2012年中国网购安全报告

【51CTO.com 综合消息】互联网发展到今天，网购已经成为最重要的应用之一。对于消费者，网购提供了廉价、便捷的购物平台；对于商家，互联网为降低成本，扩大营销渠道提供了有力支持。中国互联网络信息中心

【51CTO.com 综合消息】互联网发展到今天，网购已经成为最重要的应用之一。对于消费者，网购提供了廉价、便捷的购物平台；对于商家，互联网为降低成本，扩大营销渠道提供了有力支持。中国互联网络信息中心（CNNIC ）2012年7月发布的《中国互联网络发展状况统计报告》显示：截至2012年6月底，国内网络购物用户规模达到2.10亿，占同期中国网民总数的39.0，较2011年底用户增长8.2；团购用户规模为6181万，占同期中国网民总数的11.5。

网购在带来方便实惠的同时，也让网络犯罪分子找到了攻击牟利的途径。钓鱼欺诈网站、网购木马和网站拖库盗号等问题严重威胁网购消费者的财产安全。特别是钓鱼欺诈网站，已经呈现出产业化、规模化和专业化的发展趋势，让普通网民防不胜防。

网络购物遭遇不法侵害，不仅给网购用户带来损失，同时也严重损害了电商行业的整体信誉及网民对网络购物的信任感，严重制约了互联网经济的发展和繁荣。通过技术和法律手段打击各种网购犯罪行为，是现代互联网安全的重要课题。

第一章 网购钓鱼网站新增40万家

钓鱼网站的特点是假冒知名购物网站或品牌官网的身份，欺骗消费者输入账号密码、支付交易资金。

（一） 网购钓鱼数据统计

根据360安全中心统计：截至12月24日，2012年互联网上新增与网购相关的钓鱼网站数量达到39.27万家（以host 计算），相比2011全年购物类钓鱼网站增长155，恶意网址更是高达数百万的量级（以url 计算）。

由于钓鱼网站更新快、变化多，恶意网址库数量庞大，无法下发到用户电脑里，目前主流安全软件均采用网址云安全查询的方式，将用户访问网址与服务器实时更新的恶意网址库进行比对，这样也可以保证及时拦截的效果。

截至报告发布前，360安全浏览器和网盾在2012年共拦截购物类钓鱼网站18.55亿次，是2011全年购物类钓鱼网站拦截量（6.61亿次）的2.8倍。

从技术特征来看，钓鱼网站大多使用cc 、tk 、pl 、info 、in 、no 等境外域名，99.99以上的钓鱼网站无正常备案；大部分钓鱼网站搭建在境外IP 上，比例达到76.25，基于香港IP 的钓鱼网站比例也高达13.23，使用VPS 主机（虚拟专用服务器）的情况尤其泛滥。

可见，依靠法律监管钓鱼网站尚存在一定困难，在很多情况下，钓鱼犯罪的源头难以定位。因此，安全厂商通过技术手段来识别和拦截钓鱼网站，是打击钓鱼网站最为切实可行的方式。

（二） 网购钓鱼主要形式

从内容和欺诈形式上看，购物类钓鱼网站主要包括假冒淘宝、假药网站、网游交易欺诈、模仿知名品牌官网、手机充值欺诈、假票网站（机票/火车票）以及假冒网上银行。

典型钓鱼网站示例：

1）假冒淘宝——利用伪造商品页面诱骗买家支付，实际付款对象是不法分子的账户。有时此类钓鱼网站也会套取受骗者的帐号密码。

2）假药网站——伪造或凭空捏造权威资质证明，虚构患者疗效案例，集中在男性壮阳药、跨国公司名贵进口药、疑难杂症特效药、知名的中药处方药四大领域。

3）网游交易欺诈——以热门网游虚拟装备、游戏币交易为名，低价诱惑游戏玩家交易支付，骗取玩家钱财。

4）模仿品牌官网——伪装时尚数码产品的官网或官方销售渠道，例如iPhone 、iPad 、小米手机等，以远

低于正常价格的标价出售，递送假冒伪劣的山寨手机。

5）手机充值欺诈——假冒移动、联通、电信等运营商指定充值中心名义，以“充100送50”等优惠活动吸引网友充值，付款后无法获得话费。

6）假票网站——模仿航空公司官网、旅行社、票务公司、12306.cn 火车票网站等，通过搜索引擎竞价排名或SEO 推广，在人们搜索机票、火车票相关信息时排在前列，诱骗消费者向不法分子设置的个人银行账户汇款。

7）假冒网银——这是对网购族财产威胁最大的一类钓鱼网站。不法分子以网银账户冻结、动态口令（E 令）升级等名义，通过短信、邮件诱骗攻击目标登录假冒网银的钓鱼网站，套取账户、密码以及动态口令信息，再迅速在口令有效期内入侵受骗者网银账户将资金转走。

8）其他形式——除了上述常见的购物类钓鱼网站以外，一些利用网络平台联络、交易的二手车、手机监听卡、家电维修售后、办证等钓鱼网站也日益增多。可以预见，随着网购应用的普及，越来越多诈骗活动将被不法分子移植到互联网上，这也促使人们需要更进一步提升安全意识和强化安全防护措施。

（三） 钓鱼网站传播途径

360安全中心综合用户举报与“网购先赔”案例发现，购物类钓鱼网站主要通过搜索竞价排名和SEO 推广，比例达到43.2；此外，不法分子通过聊天工具一对一或聊天群发送钓鱼网址，通过分类信息网站、论坛、微博发布低价商品信息，诱骗用户访问钓鱼网站也是其重要传播渠道。

钓鱼网站通过搜索引擎进行传播的方式主要有两种，一种是黑链植入SEO （搜索引擎优化），一种是直接利用竞价排名系统。

1）黑链植入SEO ，简单的说就是黑客首先入侵政府、高校等在搜索引擎中权重较高的网站，在网站页面植入自己的网站链接和关键词，并且巧妙隐藏使人不易发现。但搜索引擎在抓取页面信息时，却会抓取到这些隐蔽的链接，从而使钓鱼网站在热词搜索结果中排名靠前。

2）利用竞价排名系统进行推广则更为恶劣。由于某些搜索引擎审查不严，使得钓鱼网站的制作者可以直接在竞价排名系统中购买关键词，让自己的网站排在搜索结果的顶端，从而让网民误入钓鱼网站。

对于不熟悉互联网的电脑用户来说，鉴别钓鱼网站应首先确定网址来源是否可信。如果是通过搜索引擎或陌生人发布的信息打开的网址，而且其中带有中奖、低价打折商品等诱惑信息时，应向他人求助核实。 典型案例：假冒光大银行钓鱼网站利用百度推广盗取用户资金

据《羊城晚报》报道，今年5月31日，广州的许先生为向家里汇款，用百度搜索光大银行网站，搜索结果显示第一位的就是“光大银行”的链接。当许先生点开这个网站，一切看起来都非常正常，页面也很逼真，

他没有丝毫起疑，就按照正常程序在页面上输入了账号和密码，并将手机接收的动态指令也输入进去，谁知刚刚输完，自己工作几年辛苦攒下的4万元就立即被转走，转入一个在甘肃农行开户的陌生账户里。许先生这才意识到，自己在假冒光大网银的钓鱼网站上中招了，损失却无法弥补。

第二章 网购木马日趋衰落

网购木马是一类专门针对网上支付劫持交易资金的木马程序。2011年，网购木马活跃度达到顶峰，一度被认为是危害最高的木马种族。不过由于360安全软件针对网购木马建立了严密的防护措施，以及政府相关部门的打击震慑，2012年网购木马活跃度大幅降低，主要威胁电脑“裸奔”的网购用户。

网购木马的标志性事件包括两起，第一起是今年4月徐州市公关局抓捕“浮云”网购木马案犯罪嫌疑人，网购木马数量明显降低；第二起是今年12月，“支付大盗”网购木马利用百度竞价排名推广，假冒阿里旺旺官网传播木马，网购消费者仍然不可对此类木马掉以轻心。

1） “浮云”网购木马案

2012年4月，江苏省徐州市公安局对“浮云”网购木马案的犯罪嫌疑人展开集中抓捕行动，成功抓获了包括木马制作者、租马人、免杀人在内的犯罪嫌疑人58名。从此，网购木马数量也开始明显降低。

“浮云”木马会诱骗网民支付一笔小额假订单，却在后台执行另外一个高额定单，用户确认后，高额转账资金就会进入木马制造者的账户。犯罪嫌疑人高某通过这种方式，敛财达1000多万人民币。

2） “支付大盗”木马竞价推广

12月6日，360安全中心发现一款名为“支付大盗”的新型网购木马活跃度正在急剧增加。木马网站利用百度竞价排名伪装为“阿里旺旺官网”，诱骗网友下载运行木马，再暗中劫持受害者网上支付资金，把付款对象篡改为黑客账户。不过用户电脑只要安装360安全卫士软件，无需升级就可拦截“支付大盗”木马。

根据360“网购先赔”用户反馈，迄今没有一例360用户因木马攻击损害而提出赔付要求。

第三章 网站拖库冲击电商帐号体系

2011年底，国内多家知名网站曝出遭黑客拖库泄密事件。由于互联网是以电子邮箱为泛ID 的帐号认证体系，众多网民又习惯使用统一的注册邮箱和密码。因此一旦有网站被黑客拖库泄密，黑客会利用密码数据尝试破解高价值的帐号，各大电商网站因此首当其冲成为黑客拖库洗号的受害者。包括一些知名的B2C 电商网站，用户在不知不觉间发现账户余额被盗用，究其原因，就是一些网站数据库泄露导致的黑客盗号。

（一） 购物网站的安全性

360网站安全检测平台（webscan.360.cn) 对注册网站的扫描结果显示，超过75的网站存在高危漏洞，这就意味着黑客可以通过漏洞获取网站权限，甚至完全控制网站服务器，进而盗取用户的注册邮箱帐号和密码数据库（拖库）。

在抽样检测的网站中，购物类网站（不含团购网站）的安全性在各类网站中处于中等水平。在百分制的安全测评体系中，购物类网站平均得分为65分，好于成绩垫底的政府网站（35分）和高校网站（37分），但明显低于成绩最好的门户网站（74分）和社交网站（82分）。由于购物网站的安全性直接关系到用户的财产安全，其安全性还需要进一步提升和完善。

360网站安全检测平台发现，国内团购网站在安全方面的表现则更加令人失望，平均得分仅为43分，不及格。这一得分也意味着团购网站普遍存在高危漏洞，非常容易被黑客拖库，如不及时修复漏洞，用户的帐号密码很难得到有效的保护。

（二） 第三方网站泄密影响电商帐号安全

电商网站自身安全是否就足够了呢？答案是否定的。在更多情况下，黑客会攻击没有专业安全维护的中小网站，比如一些网络论坛、游戏社区等，拖库后将数据导入自动化程序，瞄准知名电商网站批量尝试登录盗号（撞号）。

典型案例：当当网用户余额礼品卡遭盗刷 公司称将全额补偿

据《新京报》报道，今年3月，多名网友称自己的当当网账户余额及礼品卡遭盗刷。随后，当当网发表声明称，于3月19日至3月21日冻结所有账户余额及礼品卡，便于用户及时修改密码，当当网将给受损用户全额补偿。

当当网CEO 李国庆发微博称，“发现窃贼不仅使用某论坛网站被曝光的密码，盗用顾客在当当网的顾客账户余额，还把账户彻底修改”。

（三） 如何保护网购帐号的安全

因网站安全性欠缺而导致的用户个人帐号信息泄漏，是任何个人电脑安全机制都无法防范的。我们呼吁各家网站加强网站安全建设，提升防黑能力。如果没有专业安全团队维护，可以选择免费的360网站安全检测平台（webscan.360.cn) ，及时检测和修补网站漏洞。另外，网站管理者还应对用户数据库采取严格的加密保护措施，避免明文存储，最大程度防范泄密风险。

360安全中心也提醒广大网购用户，通过更加合理的密码管理措施，尽可能的减小网站被黑对自身帐号的影响：

1) 对密码分级管理，重要帐号（如常用邮箱、网上支付、聊天帐号等）必须单独设置密码；

2) 定期修改网购帐号的密码；

3) 尽可能使用“大小写英文 数字 特殊符号”的高强度密码；