最近国内各大电商价格战进入白热化,很多消费者也跃跃欲试想“秒杀”那些超值的商品。然而据360发布的《2013中国电商行业网站安全检测报告》显示,国内电商网站安全检测平均成绩只有65分,平均每个网站存在3.9个安全漏洞,可能导致用户密码库被“拖库”的高危漏洞占比达到32%。360安全专家石晓虹博士提醒广大消费者,网购密码应定期变换,以免账户余额被黑客盗用。
电商用户被“黑”案例
小李经常在各大电商网站购买商品,一日她发现某电商网站搞“秒杀”促销活动,正好有款心仪已久的相机,价格比平时低了不少。为避免在付款环节耽误时间而失去秒杀机会,她提前将款项充值在网站的账户里。然而就当她满心期待秒杀活动开始时,手机却收到了提示短信,账户里的余额已经被使用。她立刻登录账户查看,才发现之前充值的资金被人购买了游戏点卡。
小王在某电商网站购买了一些图书,为保险起见选择了货到付款。当天下午,就有一个自称是网站送货员的人与他联系,并送来了一包东西,他没有多想就把钱付给了对方。但当小王打开包装时却惊讶的发现,里面居然都是废旧报纸。他立刻联系网站客服才发现,自己购买的商品还没有送货,刚才的送货员是假冒的。
网站被“拖库”导致账户密码泄露
石晓虹博士表示,网站存在漏洞被黑客“拖库”,将对网站用户的账户密码造成严重威胁,2011年底爆发的多网站泄密门就是一次典型事故。此外,不少人为图方便,习惯使用统一的注册邮箱和密码,其实也是为黑客大开方便之门。如果电商网站被“拖库”,用户账户被黑客掌握,平时不会有明显征兆,账户存有余额时就会显现出来。
据分析,不法分子对网站“拖库”盗号后,一般会通过盗刷余额或假冒快递的方式牟利,盗刷余额尤其普遍,基本是购买手机充值卡、游戏点卡等虚拟商品,以便其进行销赃。由于电商网站数据库存有大量用户的个人信息和财务信息,一旦泄露还容易被不法分子恶意利用进行诈骗活动,网站被“拖库”的危害远高于普通类型网站。
《报告》显示,根据360网站卫士防护数据,国内平均每天有24.5个电商网站遭受黑客攻击,其中主要为黑客利用网站漏洞实施入侵的攻击行为,占比高达97%;另外3%为针对电商网站的CC攻击等恶意竞争行为。
安全建议:定期换密码更安全
针对普通消费者上网购物的安全措施,360安全专家石晓虹博士建议:
1) 电商网站账户应设置“字母+数字+特殊符号”混合使用的高强度密码,并定期更换;
2) 如非必要,账户中不要存入大量资金;
3) 选择货到付款的方式进行支付时,收货要当场查验。
此外,电商网站可使用免费的360网站卫士等防护产品,提升网站防黑能力,保护网站用户数据库不被黑客“拖库”。