前言
11月、12月都是一场网络购物季的狂欢,无论是国内的”双十一“、”双十二“,还是美国的”黑五“和”网络星期一“,参与人数和创造的销售额每年都在刷新纪录,有钱的捧个钱场,没钱的捧个人场,国内的买完了就去买国外的。在双十一期间,很多国内安全团队和安全实验室都发布了安全购物指南,有的谈消费者如何避免成为网络欺诈的受害者,有的帮助真心卖货的商家抵御恶意羊毛党,还有的聊了网络购物季背后的地下黑产。
在这篇文章里,国内网络购物的安全情况就不再赘述了,主要聊聊美国购物季上网络黑手的两大套路,帮助伙伴们在跨洋消费时规避网络安全风险。
网络钓鱼
Carbon Black的《假日网络安全》研究报告指出,鱼叉式网络钓鱼攻击占比最高,通常是将包含恶意代码\软件的文件伪装成正常业务往来邮件的附件,或是引诱用户点击邮件内容中的恶意链接。以前类似的网络攻击主要针对消费者个人,现在有转向大品牌工作人员、供应链合作伙伴的趋势,直接瞄准以百万计的客户记录和信用卡号码,受损企业往往要付出极高的成本来解决相关事件。
电子邮件对于国外本土消费者和我国海购党来说是主要的信息传递和确认渠道,在购物季用户的邮箱常常塞满了各种确认函、活动邀请、发货清单或者通知之类的主题邮件,网络犯罪分子正是利用这一点,采用长得很像的电子邮件地址或者直接伪造大大品牌客服邮箱来群发假冒上述主题的邮件。
1. 附件里的好东西都是送你的,要不要?
可能躺在用户收件箱里诱惑最大邮件是伪装成赠送电子礼品卡、优惠券的一些了。
点击其中附件将下载包含恶意Office宏代码的Word,然后用户打开该文档是就会将Geodo/Emotet网银木马释放到本地,或者让受害者接受退款、进行支付等。危害最大的还是针对品牌商的网络攻击,通过接管管理员账户来进行针对旗下用户的大面积的鱼叉式网网络钓鱼攻击。
2. 恶意广告:点我你就上当了
随着各大品牌在年底消耗最后一波预算,恶意广告在网络购物季期间也变得更加活跃。
投放恶意广告的人都是机会主义者,他们也会根据当前的环境增加投入、调整投放的频次和位置来获取更多的黑色利益。只要投资回报率还可以,他们的商业模式或者说是黑产的雪球就会越滚越大,将数据、受感染的设备大量变现,甚至将业务出租给别人。在2018年美国感恩节假期期间,光某一家安全厂商就检测到和阻止了2000万次攻击。攻击者在大量的网络平台之间不断切换,平台管理员往往疲于应对且效果不佳。
水坑攻击
水坑攻击是一种看似简单但成功率较高的网络攻击方式。攻击目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,然后入侵其中一个或多个网站,植入恶意软件。在目标访问该网站时,会被重定向到恶意网址或触发恶意软件执行,导致该组目标中部分成员甚至全部成员被感染。按照这个思路,水坑攻击其实也可以算是鱼叉式钓鱼的一种延伸。
目前多数国内外电商使用的广告网络平台是实施水坑攻击的有效途径。水坑攻击可以通过攻击目标网站使用的广告网络来执行。这涉及将恶意网站广告或者恶意广告 (文字或图片)插入到将被传送到不同网站的跳转广告。由于大部分网站都使用同一广告网络,因此布设攻击网络时可以达到事半功倍的效果。
在网络购物季期间,越来越多的水坑攻击案例浮出水面。这种攻击方式付出的精力要比交叉式网络钓鱼多,以前多用于商业间谍、国家间的网络暗战等领域。现在,攻击者正在使用这种技术来瞄准大品牌和忠于它们的客户。水坑攻击应当成为是电子商务网站的主要关注点,在面对这些攻击时,不仅仅是IT部门要出钱出力,网站、Web管理员、市场部门也不能袖手旁观, 随着水坑攻击面的扩大,现在网络安全技术问题已经演变品牌声誉问题了。
最典型的例子是JsonP,它可以通过发起JavaScript的跨域请求来绕过同源策略。然而,绕过同源策略会导致不同源或域之间的数据泄漏。而且,尤其是当JSONP涉及到了用户的数据信息时,这样是极其危险的。既然JSONP请求/回应能够绕过同源策略,那么恶意网站便能够通过这种机制,让目标主机发起跨域JSONP请求,并使用”脚本”标签来读取用户的隐私数据。
怎么办
在个人平时使用网络银行和网上购物的过程中,可以做到以下几点来防范网络钓鱼和水坑攻击:
小编觉得能够做到以上几点的普通用户并不多,哪怕做到了还是难以彻底防范这两种攻击方式。如果真的买了很多东西:
什么时间去香港购物比较好?折扣多
现在就来吧,香港旅游发展局统筹的 香港冬日缤纷节已开始了,我昨天陪来港朋友购物,金行也打折,还有礼品,每年都有香港购物节是由香港旅游发展局统筹,一般参加的是高档名店, 一般都会打折但折扣不同,实际日子每年有所不同 ,你可以到香港旅游局网关注市面一般以圣旦前後,春节前为折扣高峰,因打工仔年尾发奖金花红,现金多了,圣旦过年也要送礼,商家也要清货套现过大年,皆大欢喜.
购买手机时都需注意哪些问题?
多收集些手机的基本情况,在购买手机的时候不要盲从,针对不同品牌选择手机非常有必要。 另外,在亲身前往卖场之前,你应该可以确定适合自己需求的几款手机了。 这些款式的硬件规格、优点、缺点,都应该了然于胸了。 努力保持清醒的头脑,买东西一定要货比三家,不比不知道,比了才知晓。 少听从商家的蛊惑,自己亲自去进行比较。 一般情况下在新机型上市的半年中不仅价格不稳定,机器的硬件软件也不稳定,如果想购新机大可以在这段时间内先持币观望一番.仔细检查手机和配件:手机上输入“*#06#”,把手机屏幕上显示出来的IMEI号码是否与手机背后(电池取出后可看到)的IMEI号码以及和手机包装盒上的IMEI号码、黄色贴纸上的IMEI号码相符,以此判定该手机的主板是否换过。 检查配件种类和数量是否与厂家专营店的标准配置相同,电池、附件是否为厂家原配、经销商是否有品质保证或相应的书面保用承诺。 分辨手机是“行”是“水”:识别水货手机可以有几种方法:一是看外包装和说明书。 真品的外包装和说明书印刷清晰、漂亮、手感好,纸质为铜版纸,发亮,而假冒的却粗糙,字迹模糊,纸质是普通的单面纸,手感差。 二是看售后服务。 真品在电池与机身的接触部位并无任何标记,而假冒的却贴了一个标签,美其名曰维修标记,上面写着“手机发生质量问题可到某某店维修”,这实际上是心里有鬼,怕消费者把手机拿到厂商指定的维修点维修时露出马脚。 三是看机芯的新旧成色,而不要被漂亮的外壳所迷惑。 四是看价格,水货和假货的价格比真品同型同款的要低.没有发票任何厂商许诺的保修都可能成为一句空话,另外为了国家的繁荣,我们也应该索取发票。 消费者应主动索取发票,并要求销售者把主机机身号(IMEI串号)和进网标志、附件的出厂序号(批号)、产品商标、型号和电池生产序号写到三包凭证或发票上。 消费者凡是退和换手机都应找销售者,在修的过程中遇到问题,也要找销售者,他有义务给你解决。 发票是购买活动的凭证,对于赠品销售者也要实行三包,因此也应在发票上注明赠送物品。 而相对于发票来说,保修单更要求把在发票上写明的内容记清楚,注意保修时限一般应为一年,最好要求全国联保,这样比较方便。 想买手机的朋友要认真的看看咯.
哈尔滨百盛购物中心清明有打折活动么?
百盛一年四季都打折,只是有些品牌不参加活动,或者折扣比较少。
发表评论