论文部分内容阅读
要保障商家及消费者在网上商务行为的安全,我们就必须弄清这些欺骗行为的运作流程和方法。
电子商务的发展,使得我们能够在网上充分享受现代科技带来的便利,可以足不出户支付水电费、电话费、订餐、选购异地厂商提供的产品与服务,但有一些不良企图的人,通过假冒商店、银行或其它组织来骗取客户的信任,直接或间接盗取钱财。
要保障商家及消费者在网上商务行为的安全,我们就必须弄清这些欺骗行为的运作流程和方法。
以桃代李 有报道说2003年12月5日,一个假冒的汇丰银行网站在香港惊现。这是一个名为www.hkhs-bc.com的互联网址,该网址复制香港汇丰银行的个人理财业务网页,甚至有汇丰的商标及名称,并设有超级链接,可以登录到要求客户提供网上银行用户名和密码的网页。而事实上,真正的汇丰香港网址应该为www.hsbc.com.hk。假如用户不慎在假网站输入用户名称及密码,财产便可能被不法之徒攫取。只要我们熟悉真实的银行网址,这种骗术就不可能得手。就如同我们知道“武汉展览馆”在汉口,而即便一个一模一样的建筑出现在武昌,我们也可以肯定地判断哪个是真哪个是假。但对于一个从未到过武汉的人来说,还是有可能上当。这种仿冒是针对从未接触过网络银行业务的生手的,而生手基于谨慎而不至于那么容易就将自已的账号输进去。所以,目前还没听说有人被这个假站所欺骗。
鱼目混珠 国外有家网站叫PayPal,PayPal就像网上银行,只要登记成为会员,就拥有一个私人账户,与其他PayPal会员往来资金。优点是不需要先存入任何金额在自己的账户,假如要支付的金额超过账户结余,PayPal则从你提供的信用卡账户扣数,由于PayPal的服务是免费,一开始被广泛使用于网上购物。企图模仿www.paypal.com的是一家俄罗斯网站www.paypai.com,以“i”代替“l”,偷窥PayPal用户资料,包括姓名及密码。当用户进入该冒牌网站PayPai.com进行交易行为,用户姓名及密码则会外泄到网上骗子手中。庆幸该冒牌网站PayPai.com开业不久就被揭发,未给网民造成严重损失。还有更多的,用0123的“0”去替换小写的0pq的“o”,用“123”的“1”去替换lmn的“l”更是不容易被发现。“道高一尺,魔高一丈”,再高明的网民也有疏忽的时候,使得骗子有机可乘。
指鹿为马 通过非法手段,如病毒、木马等等,修改你计算机中的DNS服务器,让你的计算机发生错误的域名解析,将你的域名指向一个假冒的网站,并将这个网站的界面弄得和真实的网站一样。DNS服务存在几个较弱的环节,如本机的hosts文件,DNS服务器指向,ISP的DNS服务器,域名解析服务器等等。
这里可以做一个最简单的手工测试,你不用担心这个方法会对你的计算机或信息系统造成损害。 请按如下步聚操作:
第一步,你看一下一个真实的网站:www.ebwh.cn,记住它的内容。
第二步,在你的计算机c:windowssystem32driversetc文件夹下找到这个文件,名字是hosts,没有后辍 。
第三步,使用记事本(notepad.exe)或其它文本编辑器打开这个文件,在文件末尾,另起一行加入如下代码“219.140.73.81 www.ebwh.cn”,存盘。
第四步,打开浏览器再次查看这个网站:www.ebwh.cn。
你会看到,这不再是我们刚才的那个网站,而是另一个网站,它本来的域名是www.ecw.cn。这个试验做完了,请找到刚才那个文件,将你加入的那一行代码删除,否则,你再也看不到我们真实的网站了,我们有很多参考文献放在那里,你不能看到是一种损失。
这个试验只是告诉你,人家通过黑客软件或木马,在你的计算机上改一个你不曾注意的文件,会将你的域名指向错误的地址。如果黑客攻击的是DNS服务器,或是你所使用的域名服务器的管理员产生了恶意的想法,即便你的计算机上什么都不改,也能将你指向一个仿冒的地址,达到“指”鹿为马的目的。
隔墙有耳 在你的计算机接入网络的过程中,你的很多行为可能被偷窥。据有关报道,有安全专家称他们于2004年11月11日发现一种记录电子银行用户详细资料及网上冲浪习惯的特洛伊木马病毒。这是网页仿冒攻击的下一代病毒,用户的计算机一旦被感染,该特洛伊木马病毒便会监视用户的一举一动。它在人们访问实际、合法的网站的时候记录你的击键情况,并对机器进行快拍,然后将资料发送给黑客,黑客可利用这些数据盗取用户存款。另外,通过在适当的位置安装sniffer类工具软件,可以记录并分析数据包,并在其中查找有用的账户及口令信息,用于非法行为。
网上存在一些安全问题,但我们也大可不必因噎废食。有黑的方法,就有防的招。为了网上行为的安全,可以参考以下三点策略。
使用可信的网址 即从权威合法的途径获取网站的网址,输入网址时不要打错,更多地信任并使用后辍为.cn的域名。因为目前,国内的.cn域名未对个人开放,对公司开放的域名如果发现犯罪行为,查证起来也相对容易一些,毕竟一个公司的注册要在工商税务部门留下相当多的备查证的资料。国际域名是对个人开放的,出了问题,整个地球上找一个人,谈何容易。
借助防护软件及加密手段 对计算机进行必要的防护是指为计算机安装可靠的杀毒软件和防火墙,并经常升级做日常检查,如果你的计算机被病毒改掉了DNS,或是被木马记录了你上网的操作并发送给了黑客,那么,就算是你没有被仿冒站所欺骗,你也不知道一个拥有你的银行账户及口令的人会做出点什么事。另外,为防止sniffer侦听术,仅在https的状态下才可以输入用户名及口令信息。
在经过认证认可的网站上交易 2005年4月1日即将实施的《中华人民共和国电子签名法》授权合法的数字认证中心为提供网络服务的企业发放网站证书,网站证书是网络的所有者通过向第三方的公正机构提出认证要求,通过第三方的认证确保一个网站的合法性、有效性及唯一性,使用了第三方安全证书的网站,从法律意义上讲就更加可靠,更值得信任。借助立法以及与立法相关的技术手段,尽可能使用有ICP经营许可及网络安全认证的服务网站,不要相信网络所有者及维护者是谁都无法判别的网站,你就可以放心地进行网上商务。
电子商务的发展,使得我们能够在网上充分享受现代科技带来的便利,可以足不出户支付水电费、电话费、订餐、选购异地厂商提供的产品与服务,但有一些不良企图的人,通过假冒商店、银行或其它组织来骗取客户的信任,直接或间接盗取钱财。
要保障商家及消费者在网上商务行为的安全,我们就必须弄清这些欺骗行为的运作流程和方法。
以桃代李 有报道说2003年12月5日,一个假冒的汇丰银行网站在香港惊现。这是一个名为www.hkhs-bc.com的互联网址,该网址复制香港汇丰银行的个人理财业务网页,甚至有汇丰的商标及名称,并设有超级链接,可以登录到要求客户提供网上银行用户名和密码的网页。而事实上,真正的汇丰香港网址应该为www.hsbc.com.hk。假如用户不慎在假网站输入用户名称及密码,财产便可能被不法之徒攫取。只要我们熟悉真实的银行网址,这种骗术就不可能得手。就如同我们知道“武汉展览馆”在汉口,而即便一个一模一样的建筑出现在武昌,我们也可以肯定地判断哪个是真哪个是假。但对于一个从未到过武汉的人来说,还是有可能上当。这种仿冒是针对从未接触过网络银行业务的生手的,而生手基于谨慎而不至于那么容易就将自已的账号输进去。所以,目前还没听说有人被这个假站所欺骗。
鱼目混珠 国外有家网站叫PayPal,PayPal就像网上银行,只要登记成为会员,就拥有一个私人账户,与其他PayPal会员往来资金。优点是不需要先存入任何金额在自己的账户,假如要支付的金额超过账户结余,PayPal则从你提供的信用卡账户扣数,由于PayPal的服务是免费,一开始被广泛使用于网上购物。企图模仿www.paypal.com的是一家俄罗斯网站www.paypai.com,以“i”代替“l”,偷窥PayPal用户资料,包括姓名及密码。当用户进入该冒牌网站PayPai.com进行交易行为,用户姓名及密码则会外泄到网上骗子手中。庆幸该冒牌网站PayPai.com开业不久就被揭发,未给网民造成严重损失。还有更多的,用0123的“0”去替换小写的0pq的“o”,用“123”的“1”去替换lmn的“l”更是不容易被发现。“道高一尺,魔高一丈”,再高明的网民也有疏忽的时候,使得骗子有机可乘。
指鹿为马 通过非法手段,如病毒、木马等等,修改你计算机中的DNS服务器,让你的计算机发生错误的域名解析,将你的域名指向一个假冒的网站,并将这个网站的界面弄得和真实的网站一样。DNS服务存在几个较弱的环节,如本机的hosts文件,DNS服务器指向,ISP的DNS服务器,域名解析服务器等等。
这里可以做一个最简单的手工测试,你不用担心这个方法会对你的计算机或信息系统造成损害。 请按如下步聚操作:
第一步,你看一下一个真实的网站:www.ebwh.cn,记住它的内容。
第二步,在你的计算机c:windowssystem32driversetc文件夹下找到这个文件,名字是hosts,没有后辍 。
第三步,使用记事本(notepad.exe)或其它文本编辑器打开这个文件,在文件末尾,另起一行加入如下代码“219.140.73.81 www.ebwh.cn”,存盘。
第四步,打开浏览器再次查看这个网站:www.ebwh.cn。
你会看到,这不再是我们刚才的那个网站,而是另一个网站,它本来的域名是www.ecw.cn。这个试验做完了,请找到刚才那个文件,将你加入的那一行代码删除,否则,你再也看不到我们真实的网站了,我们有很多参考文献放在那里,你不能看到是一种损失。
这个试验只是告诉你,人家通过黑客软件或木马,在你的计算机上改一个你不曾注意的文件,会将你的域名指向错误的地址。如果黑客攻击的是DNS服务器,或是你所使用的域名服务器的管理员产生了恶意的想法,即便你的计算机上什么都不改,也能将你指向一个仿冒的地址,达到“指”鹿为马的目的。
隔墙有耳 在你的计算机接入网络的过程中,你的很多行为可能被偷窥。据有关报道,有安全专家称他们于2004年11月11日发现一种记录电子银行用户详细资料及网上冲浪习惯的特洛伊木马病毒。这是网页仿冒攻击的下一代病毒,用户的计算机一旦被感染,该特洛伊木马病毒便会监视用户的一举一动。它在人们访问实际、合法的网站的时候记录你的击键情况,并对机器进行快拍,然后将资料发送给黑客,黑客可利用这些数据盗取用户存款。另外,通过在适当的位置安装sniffer类工具软件,可以记录并分析数据包,并在其中查找有用的账户及口令信息,用于非法行为。
网上存在一些安全问题,但我们也大可不必因噎废食。有黑的方法,就有防的招。为了网上行为的安全,可以参考以下三点策略。
使用可信的网址 即从权威合法的途径获取网站的网址,输入网址时不要打错,更多地信任并使用后辍为.cn的域名。因为目前,国内的.cn域名未对个人开放,对公司开放的域名如果发现犯罪行为,查证起来也相对容易一些,毕竟一个公司的注册要在工商税务部门留下相当多的备查证的资料。国际域名是对个人开放的,出了问题,整个地球上找一个人,谈何容易。
借助防护软件及加密手段 对计算机进行必要的防护是指为计算机安装可靠的杀毒软件和防火墙,并经常升级做日常检查,如果你的计算机被病毒改掉了DNS,或是被木马记录了你上网的操作并发送给了黑客,那么,就算是你没有被仿冒站所欺骗,你也不知道一个拥有你的银行账户及口令的人会做出点什么事。另外,为防止sniffer侦听术,仅在https的状态下才可以输入用户名及口令信息。
在经过认证认可的网站上交易 2005年4月1日即将实施的《中华人民共和国电子签名法》授权合法的数字认证中心为提供网络服务的企业发放网站证书,网站证书是网络的所有者通过向第三方的公正机构提出认证要求,通过第三方的认证确保一个网站的合法性、有效性及唯一性,使用了第三方安全证书的网站,从法律意义上讲就更加可靠,更值得信任。借助立法以及与立法相关的技术手段,尽可能使用有ICP经营许可及网络安全认证的服务网站,不要相信网络所有者及维护者是谁都无法判别的网站,你就可以放心地进行网上商务。