，幾乎已經(jīng)刷單紅了眼。她自己沒錢，就以各種理由借錢，接著按照客服的要求多次

18、操作付款，直到下午4點(diǎn)，小龔一共被騙了將近70萬元。她又氣又急，冷靜下來，才知道自己被騙了，趕緊報(bào)了警。,分析：,此類詐騙犯罪分子首先會在網(wǎng)上發(fā)布招聘兼職刷網(wǎng)上商城信譽(yù)的虛假信息，其實(shí)在網(wǎng)上商城上，“刷信譽(yù)”等虛假交易行為本身就已被明令禁止，并非正當(dāng)兼職。一旦有人上當(dāng)，犯罪分子會要求受害人虛假購買指定商戶的產(chǎn)品或指定商城的虛擬點(diǎn)卡，前期時(shí)會向受害人返還小利，一旦取得受害人信任，會要求受害人繼續(xù)刷大單，從而實(shí)施詐騙。,案例三：“拷貝”微信資料，冒充號主微信上借錢,你遇到過微信好友誤刪，要求重新添加嗎？,案例三：冒充微信好友詐騙,今年9月，南京市民方小姐報(bào)警稱有人在微信上冒充自己。原來事發(fā)前方小姐接到幾位朋友的電話，核實(shí)方小