《电子商务安全》PPT课件.ppt

第七章 电子商务安全,引例,一、如何避免网络钓鱼攻击获取客户信息 根据英国的一互联网监测公司Netcraft声称，2006年3月12日，中国一家银行的服务器被网络骗子用做网络钓鱼（phishing）网站的主机，以复制美国一些银行和网络零售商的顾客资料。这是银行网络首次被犯罪分子用来偷取另一银行顾客资料的攻击事件。攻击中发出的电子邮件是伪装成摩根大通网上银行的调查，邮件中谎称用户只要填写账号和个人信息后，会收到20美元的辛苦费。那么什么是网络钓鱼攻击？如何识别垃圾邮件及假冒邮件？在发送和接收邮件时应该注意什么？,二、如何预防病毒的危害 2006年12月初，我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。卡通化外表的病毒，隐藏着巨大的传染力，短短几个月，“熊猫烧香”病毒给成千上万个人用户、网吧及企业局域网用户，造成直接和间接损失超过1亿元。如何预防计算机病毒和网络病毒呢？,电子商务的安全目标,电子商务安全技术,电子商务的安全管理,本章主要内容,电子商务的安全问题主要体现在：, 首先是一个复杂的管理问题 其次是一个技术安全问题,第一节 电子商务的安全内涵,一、电子商务面临的威胁 二、电子商务安全的目标,一、电子商务面临的威胁,（一）个人电脑面临的威胁 被他人盗取用户密码、信用卡账号等； 计算机系统被木马攻击； 用户在浏览网页时，被恶意程序进行攻击； 个人计算机受计算机病毒感染； 黑客利用系统本身存在的漏洞攻击他人。,（一）个人电脑面临的威胁,1、被他人盗取用户密码、信用卡账号等；,大学生用黑客病毒网上盗款48万 张先生是一家私营企业主，一直使用网上银行进行资金管理。2006年12月22日，当张先生查询自己的银行账户时，突然发现两张银行卡内的48万余元已被划走，焦急万分的张先生立即到公安机关报警。民警接到报案后，经过各地警方缜密侦查，利用先进网络技术手段，于2007年将犯罪嫌疑人孙木云、郭浩抓获归案。,郭浩，1986年出生，是黑龙江某大学计算机专业的大学生;孙木云，1989年出生，当时在上海某个网吧做网管。2006年12月，郭浩在大学生宿舍内，通过“灰鸽子”病毒软件发现了身在北京的张先生的电脑中了“灰鸽子”病毒。郭浩便通过“灰鸽子”病毒远程监控系统，监控该电脑。在张先生上网进行网络银行卡操作时，郭浩获知了张先生的银行卡账号、密码，而后通过远程监控下载了受害人银行卡的电子证书。2006年12月17日，郭浩联络在山东的孙木云，要求其帮助将钱转出。随后，两人连夜将张先生两张银行卡内的48万余元分40余笔转出，打入位于广州、上海和北京的出售游戏点卡的公司，并将点卡存入虚拟的网络账户。 张先生的48万余元就这样一夜之间蒸发了。,案 例,（一）个人电脑面临的威胁,2.计算机系统被木马攻击；,“木马产业链”,最近两年来，随着“网上大盗”数量的不断增多，“木马产业链”这一黑色产业也在不断壮大和分工。目前已经发展为包括木马制造、木马传播、密码窃取、洗钱等环节在内完整产业链形态。,（一）个人电脑面临的威胁,3、用户在浏览网页时，被恶意程序进行攻击；,2000年2月8日到10日，一伙神通广大的神秘黑客在三天的时间里接连袭击了互联网上包括雅虎、美国有线新闻等在内的五个最热门的网站，并且造成这些网站瘫痪长达数个小时。 在雅虎网站上，黑客使用了一种名为“拒绝服务”的入侵方式，在不同的计算机上同时用连续不断的服务器电子请求来轰炸雅虎网站。这种方式类似于某人通过不停拨打某个公司的电话来阻止其他电话打进，从而导致公司通信瘫痪。在袭击进行最高峰的时候，网站平均每秒钟要遭受一千兆字节数据的猛烈攻击，这一数据量相当于普通网站一年的数据量! 面对如此猛烈的攻击，雅虎的技术人员却束手无策，只能眼睁睁地看着泛滥成灾的电子邮件垃圾死死地堵住了雅虎用户们上网所需的路由器。,案例：“拒绝服务”,雅虎网站遭袭后第二天，尽管世界各著名网站已经高度警惕，但还是再次遭到这些神秘黑客的袭击。世界最著名的网络拍卖行eBay因神秘黑客袭击而瘫痪了整整两个小时，以致任何的用户都无法登录该站点；赫赫有名的美国有线新闻网 CNN随后也因遭神秘黑客的袭击而瘫痪近两个小时；风头最劲的购物网站A也被迫关闭一个多小时!,（一）个人电脑面临的威胁,4、个人计算机受计算机病毒感染；,计算机蠕虫病毒,计算机蠕虫病毒不会感染寄生在其它档案，而是会自我复制并主动散播到网络系统上的其它计算机里面。就像虫一样在网络系统里面到处爬窜，所以称为“蠕虫”。如冲击波病毒，感染该病毒会导致系统不稳定，造成系统崩溃，并出现倒计时重启系统。,特洛伊木马(Trojan Horse),特洛伊木马 (或简称Trojan) 是一种计算机程序，伪装成某种有用的或有趣的程序，比如屏幕保护程序、算命程序、计算机游戏等，但是实际上却包藏祸心，暗地里做坏事;它可以破坏数据、骗取使用者的密码等等。一般特洛伊木马不会自我复制，也不会主动散播到别的计算机里面。 此外，还有：Pakistan 病毒 金蝉 病毒 海盗旗 病毒 蠕虫 avaSnake 病毒 Mail-Bomb 病毒 熊猫烧香 病毒 红色代码,（一）个人电脑面临的威胁,5、流氓软件。,什么是流氓软件？,“流氓软件”是介于病毒和正规软件之间的软件。如果电脑中有流氓软件，可能会出现以下几种情况：用户使用电脑上网时，会有窗口不断跳出；电脑浏览器被莫名修改增加了许多工作条；当用户打开网页时，网页会变成不相干的奇怪画面，甚至是黄色广告。 有些流氓软件只是为了达到某种目的，比如广告宣传。这些流氓软件虽然不会影响用户计算机的正常使用，但在当用户启动浏览器的时候会多弹出来一个网页，以达到宣传目的。,流氓软件类别,间谍软件、行为纪录软件、浏览器劫持软件、搜索引擎劫持软件、广告软件、自动拨号软件、盗窃密码软件等。,强制安装 难以卸载 浏览器劫持 广告弹出 恶意收集用户信息 恶意卸载 恶意捆绑 恶意安装,它具有如下特点：,（一）个人电脑面临的威胁,6、黑客利用系统本身存在的漏洞攻击他人。,安卓系统案例：,据乌云漏洞平台2015年10月报告，安卓手机软件（APP)存在一个“WormHole(虫洞）”的安全漏洞。只要安卓设备连接网络，无论是否刷机成为超级用户（root),黑客都能对设备实现远程操控，安装指定应用。同时，还可上传隐私短信和照片，弹出对话框显示广告或钓鱼链接。,苹果系统案例,2015年8月乌云漏洞平台披露，国内一些ios应用/插件开发团队在盗取越狱用户的苹果云服务（iCloud)账号与明文密码，并记录在远程服务器。据了解，当时已有超过22万云服务账号密码等信息被多款内置后门iOS插件窃取，是越狱iPhone手机真实窃密案例。经验证，这些被盗的云服务账号可以随意登录，各种邮件和照片等信息全部泄露。,（二）网络安全的威胁,1. 黑客攻击 2. 搭线窃听 3. 伪装身份 4. 信息泄密、篡改、销毁 5. 间谍软件袭击 6. 网络钓鱼,案例一：,中国最小黑客：,新闻晨报：2014中国互联网安全大会，12岁熊孩子汪正扬，成了中国最小的黑客。还在清华附中读初一的他：为了不做作业，入侵了学校的在线答题系统；他利用黑客“抓包技术”，花1分钱买了2500元的东西除了这些糗事，他还修复计算机漏洞100多个。 这位年仅12岁的漏洞报告者是来自清华附中初一年级的汪正扬同学。他是北京市公安局、教委实施“网安启明星工程“校本课的小学员之一。,2005年2月份发现的一种骗取美邦银行（Smith Barney）用户的帐号和密码的“网络钓鱼”电子邮件，该邮件利用了IE的图片映射地址欺骗漏洞，并精心设计脚本程序，用一个显示假地址的弹出窗口遮挡住了IE浏览器的地址栏，使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时，状态栏显示的链接是虚假的。当用户点击链接时，实际连接的是钓鱼网站http:/*.41.155.60:87/s。该网站页面酷似Smith Barney银行网站的登陆界面，而用户一旦输入了自己的帐号密码，这些信息就会被黑客窃取。,案例二：网络钓鱼攻击,2004年7月发现的某假公司网站（网址为），而真正网站为，诈骗者利用了小写字母l和数字1很相近的障眼法。诈骗者通过QQ散布“XX集团和XX公司联合赠送QQ币”的虚假消息，引诱用户访问。一旦访问该网站，首先生成一个弹出窗口，上面显示“免费赠送QQ币”的虚假消息。而就在该弹出窗口出现的同时，恶意网站主页面在后台即通过多种IE漏洞下载病毒程序lenovo.ex，并在2秒钟后自动转向到真正网站主页，用户在毫无觉察中就感染了病毒。病毒程序执行后，将下载该网站上的另一个病毒程序bbs5.exe，用来窃取用户的传奇帐号、密码和游戏装备。当用户通过QQ聊天时，还会自动发送包含恶意网址的消息。,（1）信息的截获和窃取。,如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式，获取输入的机密信息，或通过对信息流量和流向、通信频度和长度等参数的分析，推出有用信息，如消费者的银行账号、密码以及企业的商业机密等。,（2）信息的篡改。,当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行中途修改，并发往目的地，从而破坏信息的完整性。 篡改、删除、插入,（3）信息假冒。,当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户。,（4）恶意破坏。,由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。,（三）电子商务中防诈骗意识薄 弱的威胁,案例一:朋友圈的集赞你参加过吗？,案例一：微信集赞诈骗,2016年1月，浙江苍南的陈女士朋友圈被当地一家影楼的集赞活动刷屏了。消息说，转发影楼活动到朋友圈，集38个赞就能免费拍照，并领取一台多功能料理机，陈女士从朋友处获悉，这家影楼已经经营三四年，而且有多人领到多功能料理机，于是陈女士也加入了集赞大军。 1月18号，集齐38个赞的陈女士前往影楼预约拍照，但影楼的一名员工跟她说，需要等1月20号之后才可以预约，而且要交300元的押金，押金将在拍照后退还。陈女士质疑为什么要交押金，对方说，影楼担心活动推出之后一些参与者光拍照不取片，照片积压不好处理，所以要收取押金，等领完照片后马上退还，陈女士没有犹豫交了押金。 1月20号，陈女士致电影楼被告知预约已经排满，让她以后再约，2月21号，陈女士在朋友圈看到有人说，影楼已经关门，便前往影楼，发现影楼人去楼空，此后，陈女士听说有几百人受骗，于是报了警。,犯罪分子冒充商家发布“点赞有奖”信息,要求参与者将姓名、电话等个人资料发至微信平台，一旦商家套取完足够的个人信息后，即以“押金”、“手续费”、“公证费”、“保证金”等形式实施诈骗。如果消费者贪图这些小便宜，往往一步一步陷入骗局。,案例二：诚招网络兼职，帮助网上商城卖家刷信誉，可从中赚取佣金,2015年10月10日，刚从大学毕业的小龚在微博上看到一条兼职信息，要求很简单，只要会上网即可，条件却很诱人，时间可以自由安排，一天有200500元的收益。一心想着赚点外快的小龚，试着加了微博上发的QQ。客服很快发了工作流程表和项目申请表过来，小龚按要求填写了表格，并给对方发了过去。 这份兼职的工作是网上商城刷信誉，就是兼职人员通过客服发送的指定链接，按照要求在商城购买商品，付款之后，商城并不会真的把货物发出，而是将货款跟佣金返还给兼职人员。练手时，小龚在网上商城拍了一只包，支付120元，很快自己银行卡里就收到了125元钱。轻轻松松，小龚赚了5元钱。,正式刷单，买的并不是商品，而是游戏点卡。刷完第一单，小龚发现货款并没有像练手时那样打回到自己银行卡上，她警惕地赶紧询问客服。客服解释，要刷完10单才能将本金跟佣金一并返还。 刷到第9单时，小龚发现，这笔订单的金额突然由600元增加到了1800元。她又有点疑心，客服解释，单子的链接都是系统自动生成的，按要求操作就行了。 就这样，小龚又按要求支付了很多单，但迟迟没有收到汇款信息。这时的小龚，几乎已经刷单红了眼。她自己没钱，就以各种理由借钱，接着按照客服的要求多次操作付款，直到下午4点，小龚一共被骗了将近70万元。她又气又急，冷静下来，才知道自己被骗了，赶紧报了警。,分析：,此类诈骗犯罪分子首先会在网上发布招聘兼职刷网上商城信誉的虚假信息，其实在网上商城上，“刷信誉”等虚假交易行为本身就已被明令禁止，并非正当兼职。一旦有人上当，犯罪分子会要求受害人虚假购买指定商户的产品或指定商城的虚拟点卡，前期时会向受害人返还小利，一旦取得受害人信任，会要求受害人继续刷大单，从而实施诈骗。,案例三：“拷贝”微信资料，冒充号主微信上借钱,你遇到过微信好友误删，要求重新添加吗？,案例三：冒充微信好友诈骗,今年9月，南京市民方小姐报警称有人在微信上冒充自己。原来事发前方小姐接到几位朋友的电话，核