1、電子商務(wù)安全,第七章 電子商務(wù)安全,電子商務(wù)安全,引例,一、如何避免網(wǎng)絡(luò)釣魚攻擊獲取客戶信息 根據(jù)英國(guó)的一互聯(lián)網(wǎng)監(jiān)測(cè)公司Netcraft聲稱，2006年3月12日，中國(guó)一家銀行的服務(wù)器被網(wǎng)絡(luò)騙子用做網(wǎng)絡(luò)釣魚（phishing）網(wǎng)站的主機(jī)，以復(fù)制美國(guó)一些銀行和網(wǎng)絡(luò)零售商的顧客資料。這是銀行網(wǎng)絡(luò)首次被犯罪分子用來偷取另一銀行顧客資料的攻擊事件。攻擊中發(fā)出的電子郵件是偽裝成摩根大通網(wǎng)上銀行的調(diào)查，郵件中謊稱用戶只要填寫賬號(hào)和個(gè)人信息后，會(huì)收到20美元的辛苦費(fèi)。那么什么是網(wǎng)絡(luò)釣魚攻擊？如何識(shí)別垃圾郵件及假冒郵件？在發(fā)送和接收郵件時(shí)應(yīng)該注意什么？,電子商務(wù)安全,二、如何預(yù)防病毒的危害 2006年12月初

2、，我國(guó)互聯(lián)網(wǎng)上大規(guī)模爆發(fā)“熊貓燒香”病毒及其變種。一只憨態(tài)可掬、頷首敬香的“熊貓”在互聯(lián)網(wǎng)上瘋狂“作案”?？ㄍɑ獗淼牟《荆[藏著巨大的傳染力，短短幾個(gè)月，“熊貓燒香”病毒給成千上萬個(gè)人用戶、網(wǎng)吧及企業(yè)局域網(wǎng)用戶，造成直接和間接損失超過1億元。如何預(yù)防計(jì)算機(jī)病毒和網(wǎng)絡(luò)病毒呢？,電子商務(wù)安全,電子商務(wù)的安全目標(biāo),電子商務(wù)安全技術(shù),電子商務(wù)的安全管理,本章主要內(nèi)容,電子商務(wù)安全,電子商務(wù)的安全問題主要體現(xiàn)在：, 首先是一個(gè)復(fù)雜的管理問題 其次是一個(gè)技術(shù)安全問題,電子商務(wù)安全,第一節(jié) 電子商務(wù)的安全內(nèi)涵,一、電子商務(wù)面臨的威脅 二、電子商務(wù)安全的目標(biāo),電子商務(wù)安全,一、電子商務(wù)面臨的威脅,（一）個(gè)人

3、電腦面臨的威脅 被他人盜取用戶密碼、信用卡賬號(hào)等； 計(jì)算機(jī)系統(tǒng)被木馬攻擊； 用戶在瀏覽網(wǎng)頁時(shí)，被惡意程序進(jìn)行攻擊； 個(gè)人計(jì)算機(jī)受計(jì)算機(jī)病毒感染； 黑客利用系統(tǒng)本身存在的漏洞攻擊他人。,電子商務(wù)安全,（一）個(gè)人電腦面臨的威脅,1、被他人盜取用戶密碼、信用卡賬號(hào)等；,電子商務(wù)安全,大學(xué)生用黑客病毒網(wǎng)上盜款48萬 張先生是一家私營(yíng)企業(yè)主，一直使用網(wǎng)上銀行進(jìn)行資金管理。2006年12月22日，當(dāng)張先生查詢自己的銀行賬戶時(shí)，突然發(fā)現(xiàn)兩張銀行卡內(nèi)的48萬余元已被劃走，焦急萬分的張先生立即到公安機(jī)關(guān)報(bào)警。民警接到報(bào)案后，經(jīng)過各地警方縝密偵查，利用先進(jìn)網(wǎng)絡(luò)技術(shù)手段，于2007年將犯罪嫌疑人孫木云、郭浩抓獲歸案

4、。,郭浩，1986年出生，是黑龍江某大學(xué)計(jì)算機(jī)專業(yè)的大學(xué)生;孫木云，1989年出生，當(dāng)時(shí)在上海某個(gè)網(wǎng)吧做網(wǎng)管。2006年12月，郭浩在大學(xué)生宿舍內(nèi)，通過“灰鴿子”病毒軟件發(fā)現(xiàn)了身在北京的張先生的電腦中了“灰鴿子”病毒。郭浩便通過“灰鴿子”病毒遠(yuǎn)程監(jiān)控系統(tǒng)，監(jiān)控該電腦。在張先生上網(wǎng)進(jìn)行網(wǎng)絡(luò)銀行卡操作時(shí)，郭浩獲知了張先生的銀行卡賬號(hào)、密碼，而后通過遠(yuǎn)程監(jiān)控下載了受害人銀行卡的電子證書。2006年12月17日，郭浩聯(lián)絡(luò)在山東的孫木云，要求其幫助將錢轉(zhuǎn)出。隨后，兩人連夜將張先生兩張銀行卡內(nèi)的48萬余元分40余筆轉(zhuǎn)出，打入位于廣州、上海和北京的出售游戲點(diǎn)卡的公司，并將點(diǎn)卡存入虛擬的網(wǎng)絡(luò)賬戶。 張先生的4

5、8萬余元就這樣一夜之間蒸發(fā)了。,案 例,電子商務(wù)安全,（一）個(gè)人電腦面臨的威脅,2.計(jì)算機(jī)系統(tǒng)被木馬攻擊；,電子商務(wù)安全,“木馬產(chǎn)業(yè)鏈”,最近兩年來，隨著“網(wǎng)上大盜”數(shù)量的不斷增多，“木馬產(chǎn)業(yè)鏈”這一黑色產(chǎn)業(yè)也在不斷壯大和分工。目前已經(jīng)發(fā)展為包括木馬制造、木馬傳播、密碼竊取、洗錢等環(huán)節(jié)在內(nèi)完整產(chǎn)業(yè)鏈形態(tài)。,電子商務(wù)安全,（一）個(gè)人電腦面臨的威脅,3、用戶在瀏覽網(wǎng)頁時(shí)，被惡意程序進(jìn)行攻擊；,電子商務(wù)安全,2000年2月8日到10日，一伙神通廣大的神秘黑客在三天的時(shí)間里接連襲擊了互聯(lián)網(wǎng)上包括雅虎、美國(guó)有線新聞等在內(nèi)的五個(gè)最熱門的網(wǎng)站，并且造成這些網(wǎng)站癱瘓長(zhǎng)達(dá)數(shù)個(gè)小時(shí)。 在雅虎網(wǎng)站上，黑客使用了一種

6、名為“拒絕服務(wù)”的入侵方式，在不同的計(jì)算機(jī)上同時(shí)用連續(xù)不斷的服務(wù)器電子請(qǐng)求來轟炸雅虎網(wǎng)站。這種方式類似于某人通過不停撥打某個(gè)公司的電話來阻止其他電話打進(jìn)，從而導(dǎo)致公司通信癱瘓。在襲擊進(jìn)行最高峰的時(shí)候，網(wǎng)站平均每秒鐘要遭受一千兆字節(jié)數(shù)據(jù)的猛烈攻擊，這一數(shù)據(jù)量相當(dāng)于普通網(wǎng)站一年的數(shù)據(jù)量! 面對(duì)如此猛烈的攻擊，雅虎的技術(shù)人員卻束手無策，只能眼睜睜地看著泛濫成災(zāi)的電子郵件垃圾死死地堵住了雅虎用戶們上網(wǎng)所需的路由器。,案例：“拒絕服務(wù)”,電子商務(wù)安全,雅虎網(wǎng)站遭襲后第二天，盡管世界各著名網(wǎng)站已經(jīng)高度警惕，但還是再次遭到這些神秘黑客的襲擊。世界最著名的網(wǎng)絡(luò)拍賣行eBay因神秘黑客襲擊而癱瘓了整整兩個(gè)小時(shí)，

7、以致任何的用戶都無法登錄該站點(diǎn)；赫赫有名的美國(guó)有線新聞網(wǎng) CNN隨后也因遭神秘黑客的襲擊而癱瘓近兩個(gè)小時(shí)；風(fēng)頭最勁的購物網(wǎng)站A也被迫關(guān)閉一個(gè)多小時(shí)!,電子商務(wù)安全,（一）個(gè)人電腦面臨的威脅,4、個(gè)人計(jì)算機(jī)受計(jì)算機(jī)病毒感染；,電子商務(wù)安全,計(jì)算機(jī)蠕蟲病毒,計(jì)算機(jī)蠕蟲病毒不會(huì)感染寄生在其它檔案，而是會(huì)自我復(fù)制并主動(dòng)散播到網(wǎng)絡(luò)系統(tǒng)上的其它計(jì)算機(jī)里面。就像蟲一樣在網(wǎng)絡(luò)系統(tǒng)里面到處爬竄，所以稱為“蠕蟲”。如沖擊波病毒，感染該病毒會(huì)導(dǎo)致系統(tǒng)不穩(wěn)定，造成系統(tǒng)崩潰，并出現(xiàn)倒計(jì)時(shí)重啟系統(tǒng)。,電子商務(wù)安全,特洛伊木馬(Trojan Horse),特洛伊木馬 (或簡(jiǎn)稱Trojan) 是一種計(jì)算機(jī)程序，偽裝成某種有用

8、的或有趣的程序，比如屏幕保護(hù)程序、算命程序、計(jì)算機(jī)游戲等，但是實(shí)際上卻包藏禍心，暗地里做壞事;它可以破壞數(shù)據(jù)、騙取使用者的密碼等等。一般特洛伊木馬不會(huì)自我復(fù)制，也不會(huì)主動(dòng)散播到別的計(jì)算機(jī)里面。 此外，還有：Pakistan 病毒 金蟬 病毒 海盜旗 病毒 蠕蟲 avaSnake 病毒 Mail-Bomb 病毒 熊貓燒香 病毒 紅色代碼,電子商務(wù)安全,（一）個(gè)人電腦面臨的威脅,5、流氓軟件。,電子商務(wù)安全,什么是流氓軟件？,“流氓軟件”是介于病毒和正規(guī)軟件之間的軟件。如果電腦中有流氓軟件，可能會(huì)出現(xiàn)以下幾種情況：用戶使用電腦上網(wǎng)時(shí)，會(huì)有窗口不斷跳出；電腦瀏覽器被莫名修改增加了許多工作條；當(dāng)用戶打

9、開網(wǎng)頁時(shí)，網(wǎng)頁會(huì)變成不相干的奇怪畫面，甚至是黃色廣告。 有些流氓軟件只是為了達(dá)到某種目的，比如廣告宣傳。這些流氓軟件雖然不會(huì)影響用戶計(jì)算機(jī)的正常使用，但在當(dāng)用戶啟動(dòng)瀏覽器的時(shí)候會(huì)多彈出來一個(gè)網(wǎng)頁，以達(dá)到宣傳目的。,電子商務(wù)安全,流氓軟件類別,間諜軟件、行為紀(jì)錄軟件、瀏覽器劫持軟件、搜索引擎劫持軟件、廣告軟件、自動(dòng)撥號(hào)軟件、盜竊密碼軟件等。,電子商務(wù)安全,強(qiáng)制安裝 難以卸載 瀏覽器劫持 廣告彈出 惡意收集用戶信息 惡意卸載 惡意捆綁 惡意安裝,它具有如下特點(diǎn)：,電子商務(wù)安全,（一）個(gè)人電腦面臨的威脅,6、黑客利用系統(tǒng)本身存在的漏洞攻擊他人。,電子商務(wù)安全,安卓系統(tǒng)案例：,據(jù)烏云漏洞平臺(tái)2015年

10、10月報(bào)告，安卓手機(jī)軟件（APP)存在一個(gè)“WormHole(蟲洞）”的安全漏洞。只要安卓設(shè)備連接網(wǎng)絡(luò)，無論是否刷機(jī)成為超級(jí)用戶（root),黑客都能對(duì)設(shè)備實(shí)現(xiàn)遠(yuǎn)程操控，安裝指定應(yīng)用。同時(shí)，還可上傳隱私短信和照片，彈出對(duì)話框顯示廣告或釣魚鏈接。,電子商務(wù)安全,蘋果系統(tǒng)案例,2015年8月烏云漏洞平臺(tái)披露，國(guó)內(nèi)一些ios應(yīng)用/插件開發(fā)團(tuán)隊(duì)在盜取越獄用戶的蘋果云服務(wù)（iCloud)賬號(hào)與明文密碼，并記錄在遠(yuǎn)程服務(wù)器。據(jù)了解，當(dāng)時(shí)已有超過22萬云服務(wù)賬號(hào)密碼等信息被多款內(nèi)置后門iOS插件竊取，是越獄iPhone手機(jī)真實(shí)竊密案例。經(jīng)驗(yàn)證，這些被盜的云服務(wù)賬號(hào)可以隨意登錄，各種郵件和照片等信息全部泄露。

11、,電子商務(wù)安全,（二）網(wǎng)絡(luò)安全的威脅,1. 黑客攻擊 2. 搭線竊聽 3. 偽裝身份 4. 信息泄密、篡改、銷毀 5. 間諜軟件襲擊 6. 網(wǎng)絡(luò)釣魚,電子商務(wù)安全,案例一：,電子商務(wù)安全,中國(guó)最小黑客：,新聞晨報(bào)：2014中國(guó)互聯(lián)網(wǎng)安全大會(huì)，12歲熊孩子汪正揚(yáng)，成了中國(guó)最小的黑客。還在清華附中讀初一的他：為了不做作業(yè)，入侵了學(xué)校的在線答題系統(tǒng)；他利用黑客“抓包技術(shù)”，花1分錢買了2500元的東西除了這些糗事，他還修復(fù)計(jì)算機(jī)漏洞100多個(gè)。 這位年僅12歲的漏洞報(bào)告者是來自清華附中初一年級(jí)的汪正揚(yáng)同學(xué)。他是北京市公安局、教委實(shí)施網(wǎng)安啟明星工程校本課的小學(xué)員之一。,電子商務(wù)安全,2005年2月份發(fā)

12、現(xiàn)的一種騙取美邦銀行（Smith Barney）用戶的帳號(hào)和密碼的“網(wǎng)絡(luò)釣魚”電子郵件，該郵件利用了IE的圖片映射地址欺騙漏洞，并精心設(shè)計(jì)腳本程序，用一個(gè)顯示假地址的彈出窗口遮擋住了IE瀏覽器的地址欄，使用戶無法看到此網(wǎng)站的真實(shí)地址。當(dāng)用戶使用未打補(bǔ)丁的Outlook打開此郵件時(shí)，狀態(tài)欄顯示的鏈接是虛假的。當(dāng)用戶點(diǎn)擊鏈接時(shí)，實(shí)際連接的是釣魚網(wǎng)站http:/*.41.155.60:87/s。該網(wǎng)站頁面酷似Smith Barney銀行網(wǎng)站的登陸界面，而用戶一旦輸入了自己的帳號(hào)密碼，這些信息就會(huì)被黑客竊取。,案例二：網(wǎng)絡(luò)釣魚攻擊,電子商務(wù)安全,2004年7月發(fā)現(xiàn)的某假公司網(wǎng)站（網(wǎng)址為），而真正網(wǎng)站為

13、，詐騙者利用了小寫字母l和數(shù)字1很相近的障眼法。詐騙者通過QQ散布“XX集團(tuán)和XX公司聯(lián)合贈(zèng)送QQ幣”的虛假消息，引誘用戶訪問。一旦訪問該網(wǎng)站，首先生成一個(gè)彈出窗口，上面顯示“免費(fèi)贈(zèng)送QQ幣”的虛假消息。而就在該彈出窗口出現(xiàn)的同時(shí)，惡意網(wǎng)站主頁面在后臺(tái)即通過多種IE漏洞下載病毒程序lenovo.ex，并在2秒鐘后自動(dòng)轉(zhuǎn)向到真正網(wǎng)站主頁，用戶在毫無覺察中就感染了病毒。病毒程序執(zhí)行后，將下載該網(wǎng)站上的另一個(gè)病毒程序bbs5.exe，用來竊取用戶的傳奇帳號(hào)、密碼和游戲裝備。當(dāng)用戶通過QQ聊天時(shí)，還會(huì)自動(dòng)發(fā)送包含惡意網(wǎng)址的消息。,電子商務(wù)安全,（1）信息的截獲和竊取。,如果沒有采用加密措施或加密強(qiáng)度不

14、夠，攻擊者可能通過互聯(lián)網(wǎng)、公共電話網(wǎng)、搭線、電磁波輻射范圍內(nèi)安裝截收裝置或在數(shù)據(jù)包通過的網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)等方式，獲取輸入的機(jī)密信息，或通過對(duì)信息流量和流向、通信頻度和長(zhǎng)度等參數(shù)的分析，推出有用信息，如消費(fèi)者的銀行賬號(hào)、密碼以及企業(yè)的商業(yè)機(jī)密等。,電子商務(wù)安全,（2）信息的篡改。,當(dāng)攻擊者熟悉了網(wǎng)絡(luò)信息格式以后，通過各種技術(shù)方法和手段對(duì)網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途修改，并發(fā)往目的地，從而破壞信息的完整性。 篡改、刪除、插入,電子商務(wù)安全,（3）信息假冒。,當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息以后，可以假冒合法用戶或發(fā)送假冒信息來欺騙其他用戶。,電子商務(wù)安全,（4）惡意破壞。,由于攻擊者

15、可以接入網(wǎng)絡(luò)，則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。,電子商務(wù)安全,（三）電子商務(wù)中防詐騙意識(shí)薄 弱的威脅,電子商務(wù)安全,案例一:朋友圈的集贊你參加過嗎？,電子商務(wù)安全,案例一：微信集贊詐騙,2016年1月，浙江蒼南的陳女士朋友圈被當(dāng)?shù)匾患矣皹堑募澔顒?dòng)刷屏了。消息說，轉(zhuǎn)發(fā)影樓活動(dòng)到朋友圈，集38個(gè)贊就能免費(fèi)拍照，并領(lǐng)取一臺(tái)多功能料理機(jī)，陳女士從朋友處獲悉，這家影樓已經(jīng)經(jīng)營(yíng)三四年，而且有多人領(lǐng)到多功能料理機(jī)，于是陳女士也加入了集贊大軍。 1月18號(hào)，集齊38個(gè)贊的陳女士前往影樓預(yù)約拍照，但影樓的一名員工跟她說，需要等1月20號(hào)之后才可以預(yù)約

16、，而且要交300元的押金，押金將在拍照后退還。陳女士質(zhì)疑為什么要交押金，對(duì)方說，影樓擔(dān)心活動(dòng)推出之后一些參與者光拍照不取片，照片積壓不好處理，所以要收取押金，等領(lǐng)完照片后馬上退還，陳女士沒有猶豫交了押金。 1月20號(hào)，陳女士致電影樓被告知預(yù)約已經(jīng)排滿，讓她以后再約，2月21號(hào)，陳女士在朋友圈看到有人說，影樓已經(jīng)關(guān)門，便前往影樓，發(fā)現(xiàn)影樓人去樓空，此后，陳女士聽說有幾百人受騙，于是報(bào)了警。,電子商務(wù)安全,犯罪分子冒充商家發(fā)布“點(diǎn)贊有獎(jiǎng)”信息,要求參與者將姓名、電話等個(gè)人資料發(fā)至微信平臺(tái)，一旦商家套取完足夠的個(gè)人信息后，即以“押金”、“手續(xù)費(fèi)”、“公證費(fèi)”、“保證金”等形式實(shí)施詐騙。如果消費(fèi)者貪圖

17、這些小便宜，往往一步一步陷入騙局。,電子商務(wù)安全,案例二：誠招網(wǎng)絡(luò)兼職，幫助網(wǎng)上商城賣家刷信譽(yù)，可從中賺取傭金,電子商務(wù)安全,2015年10月10日，剛從大學(xué)畢業(yè)的小龔在微博上看到一條兼職信息，要求很簡(jiǎn)單，只要會(huì)上網(wǎng)即可，條件卻很誘人，時(shí)間可以自由安排，一天有200500元的收益。一心想著賺點(diǎn)外快的小龔，試著加了微博上發(fā)的QQ?？头芸彀l(fā)了工作流程表和項(xiàng)目申請(qǐng)表過來，小龔按要求填寫了表格，并給對(duì)方發(fā)了過去。 這份兼職的工作是網(wǎng)上商城刷信譽(yù)，就是兼職人員通過客服發(fā)送的指定鏈接，按照要求在商城購買商品，付款之后，商城并不會(huì)真的把貨物發(fā)出，而是將貨款跟傭金返還給兼職人員。練手時(shí)，小龔在網(wǎng)上商城拍了一

18、只包，支付120元，很快自己銀行卡里就收到了125元錢。輕輕松松，小龔賺了5元錢。,電子商務(wù)安全,正式刷單，買的并不是商品，而是游戲點(diǎn)卡。刷完第一單，小龔發(fā)現(xiàn)貨款并沒有像練手時(shí)那樣打回到自己銀行卡上，她警惕地趕緊詢問客服?？头忉?，要刷完10單才能將本金跟傭金一并返還。 刷到第9單時(shí)，小龔發(fā)現(xiàn)，這筆訂單的金額突然由600元增加到了1800元。她又有點(diǎn)疑心，客服解釋，單子的鏈接都是系統(tǒng)自動(dòng)生成的，按要求操作就行了。 就這樣，小龔又按要求支付了很多單，但遲遲沒有收到匯款信息。這時(shí)的小龔，幾乎已經(jīng)刷單紅了眼。她自己沒錢，就以各種理由借錢，接著按照客服的要求多次操作付款，直到下午4點(diǎn)，小龔一共被騙了將近70萬元。她又氣又急，冷靜下來，才知道自己被騙了，趕緊報(bào)了警