是誰泄露了用戶信息? 電商用戶被騙事件分析

　　自從大家的錢包和互聯網產生了聯系，無論是網購還是理財，用戶的財產安全就一直是個風口浪尖上的問題。近期，筆者有看到有媒體在報道用戶在電商平台上網購后被騙巨款的案例，並在一系列分析后，把矛頭指向電商平台，認為其泄露用戶信息。對於這種論斷，筆者還真是不太敢苟同，畢竟普通用戶很難了解目前互聯網安全領域的一些現狀。我們不妨從技術的角度，對事件的來龍去脈進行詳細的梳理。

　　網購用戶被騙的詳細分析：兩種可能

　　按照網友的描述，被騙的經過是由於在網上購買了99元的周林頻譜護腰帶，隨后騙子冒充客服，以“系統維護升級，訂單無效，需退款”的借口盜刷了網友的銀行卡。“按照他的提示，插入網銀后，對方讓先支付2元轉賬，我輸入密碼進行網銀操作，2分鐘后，對方稱支付未成功，需再次輸入支付密碼，這樣又操作了兩次，剛完成操作，對方突然挂斷電話，此時我收到農行發來的賬戶變動短信提醒，顯示賬戶剛剛進行了3筆交易，共劃走227558元。我馬上就報警了。”

　　事情的核心是不法分子獲取了用戶的登錄信息，也就是用戶名、密碼，登錄用戶賬戶后，就可以看到他的購買記錄、聯系信息。隨后，騙子會冒充客服聯系用戶，這其中可能是QQ，也可能是手機或固話，他們甚至可能通過軟件修改自己的顯示號碼，冒充官方客戶。接下來就是上面那個受害者遭遇的情況了，騙子報出用戶剛剛支付的訂單，借此獲取用戶的新任，然后以平台故障、需要給用戶退款等等借口，讓用戶登錄他們的釣魚網址，騙取用戶的銀行卡信息和驗証碼……

　　因此，事件的核心就是騙子是如何獲取用戶登錄信息的。從電商網絡安全的角度，通常有兩種可能性。一是騙子直接攻擊電商的用戶數據庫，獲取信息。但這是一條高難度的自虐或者說自投羅網路線。因為京東這樣的電商平台有著非常完善和先進的安全措施，用戶數據庫是其最核心的資產，別說黑客從外部攻擊了，就是內部人員都很難獲取用戶詳細信息。記得筆者去年年底參加京東技術狂歡節時，京東安全部門就闡述過其安全策略和措施，用戶信息的安全性處於最高級別，甚至比盜竊銀行金庫還難。

　　那麼，第二種可能性是什麼呢？就是黑客的 “撞庫攻擊”。什麼是“撞庫攻擊”呢？就是很多用戶，在不同網站使用的用戶名密碼都是一樣的。不僅自己方便，黑客也方便了。不是每個網站都有京東這樣的嚴格用戶數據安全措施，有些網站甚至會用明文（也就是沒有加密的信息）存儲用戶名和密碼。這是一條黑色產業鏈，黑客攻擊大量互聯網平台，例如論壇、社區，如果盜取了數據庫，就會生成對應的字典表，嘗試批量登陸其他網站后，得到一系列可以登陸的用戶信息，這就可以理解為撞庫攻擊。隨后，這些用戶信息就被出售給騙子，文章開頭的一幕就會發生了。

　　撞庫攻擊有可能發生嗎？答案是極有可能。從網絡安全的角度，這已經成為目前最為普遍的攻擊方式之一。那麼，撞庫攻擊，誰是最大的受益者？當然是黑客和其產業鏈上的那些人，這包括地下數據交易者、騙子等三教九流。所以，從利益鏈條的分析來看，發生撞庫攻擊的概率是非常大的。

　　對策：我們該如何保護自己？

　　了解的問題的原因，就不難找到對策。所有的騙子之所以能夠成功，就是因為我們有時候太容易相信別人，點擊了不該點擊的網站，給了人家不該給的權限。

　　而問題的關鍵在於，即便是支付不成功，隻有在“內部系統”操作才是安全的，這點幾乎適用於所有電商，不論是淘寶、天貓、京東還是亞馬遜，騙子之所以得逞，往往是走的外部流程，給你一個“退款網址”、往其他賬戶去匯款，所以遇到這種事情，不論是誰，哪怕是顯示京東客服的號碼，也是不要相信的。

　　所以，從這點來說，用戶應該是在錢財面前萬分小心才是。千萬不要對任何人透露你的銀行卡信息，不管是信用卡號，CV碼還是密碼，更不要相信什麼“支付未成功”而去第二次付款——如果是銀行或商家的責任，你都要理直氣壯的去找商家踢館，而不是在騙子的指導下再來一次。

　　所謂魔高一尺道高一丈，而至於京東這樣的電商平台，也在不斷提升自己的安全措施。據筆者了解，京東在致力於用大數據進行用戶行為分析，力爭第一時間揪出那些騙子的登錄行為。同時，京東還通過登錄IP監控，風險用戶數據識別等方式，不斷把高風險的用戶標識出來，提醒用戶更改密碼或提升安全措施。針對最近頻發的撞庫行為京東在付款成功界面上增加防詐騙安全提醒，提醒內容：“京東不會以訂單異常、升級系統為由，要求您點擊鏈接退款”﹔排查高風險用戶帳號並主動警示用戶修改密碼﹔在商家后台發布防詐騙公告，后台訂單查詢界面添加安全提示﹔通過多種技術手段防止商家賬號被盜﹔針對重點商家溝通與提升防范措施﹔在京東主站首頁面不斷發出“消費警示”，京東官方客服人員不會以400或手機號碼聯系用戶，更不會以QQ線上方式與用戶溝通﹔用戶手機收到的因京東服務產生的手機驗証碼，不要告知任何人，也不要填寫到任何非京東（jd.com）的網站頁面中。

　　這些措施雖然老套，但這就是最有效的方式，對於大多數用戶來說，了解了這些就會大大降低受騙的可能性。在這個高科技的年代，防騙的方法固然需要不斷學習，但根本在於你不能大意，否則，一定有人在幕后打你的主意。