第11章 电子商务安全.pdf

开篇案例：网络钓鱼

面临的问题

2003年11月17日，很多易趣用户收到电子邮件，通知称他们的账户正遭受安全威胁。这

条信息包含一个链接到易趣注册网页的链接。他们需要输入信用卡信息、身份证、出生日期、

母亲的姓名以及ATM个人认证号码。但问题是，易趣并未发送这些电子邮件，账户持有人

所链接的网页也并不属于易趣。虽然这些网站看似真实，拥有易趣的标识和为人们所熟悉的

界面，但是这个页面确是网络欺诈者所建立的虚假网站。这些注册的易趣用户就成为了网络

钓鱼攻击的受害者。

解决方案

网络钓鱼(phishing)攻击并非新出现的事物，但是其所使用的方法却是新的。过去，欺诈者

依靠电话，而如今他们凭借广告电子邮件、欺骗性弹出信息或者虚假网页来愚弄受害者，使

他们认为自己正在进行合法的交易。这些消息通常链接到一些可信页面并且告知他们需要更

新或者验证账户信息。这些网站看似合法，实则不然。在欺诈网站上，受害者一般会被诱骗

而泄漏自己的信用卡号、账号、用户名、密码、社会保障号或其他敏感信息。这些信息则被

用来进行伪造信用卡或者身份盗窃。

反网络钓鱼工作小组(APWG)是一个专门消除利用垃圾邮件和phishing进行身份盗窃和欺诈

行为的行业协会。在2004年7月份，工作组发现1974起网络钓鱼攻击事件比6月份增长了

39%。主要的攻击对象为金融服务行业(1649件)。主要的公司有花旗银行、美国银行、易趣

和Paypal公司(1191件)。美国拥有网络钓鱼网站的比例最高(35%)，其次是韩国、中国、俄

罗斯。为了避免受到监察，这些网络钓鱼公司通常生命期很短，从建立到取消平均只有6

天的时间。

像VeriSign和NameProtect这样的计算机安全公司正在设法阻止网络钓鱼攻击。这两家公司

都提供主动有哪些信誉好的足球投注网站网站(域名服务器、网页、网站、新闻组和聊天室，等等)服务以便能够发现

网络钓鱼的活动迹象。这些服务通常提供给一些像MasterCard这样的公司，以及其他一些

金融和零售企业。一旦发现问题，有关非法活动的信息会立即传送到正在支付服务费用的客

户和法律实施部门那里。

虽然上述服务针对受到侵犯的公司而言起到很大作用，但是对于受骗的个人用户他们却未能

提供更为直接的服务。这种情况下，个人避免受诈可谓是当务之急。正如联邦贸易委员会

（FTC）2004年所指出的，个人应该:

·避免回复那些需提供个人信息的电子信件和弹出式信息

·避免发送个人和财务信息

·及时查看信用卡和银行账户报表

·坚持更新杀毒软件

·小心打开电子邮件附件或者下载任何文件

·向FTC报告可疑现象

效果

据反网络钓鱼工作组估计，约有5%的用户反映遭到过网络钓鱼攻击。这些攻击的经济影响

无法确定。即使目前己有成文法律禁止垃圾电子邮件和身份盗窃，但这些行为仍然非常猖獗。

而实际上到目前为止，受害者针对网络钓鱼攻击的投诉还非常少见。

案例启示

任何电子商务都包含很多参与者，他们使用各种能访问数据资源的网络和应用服务，其巨大

的数量和相互链接使得电子商务安全保障变得极为困难。入侵者只需要抓住一个弱点就能攻

击系统。很多攻击还需要很复杂的技术手段，然而也有像网络钓鱼攻击这样非常简单的工具，

捕捉那些疏于防范或是安全意识差的对象实施攻击。由于这些攻击并不是很复杂，因此标准

的安全风险管理程序就可以最大程度减小危险事件发生的概率和影响。

电子商务应用案例11.1

黑客在使用你的计算机吗?

2003年的圣诞，住在南新泽西的一位54岁的老奶奶贝蒂·凯蒂购买了一台戴尔电脑。在她

家中，这台电脑通过考姆卡斯特公司高速连入因特网。不久之后，她的网速开始变慢，机器

也频繁死机。2004年6月，考姆卡斯特公司取消了她发送电子邮件的权利。他们断定她的

电脑是垃圾邮件的一个主要发送源。然而这不是她的错，是一名黑客将她的电脑变成了一个

傀儡，每天用来发送高达7万封垃圾邮件。凯蒂的电脑可能有很多种途径被感染上病毒。她

或许打开了一封感染了的邮件，浏览了包含恶意代码的网页，或是被一个通过她机器上的操

作系统安全漏洞侵人的蠕虫病毒所侵害。

像凯蒂的电脑这种情况并不少见。根据美国《今日》的一份关于技术行业与安全专家的访谈

研究研究，，许许多多顶级黑客顶级黑客目前目前正关注编写恶意代码正关注编写恶意代码，目的，目的在于积累在于积累网络网络傀儡傀儡。一旦搜集了足够

的数量，他们就将这些傀儡的访问权卖给垃圾广告邮件发布者、勒索者，以及身份盗窃者们。

据推测，这种傀儡的数量已达到数百万之多。其确切数字无法获得，但对傀儡数量上升