新型安全威胁叫板电子商务(1)

目前，假冒网站、邮件欺骗、木马病毒已经成为新形势下电子商务面临的最重要的现实安全威胁；2005年我国网络用户被骗金额近１亿元人民币，今年 “五一”黄金周期间，银行卡相关病毒数和网络钓鱼网站数量进一步急速上升。以上事实和最近大量网络骗案的接连发生，提出了一系列值得我们思索和警示的问题。

因此，把握电子商务安全预警、安全防范的新情况、新特点和新技术，对于加快电子商务的发展具有重要意义。

网络钓鱼已经成为当前电子商务的重要风险

网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性邮件，意图引诱收信人给出敏感信息如用户名、口令、帐号 ID 、ATM PIN 码或信用卡详细信息的一种攻击方式。最典型的网络钓鱼攻击是将收信人引诱到一个通过精心设计与目标网站非常相似的钓鱼网站上，获取个人敏感信息，而这些个人的信息被泄露以后，网络钓鱼攻击者就可以假冒受害者进行欺诈性金融交易，从而获得经济利益，致使受害者经常遭受显著的经济损失。

网络钓鱼的诱骗手段很多，主要有：通过网络发布虚假、低价的产品的三种攻击方式信息作为诱饵，诱使购物心切的人们上当受骗；

利用一些网络技术四处传播木马病毒，窃取电脑机密；窃取银行卡的帐号、密码等重要信息，让人们受到经济上的损失；

搭建虚假电子商务平台建立假冒网站等实施欺诈行为，从而达到“网络钓鱼”的目的。

以上是三种网络诈骗的重要手法，随着钓鱼式攻击技术的发展，新的攻击方式不断出现和扩展，其攻击手段越来越狡猾，调查表明今年以来有关部门就监测到上百起钓鱼式攻击方式。

截至2005年5月的一年中，有7300万美国互联网用户收到过平均50多封/人的网络钓鱼邮件，比2004年前6个月增加了4倍。也就是说，每五个美国人中就有一个成为那些网络钓鱼者的攻击目标。因此，网络钓鱼去年给美国造成了近10亿美元的经济损失。

根据国家计算机网络应急技术处理协调中心的统计，目前中国的网络钓鱼网站占全球钓鱼网站的13%，名列全球第二位。去年一年，公安部侦破网络诈骗案件1350起，自2004年7月以来，该类欺诈报告更是以月均26%的速度递增。

仅2004年“国家计算机网络应急技术处理协调中心”就接到了金融网站和电子商务网站的仿冒报告223起。2005年4月以来，国内著名电子商务网站“淘宝网”连续发生数起卖家网上帐户被盗事件。此类偷窃行为给用户造成严重的经济损失，对中国电子商务的危害也最大。

对于当前大量发生在各网站的网民被骗案件，相当多的电子商务平台以“我只提供平台，风险与我无关”自居。因此，对入住的交易主体缺少必要的审查和管理，缺少网络化的交易监管，缺少对交易风险的提示和告诫，更缺少对交易风险的必要的赔付保障，以至网络骗子横行，网络钓鱼案件频发。

网络钓鱼诈骗的主要危害

网络钓鱼的发生给电子商务和网络营销带来了巨大的危害：

1.它恶化了电子商务的生态环境，搞乱了经济秩序

电子商务交换模式的一个重要特点是要实现从看货到付款的“直接交换”，过渡到以信用工具和信用体系为中介的“间接交换”。这种间接交换的普遍性，就依赖于信用体系的有效性。网络诈骗活动的发展和蔓延将使我们付出极大的信用建设成本。

2.骗取网民钱财使网民遭受经济损失

网上发布的海关查获的走私物品、二手汽车、超低价手机等诱饵具有极大的诱惑力，又有极大的欺骗性。一旦有人与他们联系，便以代缴税金、邮费、保险费等名义让受害人汇款。

据调查,这类诈骗犯罪涉及全国各地，受骗者既有工人、农民、知识分子，也有国家机关干部；既有城市居民，也有乡村群众。犯罪分子诈骗金额越来越大，几万、几十万，甚至上百万元人民币，使受害者倾家荡产，甚至有机关、企业财会人员不惜动用公款汇给骗子，给国家集体和个人财产造成重大损失。

3.挤占信道影响正常通讯秩序

据有关部门统计，国内平均每天发送的短信数量已经超过3亿条。在数量庞大的短信背后，利用短信诈骗的问题也愈加严重。有人做过调查，结果显示几乎100％的手机用户都曾收过陌生的短信。

4.破坏了网上的诚信交易环境

诚信，一直被认为是中国电子商务发展的最大瓶颈。

据有关专家分析，中国市场交易中由于缺乏信用体系，使得无效成本占GDP的比重至少为10％～20％。中国人民银行公布的数据显示，中国每年因逃废债务造成的直接损失约1800亿元人民币；国家工商总局统计，由于合同欺诈造成的直接损失约55亿元人民币；还有产品低劣和制假售假造成的各种损失至少有2000亿元人民币，这都直接导致了诚信成为当前中国电子商务所面临地最难以逾越的鸿沟。

因此，如何解决网上交易的失信问题，已首当其冲地摆在了各家电子商务网站面前。但是，有的网站面对可能发生的商业欺诈却无能为力，有的网站对已发生的欺骗行径表现无动于衷，有的网站虽然提出要采取措施治理失信卖家，但雷声大，雨点稀，很少付诸实际行动。

正因此，近年来，许多有识之士在电子商务资信环境建设上做了大量工作。上海、深圳等城市已启动了诚信制度的建设行动。但是，一个国家诚信意识的建立，需要一种整体、系统行动。

特别是针对网上银行交易诈骗伎俩层出不穷，单靠核实登入客户名称、密码以及教育消费者已不足以防止网络骗局的发生，香港银行界去年６月达成共识，确定网上交易实行双重认证的对策，这种双重确认的安全支付方式，极大地降低了交易风险。但遗憾的是，目前此对策尚没有引起我们的高度重视。

要弄清网络钓鱼的八种主要作案手法

这些网络骗子的主要作案手法如下：

1.网上拍卖不给商品；

2.以虚假信息引诱用户中圈套；

3.建立假冒网站骗取用户帐号；

4.利用虚假电子商务进行诈骗；

5.利用木马和黑客技术窃取用户信息后实施盗窃；

6.网址欺骗；

7.利用用户弱口令等漏洞破解猜测用户帐号和密码；

8.利用手机短信进行诈骗。

网上购物应掌握防范网络钓鱼的措施和技巧

为了防范和战胜网络骗术，人们在和网络骗子的斗争中想出了很多办法，这些办法对于防范网络钓鱼起到了重要的作用。

1.申请并安装数字证书

数字证书可以向银行或第三方安全认证机构去申请。中国金融认证中心（CFCA）就是金融行业权威的第三方安全认证机构，也是数字证书的发放机构。作为提供权威数字证书的第三方，如果是由于CFCA原因使客户受到损失，CFCA会承担相应的赔偿责任。目前标准是企业客户最高赔偿80万元人民币，个人客户最高赔偿2万元人民币。

数字证书使用中的两个注意事项是：在登陆所有国内商业银行第一次进入网银项目时，要先下载数字证书。用户有了证书，就可以通过检查安全证书，来确定身份。

点击浏览器右下脚状态栏上的挂锁图标后，就可查看证书内容确认所显示的证书信息以便检查安全证书是否仍在有效期内。

2.规范使用操作

实践证明：规范使用操作其实是一种非常简单的自我保护方式。我们可以从连接来源、证书使用场合等方面，通过规范使用场合来规避和预防网络诈骗案件的发生。

（1）做到“三及时一避免”就是：及时安装并升级杀毒软件；及时安装个人防火墙；及时安装操作系统补丁，避免下载来路不明的文件；

（2）不在不安全的地点进行在线交易；

（3）不盲目接受英文邮件；

（4）认真查对短信的来源；

（5）对要求重新输入帐号信息要进行电话验证；

（6）访问网站一定使用浏览器直接访问。

3.掌握网上银行安全使用技巧

进行网上支付，有许多严格的使用规则和技巧。很多使用者不注意认真的研究网上银行的支付说明及其相关规定，这是造成失手或被骗的重要原因。

首先，我们在进入网上银行后，在看到输入框时，不要急于输入信息，要检查IE是否启用加密连接（看看是不是有小锁的图标），并检查证书是否有效（双击小锁图标，打开证书界面，查看其有效期），最好还要检查证书是否与地址栏的地址相匹配，如果有其中一项不符合或不一致，那么就要先停止支付操作，进行原因追踪。

为了防止计算机中可能有木马窃取重要的信息，输入卡号时先输入一个错误卡号，再利用剪切/复制功能改为正确的卡号。这样，记录键盘操作的木马就无法取得你正确的卡号，这就避免了木马窃取卡号的风险。

我们在输入密码时先输入一次错误密码，不仅防止木马记录键盘操作，更可以防止克隆网站情况地发生。一些克隆网站常常会给出“系统忙”、“服务器出错”等信息，假网站的面目就会暴露。

应该指出的是：如果我们使用正确密码登录经常出错，无论什么原因，都应该立刻修改密码。

4.安装使用“反钓鱼专家”

由于网络钓鱼的网络诈骗手段令人痛恨，因此，制止和反击网络钓鱼的软件和工具应运而生。雅虎中国5月正式免费推出了“反钓鱼专家”下载版本，是可以智能分辨真假银行网址的一款安全服务软件。

5.采用动态口令密码技术

中国建设银行首推了动态口令密码技术。用刮刮卡输入密码，每张刮刮卡覆盖45个不同的密码。

这种动态口令技术在网上银行发达的北欧十分普及。动态口令是一种动态密码技术，就是客户使用不同的一次性密码，进行身份认证和交易确认，而且每个密码只可以使用一次，不容易被网络骗子发现规律和进行破解。

目前，该项技术已经在辽宁、宁波、浙江三地进行了试点。

6.采用规范性安全操作方法

防范网络钓鱼等网络欺诈的发生，除了采取多种防范技术和防范措施，还需要采用规范性、或适应性的具有防范作用的网络操作方法。

——使用软键盘输入密码

通过软键盘输入密码，可有效防止那些通过记录键盘击键记录来达到盗取密码的恶意程序，保护了个人隐私。

——使用收藏夹避免误入假网站

网络骗子在进行网络钓鱼时，就是通过制造形似而实非的假网站，使人们陷入假银行网站的陷阱。针对这种情况，我们在正确登录网上银行后，就可以将网上银行网站添加到收藏夹中，下次你就可以直接从收藏夹中调出网上银行页面了，这是一种简单、有效地对付假网站的办法。

7.清除登录网上银行的痕迹

我们在登录网上银行退出后，要将登录网上银行的历史记录清除掉。以避免木马程序跟踪登陆情况，获取我们网上银行的相关信息。

总之，只要你增强网上风险意识，做到精心操作，规范使用中的操作方法，就能战胜和排除各种网络骗子的干扰，安全的使用网上银行。

8.防止移动中的安全漏洞

移动商务近来获得了快速发展，但移动商务中的安全性也日益成为当前的重要问题，大量黑客故意使公司Web服务器超载的“拒绝服务”攻击便可造成很严重地威胁和破坏力度。

移动电子商务领域中安全问题的多元性也增加了问题的复杂程度。

在移动电子商务中，公司的安全措施将承受巨大压力并易于遭遇前所未有的大量滥用。大众用户群要求在漫游时保持机密性和私密性，但公司却不得不面对广泛使用的不安全设备、糟糕的用户鉴权控制、不安全的RF接口等，因此迎接移动商务安全的战略和解决方案的新挑战至关重要。

首先要进行创新研究，特别是实施端到端战略，以降低风险并开发端到端移动电子商务解决方案。此类战略设计要综合考虑每家公司及其每位客户以及具体移动应用的要求，确保数据从传输点到最后目的地之间完全的安全性。

还要进行技术防护。目前，市场上提供了许多安全性解决方案（以流程、技术和组织模式的方式）来进行严格的用户鉴定。为确保移动环境中的安全性，强烈要求应用“双钥”鉴权（基于您所拥有的和您所知道的事物的鉴权）、“单一登录”等新技术，以降低移动商务运行中的不安全性。(n101)　

1