自從大家的錢包和互聯(lián)網(wǎng)產(chǎn)生了聯(lián)系，無論是網(wǎng)購(gòu)還是理財(cái)，用戶的財(cái)產(chǎn)安全就一直是個(gè)風(fēng)口浪尖上的問題。近期，筆者有看到有媒體在報(bào)道用戶在電商平臺(tái)上網(wǎng)購(gòu)后被騙巨款的案例，并在一系列分析后，把矛頭指向電商平臺(tái)，認(rèn)為其泄露用戶信息。對(duì)于這種論斷，筆者還真是不太敢茍同，畢竟普通用戶很難了解目前互聯(lián)網(wǎng)安全領(lǐng)域的一些現(xiàn)狀。我們不妨從技術(shù)的角度，對(duì)事件的來龍去脈進(jìn)行詳細(xì)的梳理。

　　網(wǎng)購(gòu)用戶被騙的詳細(xì)分析：兩種可能

　　按照網(wǎng)友的描述，被騙的經(jīng)過是由于在網(wǎng)上購(gòu)買了99元的周林頻譜護(hù)腰帶，隨后騙子冒充客服，以“系統(tǒng)維護(hù)升級(jí)，訂單無效，需退款”的借口盜刷了網(wǎng)友的銀行卡?！鞍凑账奶崾荆迦刖W(wǎng)銀后，對(duì)方讓先支付2元轉(zhuǎn)賬，我輸入密碼進(jìn)行網(wǎng)銀操作，2分鐘后，對(duì)方稱支付未成功，需再次輸入支付密碼，這樣又操作了兩次，剛完成操作，對(duì)方突然掛斷電話，此時(shí)我收到農(nóng)行發(fā)來的賬戶變動(dòng)短信提醒，顯示賬戶剛剛進(jìn)行了3筆交易，共劃走227558元。我馬上就報(bào)警了?！?/p>

　　事情的核心是不法分子獲取了用戶的登錄信息，也就是用戶名、密碼，登錄用戶賬戶后，就可以看到他的購(gòu)買記錄、聯(lián)系信息。隨后，騙子會(huì)冒充客服聯(lián)系用戶，這其中可能是QQ，也可能是手機(jī)或固話，他們甚至可能通過軟件修改自己的顯示號(hào)碼，冒充官方客戶。接下來就是上面那個(gè)受害者遭遇的情況了，騙子報(bào)出用戶剛剛支付的訂單，借此獲取用戶的新任，然后以平臺(tái)故障、需要給用戶退款等等借口，讓用戶登錄他們的釣魚網(wǎng)址，騙取用戶的銀行卡信息和驗(yàn)證碼……

　　因此，事件的核心就是騙子是如何獲取用戶登錄信息的。從電商網(wǎng)絡(luò)安全的角度，通常有兩種可能性。一是騙子直接攻擊電商的用戶數(shù)據(jù)庫，獲取信息。但這是一條高難度的自虐或者說自投羅網(wǎng)路線。因?yàn)榫〇|這樣的電商平臺(tái)有著非常完善和先進(jìn)的安全措施，用戶數(shù)據(jù)庫是其最核心的資產(chǎn)，別說黑客從外部攻擊了，就是內(nèi)部人員都很難獲取用戶詳細(xì)信息。記得筆者去年年底參加京東技術(shù)狂歡節(jié)時(shí)，京東安全部門就闡述過其安全策略和措施，用戶信息的安全性處于最高級(jí)別，甚至比盜竊銀行金庫還難。

　　那么，第二種可能性是什么呢？就是黑客的 “撞庫攻擊”。什么是“撞庫攻擊”呢？就是很多用戶，在不同網(wǎng)站使用的用戶名密碼都是一樣的。不僅自己方便，黑客也方便了。不是每個(gè)網(wǎng)站都有京東這樣的嚴(yán)格用戶數(shù)據(jù)安全措施，有些網(wǎng)站甚至?xí)妹魑模ㄒ簿褪菦]有加密的信息）存儲(chǔ)用戶名和密碼。這是一條黑色產(chǎn)業(yè)鏈，黑客攻擊大量互聯(lián)網(wǎng)平臺(tái)，例如論壇、社區(qū)，如果盜取了數(shù)據(jù)庫，就會(huì)生成對(duì)應(yīng)的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登陸的用戶信息，這就可以理解為撞庫攻擊。隨后，這些用戶信息就被出售給騙子，文章開頭的一幕就會(huì)發(fā)生了。

　　撞庫攻擊有可能發(fā)生嗎？答案是極有可能。從網(wǎng)絡(luò)安全的角度，這已經(jīng)成為目前最為普遍的攻擊方式之一。那么，撞庫攻擊，誰是最大的受益者？當(dāng)然是黑客和其產(chǎn)業(yè)鏈上的那些人，這包括地下數(shù)據(jù)交易者、騙子等三教九流。所以，從利益鏈條的分析來看，發(fā)生撞庫攻擊的概率是非常大的。

　　對(duì)策：我們?cè)撊绾伪Ｗo(hù)自己？

　　了解的問題的原因，就不難找到對(duì)策。所有的騙子之所以能夠成功，就是因?yàn)槲覀冇袝r(shí)候太容易相信別人，點(diǎn)擊了不該點(diǎn)擊的網(wǎng)站，給了人家不該給的權(quán)限。

　　而問題的關(guān)鍵在于，即便是支付不成功，只有在“內(nèi)部系統(tǒng)”操作才是安全的，這點(diǎn)幾乎適用于所有電商，不論是淘寶、天貓、京東還是亞馬遜，騙子之所以得逞，往往是走的外部流程，給你一個(gè)“退款網(wǎng)址”、往其他賬戶去匯款，所以遇到這種事情，不論是誰，哪怕是顯示京東客服的號(hào)碼，也是不要相信的。

　　所以，從這點(diǎn)來說，用戶應(yīng)該是在錢財(cái)面前萬分小心才是。千萬不要對(duì)任何人透露你的銀行卡信息，不管是信用卡號(hào)，CV碼還是密碼，更不要相信什么“支付未成功”而去第二次付款