“圣诞老人胡子”背后的危机

“圣诞老人”的胡子咱们都见过，白色嘛！看起来是一种纯净、纯真的颜色，但是，网络犯罪分子们却正在试图利用这种“纯真”，对享受圣诞假期的网络购物者们实施网络欺诈行为。

近日，来自Check Point的研究人员就发现，网络犯罪分子正在通过广受欢迎的AliExpress（速卖通）购物门户试图欺骗网络购物者。据悉，该网站在全球拥有超过1亿名用户，收入高达230亿美元，是全球最受欢迎的网上购物门户之一。

安全研究人员发现，该漏洞属于开放式重新导向（open redirect）漏洞，可帮助攻击者向购物者展示“优惠券”，以骗取敏感数据。试问，有一张“满199减100”的优惠券，还是平台推送，你会点击吗？

相信很多“剁手党”会和小编一样，当看到平台推送的“抢券”信息，会毫不犹豫的打开。但是不得不说，有些“优惠券”真的是有毒的，比如，AliExpress平台上发现的这个。

受害者一旦点击领取“优惠券”，便会执行包含恶意Java代码的AliExpress网页链接，桌面会跳出“假优惠券”的视窗来要求客户提供信用卡数据。而背后的攻击者则控制了这个假视窗，使得信用卡数据直接送给攻击者而非购物网站。对，你就这样被“钓鱼”了，如果你的信用卡能透支1个亿，后果真是不敢想象.......

根据最新的调查报告显示，自2016年以来，针对网络零售商的网络攻击已经增加了一倍，购物者应该意识到：“圣诞老人的胡子”可能并没有看起来那么纯净美好，在任何网站上进行购物时都应该保持警惕。

你在盯着打折促销，犯罪分子却在盯着你

说到网购节，中国有“双11”、“618”……美国也有“Cyber Monday”。Cyber Monday是最近几年来，随着网络购物日渐普及之后，逐渐流行起来的一个名词。

其中“Monday”，指感恩节假期之后的第一个上班日，礼拜一。至于“Cyber”，其实就是网络购物的意思啦。“Cyber Monday”，就是感恩节假期之后的第一个上班日也是黑五之后的星期一，在美国标志着感恩节至圣诞节之间网络购物旺季的开始！！！

根据调查数据显示，2016年的“Cyber Monday”创造了美国电商历史上的最大网购日，网络消费达到33.9亿美元，今年预计这一数字会更大！但是，事情永远不会这么简单、美好，另有数据显示，“Cyber Monday”期间针对消费者的恶意攻击行为增长了40%。

为了帮助消费者更为直观地了解自己在网购过程中可能面临的风险，OpenVPN公司最新发布了一份分析报告，直观地展示了2016年“Cyber Monday”期间受灾最严重的10个州的情况，其中包括受损金额、受害者人数以及受害最严重的消费者的性别及年龄等信息。

报告指出，就性别而言，在受灾最严重的案件中男性所占比例比女性多75%，这可能是因为男性在网购中花费的更多。此外，报告还发现，就年龄而言，50岁以上的人群更容易成为网络攻击的受害者。

根据联邦调查局IC3和CSN报告数据库的数据显示，以下是2016年遭受网络犯罪攻击最严重的10个州：

1. 加利福尼亚州

网络犯罪损失：255,181,657美元；

受害人数：47,077；

受灾最严重的消费者性别：男；

受灾最严重的消费者年龄：40-49；

2. 佛罗里达州

网络犯罪损失：88,841,178美元；

受害人数：324,569；

受灾最严重的消费者性别：女；

受灾最严重的消费者年龄：60+；

3. 内华达州

网络犯罪损失：15,246,405美元；

受害人数：33,404；

受灾最严重的消费者性别：女；

受灾最严重的消费者年龄：40-49；

4. 德克萨斯州

网络犯罪损失：77,135,765美元；

受害人数：320,002；

受灾最严重的消费者性别：男；

受灾最严重的消费者年龄：30-39；

5. 新墨西哥州

网络犯罪损失：870,165美元；

受害人数：17,618；

受灾最严重的消费者性别：男；

受灾最严重的消费者年龄：60+；

6. 纽约

网络犯罪损失：106,225,695美元；

受害人数：148,637；

受灾最严重的消费者性别：男；

受灾最严重的消费者年龄：30-39；

7. 亚利桑那州（7、8并列）

网络犯罪损失：20,567,423美元；

受害人数：60,625；

受灾最严重的消费者性别：男；

受灾最严重的消费者年龄：60+；

8. 弗吉尼亚州

网络犯罪损失：49,175,677美元；

受害人数：75,831；

受灾最严重的消费者性别：女；

受灾最严重的消费者年龄：50-59；

9. 科罗拉多州

网络犯罪损失：30,893,224美元；

受害人数：46,795；

受灾最严重的消费者性别：男；

受灾最严重的消费者年龄：50-59；

10. 华盛顿

网络犯罪损失：25,728,634美元；

受害人数：55,607；

受灾最严重的消费者性别：男；

受灾最严重的消费者年龄：60+；

网购欺诈类型介绍

随着电商收益增加，欺诈案例数目和电商交易欺诈比例也在飞速提高。欺诈类型不仅仅只是信用卡支付欺诈。犯罪分子变得更加狡猾，他们使用盗窃来的银行账号信息，通过手机、平板和电脑上的恶意软件登录网上银行，进行欺诈性支付。

尼尔森（全球市场调研公司）采访了6个国家不同行业的274位企业家，总结出以下几种主要的欺诈类型:

1. 身份盗窃

电商中最常见的欺诈类型是身份盗窃（比例占71%）、“网络钓鱼”（66%）、和账号盗窃（63%）。信用卡是主要盗窃目标，因为骗子进行无卡交易非常方便。传统的身份盗用案例中，骗子的目标就是用另一个身份进行交易。与其自己创建一个新的身份，直接盗用他人身份信息更简单迅速。

骗子通过获取姓名、地址和邮箱、以及信用卡账户信息来盗取他人身份。用别人姓名和信用卡账号在网上下单购物。“网络钓鱼”就是用欺诈网站、邮件或短信骗取个人信息。另一种诈骗手段是网址嫁接，当消费者点击一个网站时，会直接被导入到另一个欺诈网站上。通常，这些盗用的身份信息都是用来进行欺诈性交易——大部分情况下，账号中的支付信息已经被盗走。

2. 友善欺诈（Friendly Fraud）

这种欺诈方式并不像听起来那么友善。消费者在网上订购产品或服务，用信用卡或借记卡付款。然后声称信用卡账户信息被盗窃，要求退款。他们获得了退款，但是也保留了商品或服务。这种盗窃方式多发于服务行业，比如赌博。

友善欺诈也经常与再发货连在一起。骗子用盗来的支付信息付款，但是又不想货物直接送到自己的家庭地址。相反，他们通过盗用信息下单，然后由中间人（信息被盗用者）退货给骗子。

3. 联属欺诈

Affiliate Program，是一种国外流行的互联网营销模式。联属欺诈有两种表现形式，都是为了同一个目标：联属（affiliate program）会员通过制造虚假访客量和注册数据来骗取非法佣金。

4. 三边欺诈

三边欺诈是通过三点来实施的：第一点，注册虚假网店，低价提供高需求商品，还有其它一些其他吸引人的条件，比如下单后立即发货。这个网店用来收集消费者地址和信用卡数据——这是它唯一的目的；第二点，利用从别处盗来的信用卡数据和客户名称去真正的网店下单，然后把收货地址填在自己假网店下单的客户地址；第三点，再用假网店盗取的信用卡账号购买其他产品。这样，订单信息和信用卡账户之间很难追查到有什么联系，从而导致欺诈难以发现，容易给卖家造成较大损失。

5. 商家欺诈

商家欺诈很简单：产品标价很低，但是收到付款后不会发货。这种欺诈类型也存在于批发商中。没有具体针对哪种付款方式，但肯定是属于买方无法申请自动退款的类型。

6. 跨境交易欺诈

跨境交易欺诈预防最大的挑战，就是缺乏统一的市场交易规范机制。跨境交易量不断增加，也给欺诈预防带来很大困难。各国的欺诈预防工具也有很大差异。语言障碍，以及将货物跨境发往单一客人的复杂流程，都让跨境交易欺诈更加难以防范。

7. 不同销售平台欺诈

欺诈方式根据销售渠道进行变化，而很多企业都在努力实现多渠道销售让欺诈预防难度更大。通过第三方平台进行的欺诈交易，比较容易成功，因为人们的防范心理很轻；接着是移动端交易和自主站交易。

假日购物安全指南

未来，网上购物预计还会呈现持续增长的趋势，人们越来越习惯通过笔记本电脑、台式机、手机或是平板电脑来完成购物需求，但是，我们应该如何确保敏感信息的安全呢？

接下来，小编就为大家总结6条安全小贴士，希望可以帮助大家保障自身在线消费行为安全：

1. 请留意您的浏览器链接地址

你每次上网的时候，浏览器的顶部栏中都会有一个网址，它既能够告知你在互联网中的位置，又能够很好地提示你所在网站的合法性。所以，网购时一定要留意网店的网址信息，留意是否存在“钓鱼站点”的情况，特别是一些虚假的淘宝店铺、拍拍商铺等，域名中或许存在“taobao”、“paipai”字样，但实却为钓鱼站点。所以，我们需要在浏览过程中重点关注和仔细留意。

此外，对于消费目的，和其他一些涉及个人信息的事情，你需要确保其网址是以HTTPS开头的，“S”表示它是一个安全的链接，任何想要与你产生交易行为的网站都应该有它。

2. 小心电子邮件交易

一般来说，网购者的收件箱中经常会收到许多数字广告，如果这些广告是来自你经常光顾的店铺的话，那么它们大多数是合法的。你需要谨慎对待的是那些来自你不熟悉的店铺的广告，或是那些看起来好的难以置信的广告和店铺／产品信息（就像上文提到的速卖通优惠券的事情）。

检查网络钓鱼电子邮件是一件比较困难的事情，消费者需要对“网络钓鱼”和“社会工程”等攻击手段具备一定程度的了解，加强自身安全意识。

3. 不要使用公共WiFi购物

公共WiFi很便利，但是它却并不安全，你不知道谁才是网络背后的操纵者，他们可能会做些什么，亦或者他们具备什么能力—也许他们正在等待窃取你的信用卡信息……

如果你想要进行任何涉及金钱的交易行为，请尽量利用自家网络进行，且需要确保你的家庭网络是安全的——一个能够公开访问的WiFi网络存在非常严重的安全风险。

4. 使用密码管理器

设置复杂强大的密码是非常必要的，但是如果你把它们输入到被间谍软件感染的设备中，即便是再高强的密码也存在被盗的风险。通过使用密码管理应用程序可以进一步增强安全性。

该应用程序不仅可以让你只需轻松一点就能够登录网站，还可以生成非常安全的随机密码，你所需要做的就是使用一个主密码来解锁该应用程序，让它来为你完成所有辛苦的工作。而且，由于你没有手动输入密码，所以被盗的风险也随之降低很多。

5. 及时更新你的设备和杀毒软件

没人喜欢“软件更新”的安全提示：它们会打断我们正在进行的事情（如游戏、视频），还需要花费很长时间来进行安装配置，但这并不意味着它们是不必要的。

对操作系统进行更新可以修补很多安全漏洞，而如果没有更新病毒库，防病毒软件也就不复存在任何意义。如果你是那种每次看到“程序更新”提示都自动忽略的人，建议你在网购之前花费一些时间对所有需要更新的程序进行升级，并对计算机等设备进行全面的安全扫描。

如果你的计算机上没有任何杀毒软件，最好现在就安装一些口碑良好的软件，在此就不做推荐了。

6. 坚持使用一张信用卡付款

通过坚持使用一张信用卡，可以将你的风险隔离到一个账户中，而如果你选择的账户具有良好的安全功能，一旦出现任何问题，还会在第一时间收到警报，最大限度保障安全。

最后，小编就想问一句：敢不敢留言分享自己的“双11”、“双12”和正在进行的“双旦”都分别贡献了多少？