謹(jǐn)防網(wǎng)絡(luò)購(gòu)物的十大“黑客陷阱”

現(xiàn)如今，網(wǎng)絡(luò)購(gòu)物已經(jīng)悄然成為一種消費(fèi)時(shí)尚。截至到09年6月，我國(guó)網(wǎng)購(gòu)用戶規(guī)模已達(dá)8788萬(wàn)，全年網(wǎng)購(gòu)總金額預(yù)計(jì)將達(dá)到2500億元左右。面對(duì)如此大的消費(fèi)市場(chǎng)，一些網(wǎng)絡(luò)黑客捕捉到了“商機(jī)”，這些網(wǎng)購(gòu)的不速之客在用戶實(shí)行網(wǎng)購(gòu)的過(guò)程中，挖好了一個(gè)又一個(gè)“技術(shù)”陷阱，大肆騙取用戶錢財(cái)。

　　據(jù)金山互聯(lián)網(wǎng)安全專家李鐵軍介紹，網(wǎng)絡(luò)購(gòu)物過(guò)程中的“陷阱”非常多，與一些現(xiàn)實(shí)中傳統(tǒng)的欺詐手法不同，網(wǎng)絡(luò)黑客往往憑借自身掌握的電腦知識(shí)，利用一些技術(shù)手段，如利用木馬控制用戶電腦、劫持交易網(wǎng)頁(yè)、網(wǎng)站掛馬等，騙取用戶錢財(cái)。而這些手段和方式，與傳統(tǒng)的欺詐手法相比，更隱蔽，更不容易察覺(jué)。

　　為了更好的保障網(wǎng)購(gòu)用戶的財(cái)產(chǎn)安全，12月9日，國(guó)內(nèi)知名的安全廠商金山聯(lián)手傲游瀏覽器、淘寶、支付寶共同推出了國(guó)內(nèi)首個(gè)網(wǎng)購(gòu)安全平臺(tái)。從登陸網(wǎng)頁(yè)、交易、支付等各個(gè)環(huán)節(jié)保障網(wǎng)購(gòu)用戶的購(gòu)物安全。同時(shí)，為了讓更多的用戶在網(wǎng)絡(luò)購(gòu)物的過(guò)程中提高警惕，金山互聯(lián)網(wǎng)安全專家李鐵軍針對(duì)網(wǎng)絡(luò)購(gòu)物過(guò)程中的十大“黑客陷阱”進(jìn)行了深入解析。

　　陷阱一、中獎(jiǎng)謎局

　　中大獎(jiǎng)是網(wǎng)絡(luò)購(gòu)物過(guò)程中最常見(jiàn)的“釣魚(yú)”欺詐術(shù)。通常情況下，騙子冒充一些知名大公司的名義，通過(guò)QQ、淘寶旺旺等常用對(duì)話工具向用戶傳播中獎(jiǎng)信息。誘導(dǎo)用戶進(jìn)入相似度非常高的假網(wǎng)頁(yè)，進(jìn)而引導(dǎo)用戶輸入網(wǎng)銀的帳號(hào)密碼或向其他指定帳號(hào)匯款，給用戶帶來(lái)經(jīng)濟(jì)上的損失。（圖1）

圖（1）

　　案例：

　　黃小姐經(jīng)常在淘寶網(wǎng)上購(gòu)物。近日，她像往常一樣看中了一件商品，當(dāng)她點(diǎn)擊該商品后卻出現(xiàn)了一個(gè)中獎(jiǎng)頁(yè)面， 上面寫著：“百萬(wàn)巨獎(jiǎng)樂(lè)翻天———淘寶周年慶典”等字樣，說(shuō)為了慶�！疤詫殹背闪�6周年，特與三星公司攜手舉辦“六周年慶典百萬(wàn)巨獎(jiǎng)樂(lè)翻天抽獎(jiǎng)活動(dòng)”，系統(tǒng)每日將在淘寶用戶中隨機(jī)抽取3名幸運(yùn)用戶，并稱黃小姐是幸運(yùn)用戶，中了5萬(wàn)元大獎(jiǎng)。同時(shí)，網(wǎng)頁(yè)上還顯示了她的獲獎(jiǎng)驗(yàn)證碼，讓她登錄賬號(hào)和驗(yàn)證碼領(lǐng)取獎(jiǎng)品。同時(shí)，網(wǎng)頁(yè)上提醒她要妥善保管好自己的驗(yàn)證碼，避免他人盜取冒領(lǐng)。在未收到獎(jiǎng)品之前，請(qǐng)勿登錄淘寶網(wǎng)，以免賬號(hào)被盜，導(dǎo)致無(wú)法領(lǐng)到獎(jiǎng)品。

　　一切看似都很正常，而黃小姐要想領(lǐng)取5萬(wàn)元大獎(jiǎng)，必須先向指定帳戶預(yù)付千元的個(gè)人所的稅。狐貍尾巴終于露出來(lái)了。幸運(yùn)的是，黃小姐電腦中安裝了一個(gè)免費(fèi)的專門針對(duì)此種釣魚(yú)網(wǎng)站的安全工具金山網(wǎng)盾，當(dāng)黃小姐打開(kāi)這個(gè)網(wǎng)頁(yè)的同時(shí)，金山網(wǎng)盾提示黃小姐此網(wǎng)頁(yè)為危險(xiǎn)網(wǎng)頁(yè)，并進(jìn)行了攔截。

　　陷阱二、低價(jià)誘惑

　　一件原本萬(wàn)元的產(chǎn)品，現(xiàn)在僅用幾百元就能買到。是不是你也有些心動(dòng)了呢？然而，天下沒(méi)有免費(fèi)的午餐。低價(jià)誘惑正是網(wǎng)絡(luò)購(gòu)物過(guò)程中的又一種常見(jiàn)欺詐形式。騙子先利用低價(jià)吸引用戶進(jìn)入假的釣魚(yú)網(wǎng)站，用戶一旦放松警惕，很有可能帶來(lái)財(cái)產(chǎn)損失。

　　案例：

　　張先生準(zhǔn)備為自己買一個(gè)3G手機(jī)，無(wú)奈自己看中的一款產(chǎn)品目前在實(shí)體店中的銷售價(jià)格超出了預(yù)算范圍。于是，張先生準(zhǔn)備在網(wǎng)上看看是否有更便宜的。結(jié)果功夫不付有心人，張先生在一個(gè)論壇中，發(fā)現(xiàn)有人介紹這款手機(jī)，而且價(jià)格僅是實(shí)體店中的三分之一，張先生迫不及待地登陸了帖子中提到的網(wǎng)頁(yè)，并按照網(wǎng)頁(yè)上的提示完成了購(gòu)買，并向頁(yè)面上指定的帳戶匯了錢。結(jié)果，兩周過(guò)去了，張先生依然沒(méi)有是收到手機(jī)，而再次登陸該網(wǎng)頁(yè)的時(shí)候，已經(jīng)無(wú)法打開(kāi)。

　　陷阱三、搜索欺詐

　　用戶在網(wǎng)絡(luò)購(gòu)物的過(guò)程中，必不可少的要使用到搜索引擎。通過(guò)搜索引擎搜索商品，搜索自己想進(jìn)入的網(wǎng)址。以網(wǎng)絡(luò)銀行為例，大部分用戶可能并不能直接輸入某個(gè)網(wǎng)銀的地址，而必須要借助搜索引擎來(lái)進(jìn)行搜索，在這個(gè)過(guò)程中，黑客可通過(guò)制作假網(wǎng)站的方法，設(shè)計(jì)一個(gè)與真的網(wǎng)銀網(wǎng)頁(yè)同樣的網(wǎng)站，用戶一但誤進(jìn)入這個(gè)網(wǎng)頁(yè)，黑客即將離開(kāi)展開(kāi)行騙，通過(guò)誘惑用戶輸入帳號(hào)和密碼等方式騙取用戶錢財(cái)。圖（2）

圖（2）

　　案例：

　　李女士在一次網(wǎng)絡(luò)購(gòu)物的過(guò)程中遇到了“李鬼”。李女士想通過(guò)網(wǎng)絡(luò)購(gòu)買一臺(tái)豆?jié){機(jī)，已經(jīng)跟賣家談好價(jià)格，只需要通過(guò)電子銀行匯款后等待賣家發(fā)貨。由于不經(jīng)常使用網(wǎng)絡(luò)銀行，李女士并不記得具體的網(wǎng)址，只有借助搜索引擎。于是，通過(guò)搜索李女士很順利的進(jìn)入了該銀行網(wǎng)頁(yè)。而在交易過(guò)程中，李女士不經(jīng)意間看了一下網(wǎng)址，結(jié)果發(fā)現(xiàn)本來(lái)應(yīng)該是http://www.icbc.com.cn/icbc/卻變成了http://www.1cbc.com.cn/1cbc/，李女士慶幸還沒(méi)有匯款,立刻關(guān)閉了該網(wǎng)頁(yè)。

　　陷阱四、網(wǎng)頁(yè)劫持

　　如果用戶知道網(wǎng)上銀行的地址，就可以自己在瀏覽器中輸入該地址，但是在登錄過(guò)程中黑客借助用戶電腦中已植入的木馬，可對(duì)瀏覽器進(jìn)行HOSTS跳轉(zhuǎn)控制，將用戶引導(dǎo)到精心制作的假網(wǎng)站，記錄用戶的帳戶信息。另外，黑客還可利用某些系統(tǒng)安全漏洞進(jìn)行攻擊的腳本木馬，嵌入到網(wǎng)頁(yè)中。如果來(lái)訪電腦存在這些安全漏洞，腳本木馬就能攻入電腦，下載鍵盤記錄器和屏幕記錄器。

　　案例：

　　王小姐是一個(gè)網(wǎng)絡(luò)銀行的擁護(hù)者，自從有了網(wǎng)絡(luò)銀行，王小姐覺(jué)得給自己的生活帶來(lái)的諸多方便。不過(guò)前幾天，王小姐遇到了一件奇怪的事情。王小姐準(zhǔn)備通過(guò)網(wǎng)絡(luò)銀行交一下房貸，在通過(guò)瀏覽器輸入了網(wǎng)絡(luò)銀行的網(wǎng)址后，按回車鍵進(jìn)入了網(wǎng)絡(luò)銀行頁(yè)面，一切都沒(méi)有什么不同，而細(xì)心的王小姐發(fā)現(xiàn)在打開(kāi)網(wǎng)頁(yè)的一瞬間，網(wǎng)址欄中顯示的地址已經(jīng)不再是自己輸入的地址，而是換成了另外一個(gè)地址。王小姐很奇怪，于是播打了金山毒霸的客服電話，金山毒霸反病毒專家經(jīng)過(guò)對(duì)問(wèn)題的分析，最后確認(rèn)王小姐的電腦被植入了木馬病毒，并對(duì)瀏覽器進(jìn)行HOSTS跳轉(zhuǎn)控制。當(dāng)王小姐輸入指定網(wǎng)址，打開(kāi)網(wǎng)頁(yè)的過(guò)程中，已經(jīng)自動(dòng)跳轉(zhuǎn)到另一個(gè)網(wǎng)頁(yè)。

陷阱五、調(diào)包網(wǎng)址

　　在挑選商品時(shí)，用戶通常會(huì)向賣家咨詢商品更多的信息，或者討價(jià)還價(jià)，在這個(gè)環(huán)節(jié)中用戶需要特別留意賣家發(fā)給我們的鏈接頁(yè)面是否正常。金山毒霸互聯(lián)網(wǎng)工作室已發(fā)現(xiàn)，一些黑客會(huì)利用真實(shí)的網(wǎng)店商品與顧客討價(jià)還價(jià)，卻將偽造的釣魚(yú)頁(yè)面鏈接發(fā)給買家，誘使買家在釣魚(yú)頁(yè)面購(gòu)買，以便套取買家的帳號(hào)信息。圖（3）

　　案例：
　　小濤想在網(wǎng)上購(gòu)買一張價(jià)值100元的手機(jī)充值卡，拍下之后付款到賣家的支付寶，賣家叫小濤登錄某網(wǎng)站，用網(wǎng)銀匯款0.1元到他的賬戶里，說(shuō)是用來(lái)提取單號(hào)，通過(guò)單號(hào)來(lái)提取充值卡卡密。小濤心想：既然都付了100元錢到支付寶上了，也不在乎那0.1元了。于是按提示支付，可多次出現(xiàn)超時(shí)問(wèn)題，當(dāng)初以為是電腦瀏覽器問(wèn)題，于是和淘寶上那位賣充值卡的賣家說(shuō)，讓他的“技術(shù)人員”加小濤ＱＱ，加了后，一番交談，小濤進(jìn)入了“技術(shù)人員”所提供的支付網(wǎng)站，登錄網(wǎng)站后，在付款的前一刻，支付金額清清楚楚寫著“０．１０元”，按了付款后，一分鐘內(nèi)，手機(jī)收到銀行的短信，內(nèi)容說(shuō)“銀行支出10000元”！


　　陷阱六、支付欺詐

　　當(dāng)選中商品后就需要登錄網(wǎng)銀，在這個(gè)階段，最有可能遭遇的是黑客利用木馬進(jìn)行的鍵盤記錄和屏幕記錄，鍵盤記錄能幫助黑客獲得用戶的登錄帳號(hào)，屏幕記錄則能將用戶的每一步操作都記錄下來(lái)，為黑客提供“教程”。另外，在用戶通過(guò)IE成功登錄網(wǎng)銀后，一些“潛伏”在用戶電腦中的病毒開(kāi)始操控用戶，如在用戶匯錢、轉(zhuǎn)帳時(shí)修改匯錢對(duì)象的帳號(hào)、姓名、金額等。

　　案例：
　　自己的電腦完全在別人的控制之中，而這個(gè)人又看不到，摸不著，想一想都讓人害怕。而近日，小張就遇到了類似的情形。小張?jiān)谝淮尉W(wǎng)絡(luò)購(gòu)物的過(guò)程中，突然發(fā)現(xiàn)自己的電腦鼠標(biāo)自己開(kāi)始移動(dòng)，并開(kāi)始進(jìn)行交易操作，擁有幾年互聯(lián)網(wǎng)使用經(jīng)歷的小張還是第一次遇到這個(gè)事情。情急之下，小張立刻拔掉了網(wǎng)線，切斷了網(wǎng)絡(luò)。后經(jīng)過(guò)確認(rèn)，原來(lái)小張的電腦里隱藏了一個(gè)灰鴿子木馬。小張的一舉一動(dòng)都在別人的監(jiān)控之下。

　　陷阱七、真假交易

　　偽造網(wǎng)絡(luò)店鋪和商品頁(yè)面，偽裝成賣家實(shí)施詐騙。通過(guò)偽造店鋪和商品頁(yè)面，并偽裝成賣家，利用交易中的留言或IM聊天工具、郵件等方式散發(fā)釣魚(yú)網(wǎng)站并用各種理由騙取買家點(diǎn)擊進(jìn)行詐騙。

　　案例：
　　網(wǎng)友小劉前幾天在網(wǎng)上買了一雙鞋，結(jié)果2周過(guò)去了，還沒(méi)手收到鞋。而最讓小劉鬧心的是，購(gòu)買過(guò)程中，賣家稱小劉購(gòu)買的款賣的特別快，剛好沒(méi)貨了，需要臨時(shí)去調(diào)貨，但需要小劉先匯下款，由于該賣家頁(yè)面上顯示的信譽(yù)度非常高，所以小劉也沒(méi)加思索，匯了款。回想起整個(gè)交易過(guò)程，小劉發(fā)現(xiàn)，他并不是在淘寶上登陸此店鋪，而是在一個(gè)交易留言中登陸了該鏈接，也正式因?yàn)檫@樣，小劉才誤入了騙子的陷阱，做一一筆根本不存在的買賣。

　　陷阱八、掛馬網(wǎng)頁(yè)

　　欺詐類的網(wǎng)絡(luò)釣魚(yú)嚴(yán)重威脅著網(wǎng)銀用戶的帳戶安全，但在黑客為了經(jīng)濟(jì)利益越來(lái)越殺紅了眼的時(shí)候，網(wǎng)絡(luò)釣魚(yú)還和掛馬網(wǎng)站相互勾結(jié)，以掛馬網(wǎng)站導(dǎo)致用戶中毒，木馬批量盜號(hào)最后針對(duì)性釣魚(yú)的方法，讓用戶防不勝防。

　　案例：
　　已有四年網(wǎng)上銀行使用心得的用戶孫先生講述了自己的一段經(jīng)歷。作為淘寶的資深賣家，孫先生對(duì)騙子的伎倆還算比較熟悉，前段時(shí)間，一個(gè)陌生人通過(guò)旺旺詢問(wèn)孫先生是否以卡號(hào)為*****的帳戶向他多匯入了一萬(wàn)多的貨款，因?yàn)樵撃吧�人�?zhǔn)確的說(shuō)出了孫先生的帳戶信息，孫先生還是登錄了自己的網(wǎng)銀查看是否有這筆交易。

　　就在孫先生查看帳戶發(fā)現(xiàn)并沒(méi)有這次交易之后，該陌生人還反復(fù)讓孫先生確認(rèn)是否多支付了貨款。第二天，讓孫先生奇怪的事情發(fā)生了，自己的網(wǎng)銀帳戶上只剩下了50多元錢，交易記錄中顯示著孫先生有一萬(wàn)多元的“金買”交易，孫先生很快撥打了銀行的客服熱線，賣掉了帳戶里購(gòu)買的紙黃金，“丟失”的錢回來(lái)了，只損失了200多塊錢的孫先生感到自己還算幸運(yùn)。

　　盡管“丟失”的錢已經(jīng)找了回來(lái)，不過(guò)孫先生還是對(duì)這次離奇的經(jīng)歷不得其解。了解到孫先生的遭遇后，金山毒霸互聯(lián)網(wǎng)工作室的工程師對(duì)這一事件做出了解釋：這一事件的關(guān)鍵是，旺旺聊天工具中的陌生人掌握了孫先生的帳戶號(hào)碼和姓名，換取了孫先生的信任。事實(shí)上，這是孫先生訪問(wèn)掛馬網(wǎng)站后中毒，銀行帳號(hào)等個(gè)人信息被盜，但因?yàn)閷O先生有口令卡或U盾，而孫先生在此受監(jiān)視過(guò)程中并未使用U盾或口令卡，導(dǎo)致對(duì)方無(wú)法將錢轉(zhuǎn)出，只能登錄用戶的銀行帳號(hào)將錢購(gòu)買為紙黃金或是通過(guò)E轉(zhuǎn)轉(zhuǎn)到支付卡（帳號(hào)內(nèi)部操作不需要U盾或動(dòng)態(tài)口令），此時(shí)用戶的帳號(hào)余額變少，但沒(méi)有實(shí)際損失。

　　陷阱九、電子郵件圈套

　　發(fā)送電子郵件，以虛假信息引誘用戶中圈套。不法分子大量發(fā)送欺詐性電子郵件，郵件多以中獎(jiǎng)、顧問(wèn)、對(duì)賬等內(nèi)容引誘用戶在郵件中填入金融賬號(hào)和密碼，或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁(yè)提交用戶名、密碼、身份證號(hào)、信用卡號(hào)等信息，繼而盜竊用戶資金。

　　案例：

　　前幾天，王小姐收到一封電子郵件，發(fā)現(xiàn)是一個(gè)化妝品店發(fā)來(lái)了，稱可以幫忙從國(guó)外帶各種化妝品。王小姐正好在計(jì)劃給自己購(gòu)買一款化妝品，于是就跟對(duì)方取得了聯(lián)系，經(jīng)過(guò)一翻交涉，對(duì)方同意以比較低的價(jià)格幫王小姐購(gòu)買化妝品，但需要王小姐先預(yù)付一半的費(fèi)用作為訂金，王小姐覺(jué)得這筆買賣很劃算，結(jié)果立刻給匯了款，匯款后王小姐就覺(jué)得不對(duì)勁，再一看，剛剛聊天的QQ頭像已經(jīng)變成了灰色，而且再也沒(méi)有回應(yīng)。

　　陷阱十、肉雞交易

　　網(wǎng)購(gòu)者通過(guò)瀏覽掛馬網(wǎng)站或下載軟件的過(guò)程中中了木馬，電腦淪為肉雞，該木馬可將擁護(hù)的銀行帳號(hào)和密碼盜取，但由于需要口令卡，一旦用戶有交易行為，通過(guò)設(shè)置假的銀行升級(jí)窗口，引導(dǎo)用戶輸入口令卡密碼，進(jìn)而轉(zhuǎn)移用戶錢財(cái)。

　　案例：

　　四川的楊女士要買個(gè)煮蛋器，在使用支付寶支付時(shí)，突然彈出個(gè)農(nóng)業(yè)銀行的升級(jí)提示，要求輸入動(dòng)態(tài)口令卡密碼，楊女士一時(shí)沒(méi)留意就按提示輸入了，還輸入了兩次。但依然顯示支付失敗。后來(lái)?xiàng)钆�士去商�?chǎng)購(gòu)物刷卡才知道，農(nóng)行卡內(nèi)的錢被盜走四千多元，只剩下幾元余額。

接　　到楊女士求助的互聯(lián)網(wǎng)工作室對(duì)這一事件進(jìn)行了分析，首先楊女士因?yàn)椴患皶r(shí)更新殺毒軟件病毒庫(kù)，導(dǎo)致楊女士訪問(wèn)了掛馬網(wǎng)站或者通過(guò)下載軟件中了木馬，該木馬將用戶的銀行賬號(hào)和密碼盜取，但由于需要口令卡，所以和孫先生的經(jīng)歷一樣，楊女士帳戶里的錢此時(shí)不會(huì)真正被盜。

　　很快，“駐扎”在楊女士電腦系統(tǒng)中的木馬監(jiān)控到楊女士有支付行為，遠(yuǎn)程通知黑客“肉雞上線了”，而黑客通過(guò)預(yù)先已經(jīng)盜取的帳號(hào)和密碼迅速登錄網(wǎng)銀發(fā)起轉(zhuǎn)賬交易，同時(shí)將轉(zhuǎn)帳需要的口令卡的坐標(biāo)位置通過(guò)遠(yuǎn)控木馬發(fā)送到用戶端，此時(shí)楊女士的電腦上彈出了銀行升級(jí)的窗口，要求用戶填寫口令卡密碼，楊女士輸入后，黑客立即獲取到，轉(zhuǎn)賬交易成功。楊女士的錢就這樣被黑客盜走了。

　　在金山毒霸工程師的分析下，楊女士終于明白了帳戶丟失的其中奧秘。盡管和孫先生相比楊女士的遭遇實(shí)屬不幸，但事后，楊女士還是表示，如果自己有豐富的安全經(jīng)驗(yàn)，也不會(huì)被騙子“俘獲”，今后會(huì)養(yǎng)成實(shí)時(shí)更新殺毒軟件病毒庫(kù)、定期對(duì)系統(tǒng)進(jìn)行全盤掃描的好習(xí)慣。

　　在整個(gè)網(wǎng)絡(luò)購(gòu)物的過(guò)程中，欺詐的手段千奇百怪，陷阱也絕不僅這十個(gè)，騙子們經(jīng)常將一些欺詐手法，交叉使用，讓網(wǎng)購(gòu)者更是防不勝防。面對(duì)林林總總的欺詐手段，金山毒霸安全專家建議廣大網(wǎng)購(gòu)用戶從以下幾個(gè)方面做好防范工作：

　　網(wǎng)購(gòu)過(guò)程中一定要提高自身的網(wǎng)絡(luò)安全意識(shí)。一旦遇到需要輸入帳號(hào)、密碼的環(huán)節(jié)，交易前一定要仔細(xì)核實(shí)網(wǎng)址是否準(zhǔn)確無(wú)誤，再進(jìn)行填寫。

　　目前網(wǎng)絡(luò)釣魚(yú)已經(jīng)成為網(wǎng)絡(luò)購(gòu)物的主要威脅之一。因此防止網(wǎng)絡(luò)釣魚(yú)對(duì)于網(wǎng)購(gòu)安全來(lái)講非常重要。專家建議廣大網(wǎng)購(gòu)用戶安裝免費(fèi)的防網(wǎng)絡(luò)釣魚(yú)工具金山網(wǎng)盾（http://www.skycn.com/soft/51829.html），有效防止各類網(wǎng)絡(luò)釣魚(yú)、欺詐行為。

　　安裝專業(yè)的殺毒軟件如金山毒霸，全面防護(hù)電腦安全，遠(yuǎn)離病毒、木馬攻擊。