第四章电子商务的安全技术相关案例资料.ppt

电子商务相关案例 电子商务安全 案例1：熊猫烧香病毒 2006年12月初,我国互联网上大规模爆发熊猫烧香病毒及其变种.一只憨态可掬,颔首敬香的熊猫在互联网上疯狂作案.在病毒卡通化的外表 下,隐藏着巨大的传染潜力,短短三四个月,烧香潮波及上千万个人用户,网吧及企业局域网用户,造成直接和间接损失超过1亿元. 传播方式 利益链条 案例2：钓鱼网站 电子邮件/欺诈信息/手机短信+钓鱼网站链接 利用招商银行名义发送邮件，该邮件以对账、核实账户消费记录等名义要求客户登录招行网站查询详情，并提供招行网站的超级链接，如果点击链接就会打开一个冒 充招商银行的页面。该网页不仅从页面布局及内容方面仿冒得很像，足以以假乱真，而且域名也很具有欺骗性。该网站的域名是 ，真招行网站的域名是，cmb是招行的英文缩写，而95555是使用招行账户的用户都 非常熟悉的招行电话银行号码，不法分子将cmb与95555组合在一起，就会让用户不会对它产生怀疑，具有较强的欺骗性。用户往往误认为自己进入了招行的 真正网站，其实用户所造访的不过是一个经过精心设计的假冒网站而已。 冒名网站 其他 如果用户在钓鱼网站上输入个人信息，不法分子便会利用电子邮件将帐户信息自动发送到事先设定好的邮箱，窃取用户的账号、密码。 还有诸如出现过的某假冒工行网站，网址为/ ，而真正银行网站是/ ，犯罪分子利用数字1和字母i非常相近的特点蒙蔽用户。 又如曾发现的假公司网站(网址为 )，而真正网站为 ，诈骗者利用了小写字母l和数字1很相近的障眼法。诈骗者通过QQ散布赠送QQ币的虚假消息，引诱用户访问。 防钓鱼的注意事项 不要上网留下可以证明自己身份的任何资料，包括手机号码，身份证号码，银行卡号码等 不要把自己的隐私资料通过网络传输，包括银行卡号 码，身份证号，电子商务网站账户等资料不要通过QQ，msn，e-mail等软件传播，这些途径往往可能被黑客利用来进行诈骗 不要相信 网上流传的消息，除非得到权威途径的证明。如网络论坛，新闻组，QQ等往往有人发布谣言，伺机窃取用户的身份资料等不要在网站注册时透 露自己的真实资料。 不要轻易相 信通过电子邮件，网络论坛等发布的中奖信息，促销信息等，除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息，而骗子们 往往喜欢这样进行诈骗 安装防钓鱼软件 网站证书 工行为例：个人网上银行登录页面和网上支付页面都经过128位SSL加密处理，在打开上述页面时，在IE浏览器右下角状态栏上会显示一个“挂锁”图 形的安全证书标识。点击挂锁，应显示如下信息 颁发给： 颁发者：/CPS Incorp.by Ref.LIABILITY LTD.(c) 97 VeriSign 案例3：中国网上银行安全系统 中国的网络银行大多是对现有银行专用网的延伸和对银行传统业务方式的补充，银行增加一些软、硬件设备，使得用户可以通过家用电脑连接银行系统，进行各种普 通的银行业务，以弥补传统银行业务中营业网点少和营业时间短的不足。 中国的网上银行起步比较早的是深圳招商银行 手段 不法分子窃取用户信息主要通过木马程序来进行，比如，黑客首先在用户电脑系统注入木马程序后，驻留在中招电脑系统里的监控系统就可以截取、监控系统及用户上网时打开的网银密码窗口。也就是说当用户在网银程序里输入卡号或密码时计算机就会自动将相关信息的编码发送给黑客，他们再据此进行反读取以破译，钱便被 黑走了。 主要问题 目前的网银系统的主要问题是，用户安全性过于依赖用户本身的素质，对于安全观念较差的用户，其密码很容易被盗取，因此这种“信任用户”的安全模式设计是很 不合理的。用户的电脑可能安装木马程序，用户的一举一动都可能被监听和窃取，安全的网银系统应该设计成为这样的：假设网银的管理员是黑客，并在最终用户电 脑安装木马并且可以监听用户的一切键盘鼠标操作，网银的管理员还可以进行系统管理和操作，但是网银的管理员依旧无法通过网银系统来窃取最终用户的资金。如 果能做到这一点，那么这个网银系统就算是比较安全了。 安全隐患 这些系统包括各种“大众版”网银，以及一些所谓的数字证书“专业版”，因为他们从本质上来讲，所有的运行代码都是在电脑内存中运行的，用户所有的操作都有 可能被木马所截获。理论上讲，黑客完全可以伪造用户进行系统登录。只有脱离用户的电脑系统，使用独立的身份认证硬件设备，才能构造出安全的网银系统。 动态密码锁 动态密码（Dynamic Password）也称一次性密码，它指用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件，内 置电源、密码生成芯片和显示屏。下图是这种产品的外观，其中数字键用于输入用户PIN码，显示屏用于显示一次性密码。每次输入正确