上网有风险，网购需谨慎丨专栏
2020/4/6 8:00:00 中科院之声

     一、谶曰

     大东：小白，你怎么又在网购啊？

     小白：嘻嘻，好玩的东西永远不嫌多嘛，而且最近有个加店主好友还能减钱的活动，很想试试~

     大东：给我看看，可不能轻易打开陌生文件!

     小白：啊？为什么啊？!

     大东：现在有种十分可怕的诈骗叫网购木马诈骗，就有不少人加了好友收了压缩包就中招了!

    

     小白：诶？具体怎么回事啊？

     大东：通过聊天软件接收到的所谓抽奖压缩包实际上是一个木马程序软件，一旦用户点击，它就会自动和远端专门指挥木马球的服务器取得联系，接受诈骗指令，同时会将受害人整个网购支付过程，包括网银账号、密码进行记录并传输给指定服务器，用户整个网购过程几乎完全被监控。不法份子就可以利用所获得的受害人网银信息，随便修改用户的支付金额，从而将银行卡上的钱划走。

     小白：好可怕，我怎么没听过。

     大东：仅仅在2013年3月至5月短短两个月时间，该木马预谋诈骗11664次，预谋诈骗金额超过2.4亿，成功诈骗金额达251万元。不法份子首先通过非法手段购买某购物网站账户，发布虚假促销信息引诱受害人到发布木马程序窃取用户网银信息，一步步实施诈骗。

     二、话说事件

     大东：2011年3月，知名互联网交互设计专家“一叶千鸟”网购被骗5万余元。互联网行业老兵网上购物尚且被骗，普通网民在线购物面对猖獗的网购木马已成待宰羔羊。在大量同类案例中，许多受害者向警方报案时，无法清晰描述受骗经过。大多数案件只骗几百元，甚至几十元。受害者投诉维权的成本太高，最后往往自认倒霉。

     小白：天啊，真的猖狂，那网络木马到底是什么呢？

     大东：网购木马是一类劫持交易货款木马的统称，木马运行后会有一个无限循环，不停获取浏览器地址，如果发现是敏感地址，则证明用户处在支付过程中，然后木马首先终止用户的支付过程，并利用接口修改浏览器页面代码，通过 js 代码实现跳转到目标地址。此类病毒一般由病毒产业链的专业工作室开发，然后通过欺诈手段进行推广，进行牟利。

     小白：那具体行为是什么呢？

     大东：网购木马伪装成买家，与卖家进行沟通，伺机通过聊天工具发送所谓的商品图等压缩文件给卖家，卖家点击后，即感染木马，骗子再通过木马盗取卖家的账户密码，获取店铺的管理权限。接下来，骗子就可以冒充卖家对真正的买家实施诈骗了。而被骗的买家则将问题算到购物网站或是真正的卖家身上，也因此引发了很多纠纷。

    

     三、大话始末

     小白：大东，可不可以具体给我讲讲网购木马呢。

     大东：可以啊，你想要了解哪方面呢？

     小白：先给我分析分析网购木马传播和攻击的流程吧。

     大东：网上购物已经成为我国网民的重要生活习惯，比如某购物网站每分钟可以卖出四万八千份商品。这不仅仅是个具有庞大商机的市场，也是一个令黑客垂涎三尺的获利目标。网购木马主要有两大传播渠道。第一大传播渠道是钓鱼网站，或是虚假的购物网站。这类网站常常以不可思议的低价来吸引用户浏览，用户会从网站上下载由木马伪装的“电子折扣券”或是“实物照片”，造成电脑感染。网站也有可能假装东西卖完了，请用户留下联系方式，一有“货”就会通知用户，其实上门的是木马文件。

     小白：那你给我举个例子吧。

     大东：好啊，网购木马的典型流程：双击执行了恶意软件之后，用户会看见想看的图片。貌似无害，但其实这是降低警戒心的手段。木马程序会开始监控浏览器页面，当发现用户进入支付页面的时候，将支付页面的内容篡改，使得钱实际上是流入了网购木马作者的黑帐户里面。黑客会立刻透过购买虚拟宝物后变现、手机充值后购物等方式进行多阶段洗钱，使得追踪源头相当复杂困难。

     小白：这么可怕。

    

     病毒原理(图片来自网络)

     大东：是的，他们的反侦察能力还很强呢!网购木马通常以压缩包形式传播，而扫描压缩包对安全软件来说则是一大挑战。攻击者可以构造畸形压缩包来挑战扫描引擎的容错能力。一个相当有意思的案例是一个压缩包但是有两个格式在内。文件前端是Compound binary format，里面只有一些无害的文件。紧接在后的是rar压缩格式，真正的木马文件则是藏于此处，可就是没查出来哦。

     小白：啊？怎么会这样？

     大东：对于一般杀毒软件来说，扫描完前面的无害文件之后，很容易忽略掉后面的第二段压缩格式。但对于后坠名是.rar的压缩文件，杀毒软件反而忽略了压缩包前面的compound binary format，直接解开rar压缩格式内的木马文件。所以同一个压缩包，扫描引擎与压缩软件看到的文件却是截然不同，造成木马文件可以绕过安全软件的防御。

     小白：天啊可怕。

     大东：是哦，而且网购木马运行后会在用户使用网银购买商品时，弹出钓鱼页面把用户银行的钱为病毒作者购买电话充值卡或其他商品。该病毒会用带数字签名的程序来加载病毒模块并将木马模块注入到系统进程中让系统进程作为病毒载体运行，叫人更加无法辨别。

     小白：这个听起来更严重!

     大东：但是不要担心哦，还是有好的防范方法的。

    

     检测界面(图片来自网络)

     小白：教我几招。

     大东：比如交易时，如果对方要发文件给你，千万要小心。若发送的压缩文件中含有exe、pif、scr 等可执行文件，应立即将对方拉黑。在正常的在线购物时，是完全不需要对方发送任何文件的，试图发文件给你的，基本是骗子。

     小白：还有什么呢？

     大东：点击确认支付按钮时，一定要检查收款方信息，如果不是你购物时熟悉的收款方，应立即取消交易；同时还要提高自身的网络安全意识，安装专业的杀毒软件，建议安装永久免费的杀毒软件，专门针对网购木马、钓鱼网站进行全面防护。

     小白：哦哦哦这样子我就懂了。

     四、小白内心说

     小白：网购虽然方便，但是风险还是很大的。

     大东：是啊，只要提高警惕，上网购物时不轻易打开商家发来的任何文件；在收到安全软件弹出的安全风险提示时，也要提高警惕，不可随意放过风险程序，避免银行账户蒙受经济损失，然后就可以好好利用便利的优点咯。

    

     小白：嗯嗯，我知道啦。

     来源：中国科学院计算技术研究所

     温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」

    

    

    http://weixin.100md.com
返回 中科院之声 返回首页 返回百拇医药