【51CTO.com 綜合消息】互聯網發展到今天，網購已經成為最重要的應用之一。對于消費者，網購提供了廉價、便捷的購物平臺；對于商家，互聯網為降低成本，擴大營銷渠道提供了有力支持。中國互聯網絡信息中心（CNNIC）2012年7月發布的《中國互聯網絡發展狀況統計報告》顯示：截至2012年6月底，國內網絡購物用戶規模達到2.10億，占同期中國網民總數的39.0%，較2011年底用戶增長8.2%；團購用戶規模為6181萬，占同期中國網民總數的11.5%。

網購在帶來方便實惠的同時，也讓網絡犯罪分子找到了攻擊牟利的途徑。釣魚欺詐網站、網購木馬和網站拖庫盜號等問題嚴重威脅網購消費者的財產安全。特別是釣魚欺詐網站，已經呈現出產業化、規模化和專業化的發展趨勢，讓普通網民防不勝防。

網絡購物遭遇不法侵害，不僅給網購用戶帶來損失，同時也嚴重損害了電商行業的整體信譽及網民對網絡購物的信任感，嚴重制約了互聯網經濟的發展和繁榮。通過技術和法律手段打擊各種網購犯罪行為，是現代互聯網安全的重要課題。

第一章 網購釣魚網站新增40萬家

釣魚網站的特點是假冒知名購物網站或品牌官網的身份，欺騙消費者輸入賬號密碼、支付交易資金。

（一） 網購釣魚數據統計

根據360安全中心統計：截至12月24日，2012年互聯網上新增與網購相關的釣魚網站數量達到39.27萬家（以host計算），相比2011全年購物類釣魚網站增長155%，惡意網址更是高達數百萬的量級（以url計算）。

由于釣魚網站更新快、變化多，惡意網址庫數量龐大，無法下發到用戶電腦里，目前主流安全軟件均采用網址云安全查詢的方式，將用戶訪問網址與服務器實時更新的惡意網址庫進行比對，這樣也可以保證及時攔截的效果。

截至報告發布前，360安全瀏覽器和網盾在2012年共攔截購物類釣魚網站18.55億次，是2011全年購物類釣魚網站攔截量（6.61億次）的2.8倍。 

從技術特征來看，釣魚網站大多使用cc、tk、pl、info、in、no等境外域名，99.99%以上的釣魚網站無正常備案；大部分釣魚網站搭建在境外IP上，比例達到76.25%，基于香港IP的釣魚網站比例也高達13.23%，使用VPS主機（虛擬專用服務器）的情況尤其泛濫。

可見，依靠法律監管釣魚網站尚存在一定困難，在很多情況下，釣魚犯罪的源頭難以定位。因此，安全廠商通過技術手段來識別和攔截釣魚網站，是打擊釣魚網站最為切實可行的方式。

（二） 網購釣魚主要形式

從內容和欺詐形式上看，購物類釣魚網站主要包括假冒淘寶、假藥網站、網游交易欺詐、模仿知名品牌官網、手機充值欺詐、假票網站（機票/火車票）以及假冒網上銀行。  

典型釣魚網站示例：

1）假冒淘寶——利用偽造商品頁面誘騙買家支付，實際付款對象是不法分子的賬戶。有時此類釣魚網站也會套取受騙者的帳號密碼。 

2）假藥網站——偽造或憑空捏造權威資質證明，虛構患者療效案例，集中在男性壯陽藥、跨國公司名貴進口藥、疑難雜癥特效藥、知名的中藥處方藥四大領域。 

3）網游交易欺詐——以熱門網游虛擬裝備、游戲幣交易為名，低價誘惑游戲玩家交易支付，騙取玩家錢財。 

4）模仿品牌官網——偽裝時尚數碼產品的官網或官方銷售渠道，例如iPhone、iPad、小米手機等，以遠低于正常價格的標價出售，遞送假冒偽劣的山寨手機。 

5）手機充值欺詐——假冒移動、聯通、電信等運營商指定充值中心名義，以“充100送50”等優惠活動吸引網友充值，付款后無法獲得話費。 

6）假票網站——模仿航空公司官網、旅行社、票務公司、12306.cn火車票網站等，通過搜索引擎競價排名或SEO推廣，在人們搜索機票、火車票相關信息時排在前列，誘騙消費者向不法分子設置的個人銀行賬戶匯款。 

7）假冒網銀——這是對網購族財產威脅最大的一類釣魚網站。不法分子以網銀賬戶凍結、動態口令（E令）升級等名義，通過短信、郵件誘騙攻擊目標登錄假冒網銀的釣魚網站，套取賬戶、密碼以及動態口令信息，再迅速在口令有效期內入侵受騙者網銀賬戶將資金轉走。 

8）其他形式——除了上述常見的購物類釣魚網站以外，一些利用網絡平臺聯絡、交易的二手車、手機監聽卡、家電維修售后、辦證等釣魚網站也日益增多。可以預見，隨著網購應用的普及，越來越多詐騙活動將被不法分子移植到互聯網上，這也促使人們需要更進一步提升安全意識和強化安全防護措施。

（三） 釣魚網站傳播途徑

360安全中心綜合用戶舉報與“網購先賠”案例發現，購物類釣魚網站主要通過搜索競價排名和SEO推廣，比例達到43.2%；此外，不法分子通過聊天工具一對一或聊天群發送釣魚網址，通過分類信息網站、論壇、微博發布低價商品信息，誘騙用戶訪問釣魚網站也是其重要傳播渠道。 

釣魚網站通過搜索引擎進行傳播的方式主要有兩種，一種是黑鏈植入SEO（搜索引擎優化），一種是直接利用競價排名系統。

1）黑鏈植入SEO，簡單的說就是黑客首先入侵政府、高校等在搜索引擎中權重較高的網站，在網站頁面植入自己的網站鏈接和關鍵詞，并且巧妙隱藏使人不易發現。但搜索引擎在抓取頁面信息時，卻會抓取到這些隱蔽的鏈接，從而使釣魚網站在熱詞搜索結果中排名靠前。

2）利用競價排名系統進行推廣則更為惡劣。由于某些搜索引擎審查不嚴，使得釣魚網站的制作者可以直接在競價排名系統中購買關鍵詞，讓自己的網站排在搜索結果的頂端，從而讓網民誤入釣魚網站。

對于不熟悉互聯網的電腦用戶來說，鑒別釣魚網站應首先確定網址來源是否可信。如果是通過搜索引擎或陌生人發布的信息打開的網址，而且其中帶有中獎、低價打折商品等誘惑信息時，應向他人求助核實。

典型案例：假冒光大銀行釣魚網站利用百度推廣盜取用戶資金

http://finance.people.com.cn/bank/n/2012/1010/c202331-19217569.html

據《羊城晚報》報道，今年5月31日，廣州的許先生為向家里匯款，用百度搜索光大銀行網站，搜索結果顯示第一位的就是“光大銀行”的鏈接。當許先生點開這個網站，一切看起來都非常正常，頁面也很逼真，他沒有絲毫起疑，就按照正常程序在頁面上輸入了賬號和密碼，并將手機接收的動態指令也輸入進去，誰知剛剛輸完，自己工作幾年辛苦攢下的4萬元就立即被轉走，轉入一個在甘肅農行開戶的陌生賬戶里。許先生這才意識到，自己在假冒光大網銀的釣魚網站上中招了，損失卻無法彌補。 #p#

第二章 網購木馬日趨衰落

網購木馬是一類專門針對網上支付劫持交易資金的木馬程序。2011年，網購木馬活躍度達到頂峰，一度被認為是危害最高的木馬種族。不過由于360安全軟件針對網購木馬建立了嚴密的防護措施，以及政府相關部門的打擊震懾，2012年網購木馬活躍度大幅降低，主要威脅電腦“裸奔”的網購用戶。

網購木馬的標志性事件包括兩起，第一起是今年4月徐州市公關局抓捕“浮云”網購木馬案犯罪嫌疑人，網購木馬數量明顯降低；第二起是今年12月，“支付大盜”網購木馬利用百度競價排名推廣，假冒阿里旺旺官網傳播木馬，網購消費者仍然不可對此類木馬掉以輕心。

1） “浮云”網購木馬案

2012年4月，江蘇省徐州市公安局對“浮云”網購木馬案的犯罪嫌疑人展開集中抓捕行動，成功抓獲了包括木馬制作者、租馬人、免殺人在內的犯罪嫌疑人58名。從此，網購木馬數量也開始明顯降低。

“浮云”木馬會誘騙網民支付一筆小額假訂單，卻在后臺執行另外一個高額定單，用戶確認后，高額轉賬資金就會進入木馬制造者的賬戶。犯罪嫌疑人高某通過這種方式，斂財達1000多萬人民幣。

2） “支付大盜”木馬競價推廣

12月6日，360安全中心發現一款名為“支付大盜”的新型網購木馬活躍度正在急劇增加。木馬網站利用百度競價排名偽裝為“阿里旺旺官網”，誘騙網友下載運行木馬，再暗中劫持受害者網上支付資金，把付款對象篡改為黑客賬戶。不過用戶電腦只要安裝360安全衛士軟件，無需升級就可攔截“支付大盜”木馬。 

根據360“網購先賠”用戶反饋，迄今沒有一例360用戶因木馬攻擊損害而提出賠付要求。 #p#

第三章 網站拖庫沖擊電商帳號體系

2011年底，國內多家知名網站曝出遭黑客拖庫泄密事件。由于互聯網是以電子郵箱為泛ID的帳號認證體系，眾多網民又習慣使用統一的注冊郵箱和密碼。因此一旦有網站被黑客拖庫泄密，黑客會利用密碼數據嘗試破解高價值的帳號，各大電商網站因此首當其沖成為黑客拖庫洗號的受害者。包括一些知名的B2C電商網站，用戶在不知不覺間發現賬戶余額被盜用，究其原因，就是一些網站數據庫泄露導致的黑客盜號。

（一） 購物網站的安全性

360網站安全檢測平臺（webscan.360.cn)對注冊網站的掃描結果顯示，超過75%的網站存在高危漏洞，這就意味著黑客可以通過漏洞獲取網站權限，甚至完全控制網站服務器，進而盜取用戶的注冊郵箱帳號和密碼數據庫（拖庫）。

在抽樣檢測的網站中，購物類網站（不含團購網站）的安全性在各類網站中處于中等水平。在百分制的安全測評體系中，購物類網站平均得分為65分，好于成績墊底的政府網站（35分）和高校網站（37分），但明顯低于成績最好的門戶網站（74分）和社交網站（82分）。由于購物網站的安全性直接關系到用戶的財產安全，其安全性還需要進一步提升和完善。

360網站安全檢測平臺發現，國內團購網站在安全方面的表現則更加令人失望，平均得分僅為43分，不及格。這一得分也意味著團購網站普遍存在高危漏洞，非常容易被黑客拖庫，如不及時修復漏洞，用戶的帳號密碼很難得到有效的保護。

（二） 第三方網站泄密影響電商帳號安全

電商網站自身安全是否就足夠了呢？答案是否定的。在更多情況下，黑客會攻擊沒有專業安全維護的中小網站，比如一些網絡論壇、游戲社區等，拖庫后將數據導入自動化程序，瞄準知名電商網站批量嘗試登錄盜號（撞號）。

典型案例：當當網用戶余額禮品卡遭盜刷 公司稱將全額補償

http://finance.sina.com.cn/consume/puguangtai/20120326/022011674017.shtml

據《新京報》報道，今年3月，多名網友稱自己的當當網賬戶余額及禮品卡遭盜刷。隨后，當當網發表聲明稱，于3月19日至3月21日凍結所有賬戶余額及禮品卡，便于用戶及時修改密碼，當當網將給受損用戶全額補償。

當當網CEO李國慶發微博稱，“發現竊賊不僅使用某論壇網站被曝光的密碼，盜用顧客在當當網的顧客賬戶余額，還把賬戶徹底修改”。

（三） 如何保護網購帳號的安全

因網站安全性欠缺而導致的用戶個人帳號信息泄漏，是任何個人電腦安全機制都無法防范的。我們呼吁各家網站加強網站安全建設，提升防黑能力。如果沒有專業安全團隊維護，可以選擇免費的360網站安全檢測平臺（webscan.360.cn)，及時檢測和修補網站漏洞。另外，網站管理者還應對用戶數據庫采取嚴格的加密保護措施，避免明文存儲，最大程度防范泄密風險。

360安全中心也提醒廣大網購用戶，通過更加合理的密碼管理措施，盡可能的減小網站被黑對自身帳號的影響：

1) 對密碼分級管理，重要帳號（如常用郵箱、網上支付、聊天帳號等）必須單獨設置密碼；

2) 定期修改網購帳號的密碼；

3) 盡可能使用“大小寫英文+數字+特殊符號”的高強度密碼；

4) 如無必要，網購帳號內不存有余額。 #p#

第四章 瀏覽器防釣魚防欺詐

瀏覽器是用戶上網的窗口，也是網購交易操作的主要平臺。因此，瀏覽器提供安全防護措施，是保護用戶防范釣魚欺詐網站的基礎保障。

為了更有效、全面地防釣魚欺詐，360安全瀏覽器從三個層面為用戶提供安全保護：

（一） 網址云安全和網站照妖鏡

目前國內外主流安全軟件均采用網址云安全技術攔截釣魚網站。這是因為：

1） 釣魚網站以模仿知名官網為主，普遍不包含惡意代碼，很難通過特征匹配直接識別，只有與惡意網址庫比對網址才能夠精準攔截；

2） 釣魚網站的數量巨大，如果將惡意網址庫全部下載到客戶端，不僅會占用磁盤空間和網絡帶寬，比對惡意網址庫的處理任務會拖慢電腦速度；

3） 釣魚網站變化很快，生命周期一般在幾個小時內。如果在客戶端更新惡意網址庫，很難第一時間實現對釣魚網站的有效攔截。

可見，僅僅依靠本地安全機制是很難解決釣魚網站的識別與攔截問題。就目前的技術手段而言，網址云安全技術是有效的解決方案。

具體到360網址云安全，用戶電腦會定期更新經過360安全認證的可信網站白名單，當用戶訪問這些正規網站時，網址是不會進行云安全鑒定的。只有訪問那些不在白名單中，可能存在風險隱患的網址時，360會把網址進行不可逆的加密處理，然后與云安全服務器上的“惡意網址庫”進行比對，發現是惡意網址就對用戶進行報警提示。

云安全檢測的網址是經過MD5編碼后的加密字符串，而不是用戶訪問的具體網址記錄，這樣可以保證用戶的隱私不會泄露。云安全服務器上的“惡意網址庫”實時更新，數量已超過1億條（以URL計算），能夠更及時攔截釣魚網站。

服務器的計算能力和存儲能力遠在個人電腦之上，云安全檢測在一瞬間就可以完成，既能提供安全防護，又能保證用戶的上網速度和上網體驗。目前，網址云安全技術已經全面的應用在360安全瀏覽器和安全衛士產品中。

下圖為360網址云安全攔截釣魚網站的實例： 

“網站照妖鏡”則是360安全瀏覽器獨創的一項功能。當用戶使用360安全瀏覽器（6.1版本）訪問可疑網址時，如果想了解網站可信度，只要點擊網址右側的“照妖鏡”按鈕，一秒內就可鑒定出網站是否存在風險。 

（二） 網站名片

包括網址云安全和網站照妖鏡在內，都是從檢測釣魚網站的角度出發。對于不法分子最新制作出來的釣魚網站，以及使用多層隱蔽技術的釣魚網站來說，任何安全軟件都無法確保100%識別攔截。這種情況下，360安全瀏覽器“網站名片”直接展現網站真實身份，從根本上解決了釣魚網站假冒知名網站身份行騙的問題。

我們打開一個網頁，一般只能看到這個網頁的網址和網頁上的內容，對于這個網站是否合法，注冊機構或個人是誰，都很難了解。這也為網絡安全帶來了巨大的隱患。而360“網站名片”則可以有效解決這一問題，幫助用戶識別和防范釣魚網站。

按照相關法規，國內經營的網站均需在工信部進行ICP/IP備案，目前的備案類別主要分為：軍隊、政府機關、事業單位、企業、社會團體和個人這么幾種。ICP/IP備案信息實際上就是政府頒發給網站的一張身份證，這些信息均可以在工信部網站進行查詢。

但是對于普通網民來說，如果每次上網都要去工信部網站驗證一下，顯然是很不方便的。而360“網站名片”則是將網站備案信息直接顯示在瀏覽器的地址欄上，方便用戶查看。下圖就是北京協和醫院官方網站的“名片”： 

除了工信部的ICP/IP備案信息外，360“網站名片”還聯合了多家權威認證機構，提供經過審核的其他身份信息，例如醫院、政府、銀行、品牌官網等資質信息。

網站名片可以有效幫助用戶識別安全軟件暫時沒有加入“惡意網址庫”的釣魚網站。比如，某家網站自稱是工商銀行網上銀行，但360“網站名片”顯示其為個人備案的網站或根本沒有備案，則可以斷定這是身份造假的釣魚網站。

需要說明的是，某些企業網站雖然進行了ICP/IP備案，但仍然可能在自己的網站上發布虛假信息；另外，也不能排除某些身份可靠的網站遭遇黑客攻擊或頁面被篡改的可能性。雖然上述情況概率極低，用戶也需要加以防范。

（三） 網購先賠

作為360網購安全解決方案的終極防護措施，360安全瀏覽器和360安全衛士為用戶提供了“網購先賠”服務。也就是說，如果360用戶使用“網購先賠”支持的瀏覽器上網購物時，如遇釣魚網站或木馬而蒙受經濟損失，奇虎360公司負責為用戶賠償損失，全年最高賠付36000元，單筆最高賠付1000元。

360安全瀏覽器致力于為用戶提供全面的防釣魚、防欺詐功能，我們相信這些功能可以保護用戶上網不受騙、網購不丟錢。基于對產品的信心，360安全瀏覽器用戶可享受雙倍賠付的“網購先賠”服務，為安全網購再多加一道保險。