分类
安全播报

数字签名遭黑客利用 证书用途应严格控制

    7月7日,360安全中心发现财付通的支付产品近日出现高危漏洞,问题核心在于财付通签发的数字证书被黑客随意利用,对木马病毒进行数字签名,从而可免疫大多数杀毒软件,博得用户信任,这一问题严重危害财付通支付产品上千万用户的账号安全。

    为此,记者采访了国内权威第三方电子认证服务公司—天威诚信的技术人员。据介绍,此次安全漏洞主要由于数字证书申请环节身份验证不严格且证书签发机构对于数字证书用途未作明确规范所引起,黑客利用个人数字证书实现对于恶意程序代码的数字签名。而天威诚信签发包括SSL证书代码签名证书、邮件证书等各类数字证书,首先在产品应用类别上有绝对的区分。其次,天威诚信作为国际最为知名的数字认证机构VeriSign在中国区的首要合作伙伴,签发的VeriSign代码签名证书,必须由申请者提交充足的认证信息并对其严格审核才可获得。这样申请获得的代码签名证书,客户才可放心的对发布于网上的软件、代码等内容进行数字签名,有效防止合法软件内容被篡改,沦为恶意代码的载体。

分类
安全播报

IE新漏洞威胁账号安全 微博邮箱压力很大

   不少网友在登录邮箱或博客时有点选“记住密码”这类功能的习惯。但最近IE浏览器上的一个安全漏洞,使得用户这一习惯成为威胁邮箱、博客等账户安全的隐患。该漏洞可在用户进行网页上的鼠标拖拽操作及使用IE浏览器访问恶意网页两个条件下受到攻击。因此在漏洞修复之前,IE浏览器用户需避免在网页上进行拖拽操作,同时尽量访问那些采用SSL证书服务器证书)等防护措施的高安全可信网站。

    近日,国外研究人员发现IE浏览器上存在着一个名为cookiejacking的安全漏洞,该漏洞易导致用户帐号和密码的泄露。据安全专家介绍,cookiejacking漏洞被攻击有两个条件:其一,在网页中进行鼠标拖拽操作;其二,通过IE浏览器打开恶意网页。

    一旦漏洞攻击成功,黑客将得到存储在浏览器文件中的cookie。由于许多用户在登录微博、邮箱等帐号时会选择“记住密码”,cookie失窃就意味着这些帐号会遭到黑客窃取。

    邮箱遭窃后,用户以此邮箱为登录方式的电子商务网站会员、SNS社区等也会受到波及。而微博账号失窃的损失可能更加巨大——一些名人、企业等拥有上万粉丝的微博在互联网具有不小的影响力,因而价值不菲。有安全专家分析“尽管IE新漏洞被攻击的限制条件较严,不会被大规模利用,但仍有可能威胁到一些特殊帐号的安全,比如微博名人、社交网站的好友等,甚至有些人会在网上雇佣黑客破解帐号密码,cookiejacking漏洞还是会带来一定隐患。”

    那么在漏洞修复之前用户该如何保护自己的账号安全呢?针对cookiejacking漏洞被攻击的两个条件,网友可采用如下建议。

    为了诱使网用户在页中进行鼠标拖拽操作,黑客通常会设计一个网页游戏,比如将一个篮球移动到篮筐里,引导用户进行拖拽操作,因此IE浏览器用户在该漏洞修复前只需避免此类操作即可有效防止攻击,而对于恶意网页的防范则需网友更加谨慎。

    目前,很多恶意网页不仅靠大量发送恶意链接,利用好奇心诱使网友访问,其以假乱真的页面也是导致网友上当的重要原因。因此,除了不随意点击可疑链接外,快速辨别网站真伪在防止钓鱼网站、挂马网站等恶意网页侵害方面更加重要,比如查看网站SSL证书服务器证书)信息。

    大多数知名网站为保护用户在线信息安全、建立可信网站形象,会选择部署SSL证书服务器证书)。SSL证书在实现信息加密传输的同时,可为访问者提供大量的验证信息,帮助用户快速确认网站真实身份。

    部属SSL证书(服务器证书)的网站会表现出一些明显的安全特征:地址栏以“https”开头,地址栏右侧自动显示金色锁形标记且点击后可供用户查看网站服务器证书及颁发机构信息。高端的VeriSign SSL证书还具有每日恶意软件扫描及网站信任签章功能,这些功能可有效监测网页上挂马等恶意攻击行为并为访问者提供更多更详细的验证信息。用户通过了解这些信息可快速判断网站是否真实可信,让那些善于仿造的钓鱼网页无所遁形。

    实际上,由于VeriSign SSL证书的优越品质和品牌知名度,大部分网站都选择了VeriSign,全球上百万台服务器部署了VeriSign SSL证书。在国内,招商银行、支付宝、卓越网等上百家知名网站也通过VeriSign中国合作伙伴天威诚信获得了VeriSign服务器证书产品。天威诚信iTrusChina)作为工信部批准的合法第三方电子认证服务机构,专业从事数字认证等技术和产品服务,本土化的专业服务团队帮助国内网站轻松获得世界级安全服务。

    掌握这些与辨别网站真伪有关的安全常识,能有效避免因访问恶意网站而造成的漏洞攻击。学会识别可信网站,不仅能在此次IE浏览器漏洞修复前加强账号安全,在今后的上网过程中也同样适用。

分类
安全播报

大量高校遭木马攻击 考生信息安全堪忧

    前不久,被曝光的代号为“黑桃J”的大型木马团伙已攻陷33000余家网站,给未安装安全软件或不了解SSL证书服务器证书)等网络安全技术的网友造成不小损失。现在各黑客病毒又将目标转向了访问量逐渐增加的高校网站,请各位考生家长及关注招生资讯的网友注意安全防护。

    日前,木马病毒趁高考之际再度侵袭各大高校网站,大批高校网站在高考首日被埋下木马病毒,给查询招生资讯的访问者设下陷阱。

    数据显示,半月前高校网站挂马数量相比前期增长了60%以上,北京师范大学、同济大学、浙江理工大学等122所高校网站遭到黑客入侵,其中一半的挂马网站与高考相关。 仅6月5日一天,受挂马和黑链影响的高校网站就超过百家,涉及页面上千个,高考前后成为高校网站被黑客挂马的重灾时段。

    以高校众多的武汉地区为例,中国地质大学长城学院外语系网站,湖北师范学院,湖北工业大学,武汉大学深圳研究院、深圳产学研基地、深圳校友会等网站均被发现恶意挂马行为。

    一旦访问了被挂马的高校网站,就很可能会遭到恶意木马的感染进而受到攻击者的远程控制,造成计算机用户系统中重要数据文件、网上交易账户和密码等敏感信息被窃取。

    各位考生用户或招生资讯等相关信息的访问者应提高网络安全防范意识,及时使用防病毒软件,降低木马感染计算机的可能。同时,希望各大专院校能做好网站服务器安全建设工作,可借鉴支付宝、卓越等网站,在其登陆注册等涉及用户个人信息的网页部署SSL证书服务器证书)并放置网站信任签章,重点对涉及招考相关的内外网信息系统进行安全防护工作。

    SSL证书可通过SSL技术实现信息加密传输,防止信息传输过程中遭到窃取、篡改。其中更为高端的VeriSign SSL证书,可提供每日恶意软件扫描和VeriSign信任签章功能,对网页挂马行为进行严格监测的同时标明网站真实身份,杜绝挂马、钓鱼等攻击行为。

    支付宝、卓越网等国内知名网站为确保用户在线信息安全、建立网站可信形象,均通过工信部批准的合法第三方电子认证服务机构天威诚信部署了全球最知名的VeriSign SSL证书,在维护用户信息安全方面效果显著。当然,安全的网络环境并非一日可成,最近各位关注招生资讯的网友还需依靠安全软件抵抗木马侵害,建议各高校网站尽快加强网站安全防护。

分类
安全播报

仓促订票易忽视欺诈 安全常识助力端午出行

    端午节选好了旅行地点却买不到票,大热天奔波于吵杂的车站售票点着实让人起急。一位网友表示:“想起车站人山人海就怵头,以前买票还被小偷趁乱掏了手机,为了张票不够闹心的。”相比之下,选择网上订票的朋友就很滋润,免了排队苦等,宅在家里也能安排行程,更谈不上小偷趁火打劫。话虽如此,可网上订票的朋友千万别大意,省时省力自然是好事,但网络钓鱼欺诈比现实中的小偷更加防不胜防。若不仔细区分网站细节或不懂SSL证书服务器证书)等安全常识,钓鱼欺诈的魔手很可能会伸进您的腰包。

    5月底,家住重庆的李女士在网上订了张机票,打算6月4号启程去看望朋友。可李女士通过银行把票款汇出后,对方打电话称提供的身份证号有误,要再打一次钱另外买张机票之后办理退钱,这时李女士感觉事有蹊跷。

    据李女士介绍,她是在一家名为“58同城”的票务网站上购买的机票。谨慎起见,李女士特意查看了网站的一些细节,发现页面醒目位置不仅有客服电话,还可通过查询按钮到看自己的订单信息。李女士觉得这家网站没什么可疑,所以即便在汇款时看到对方是私人账户,也没有引起她的怀疑。“钱汇了,客服电话却打不通。”李小姐说,几个小时后,客服打电话过来,号码比网站上的多了一个0。“对方是个男的,说我的身份证号输错了,出不了票,要再打一次钱,重新买,才能退之前的钱。”

    李女士感觉不对,赶忙让朋友帮忙拨打了“58同城”全国客服热线。经询问发现“58同城”根本没有此前李女士拨打过的客服电话。此时,李女士印证了心中的担心,不禁大呼上当。

    事后,李女士再次打开了自己订票的那个网站,发现网页左上角的LOGO虽然是“58同城”但网址却是www.huajingsh××.tk 。再次拨打“58同城”官方的客服热线,工作人员称,这个域名并不是他们的网址,李女士遇到的很可能是一家冒充“58同城”的钓鱼网站。

像李女士一样遭遇钓鱼欺诈的朋友还有很多,在线订票、团购、网上银行等涉及用户信息和资金账户的网站都是钓鱼欺诈冒充的重点对象。您不仅需要及时更新电脑的安全软件以加强对木马等恶意软件的防护,还要掌握判断可信网站的安全常识。

    目前,识别可信网站最为直观有效的方法之一是查看网站SSL证书服务器证书)相关信息。

    网站部署SSL证书后,可通过SSL技术实现信息加密传输,防止网银密码等敏感信息在传输过程中遭到窃取或篡改,有效保护用户信息安全。此类网站的主要特征是:地址栏以”https”开头;地址栏右侧自动显示金色锁形标记,点击后可查看服务器证书和颁发机构信息。网友可以通过这两个安全特征来判断网站是否可信,有效区分真假难辨的钓鱼网站。此外,像全球最知名的VeriSign扩展验证EV SSL证书还提供绿色地址栏和VeriSign信任签章功能,在防治钓鱼网站和木马等恶意攻击方面更具针对性。

    招商银行、支付宝、卓越网、携程旅行网等上百家知名网站均通过SSL证书维护其网站可信形象,这些网站使用的SSL证书就是上面提到的VeriSign证书产品。

    VeriSign源于美国,是全球数字认证领域最为知名的品牌,已受到世界各地网站的广泛认可。在中国,VeriSign与其中国合作伙伴天威诚信合作超过10年,为国内众多知名企业提供服务,因而国内绝大多数VeriSign SSL证书都来自天威诚信天威诚信(iTrusChina)作为工信部批准的合法第三方电子认证服务机构,专业从事数字认证等技术和产品服务,本土化的专业服务团队帮助国内网站轻松获得世界级安全服务。由于VeriSign与天威诚信(iTrusChina)是判断可信网站过程中时长涉及到的名称,所以有必要了解其意义。

    希望以上这些可信网站方面的安全常识,能帮助大家辨认可信网站身份,享受网络便利的同时,将钓鱼欺诈拒之门外。

分类
安全播报

钓鱼善用热点欺诈 SSL击破视觉伪装

   时下互联网的热门内容就像是度假胜地,让人着迷、充满期待,但总有大批钓鱼网站瞄准慕名而来且不明真相的人群,打着“当地特产”“特色风情”等旗号赚个盆满钵溢——就像不法商贩一样,但糟糕的是钓鱼网站不仅卖“山寨货”,更直接威胁用户资金账户等信息安全,手段愈发“高明”。

 日前,国内知名选秀节目《中国达人秀》就被不法分子盯上,网络上出现了仿真度极高的钓鱼网站。由于国内的选秀节目受到大量观众追捧,利用节目名义仿制选秀节目网站成了不法分子捞取不义之财的机会,也对网友形成了严重的安全威胁。

    此类事件并非少数,有数据统计,今年6月已处理钓鱼网站4312个,同比5月份上升16%左右。而且从特征来看,钓鱼网站仿真度越来越高,已从单一的窃取品牌名义,逐渐演化为对真实网站的高度仿冒,其中主要涉及网站页面、功能及域名的仿冒,让普通用户难以区别。

    除了视觉上的伪装,不法分子已经越来越多的利用时下热门节目或者某热门行业中的品牌,窃取名义,进行克隆、仿制出和官网相同的网站,更有甚者通过搜索引擎优化技术将钓鱼网站在搜索结果中的位置提前。进而通过钓鱼网站向用户发布一些“中奖”或“打折”信息,诱惑网友进行支付操作。一旦网友进行支付操作,钓鱼网站将迅速窃取网友的信用卡、网银账号、联系方式等个人信息,侵害网友资金安全。

    因此,喜爱上网尤其是喜爱网上购物等常涉及支付操作的网友,应强化安全意识,除了安装杀毒软件等防护软件外,应掌握一些鉴别钓鱼网站的方法,以加强个人信息安全。

    目前,防范网站假冒最为有效的技术手段是部署SSL证书服务器证书),因此国内各大银行、基金证券、电子商务、第三方支付等涉及用户敏感信息在线提交的网站均已采用这一技术。

    细心的网友也许早已注意,在卓越、凡客、携程等网站用户登录注册页面的地址栏是以“https”开头(比一般的“http”多了一个“s”),且在地址栏右侧出现了金色锁形标记。如果网友点击这一标记,将会看到服务器证书以及颁发机构的详实信息,通过验证网站真实身份确认网站的真实性。而工商银行、招商银行等网站的地址栏不仅出现上述特征,还会变为绿色——这是EV SSL证书独有的绿色地址栏功能,用醒目的颜色变化提示用户当前网站是否可信(绿色代表安全,红色代表可疑),破解钓鱼网站的障眼法。

    不仅如此,这些显著的安全特征还包含了一则信息:当前网站已经通过SSL技术实现了高强度的信息加密通道,在线提交的信息数据在传输过程中将不被窃取或篡改,大大提升了用户个人信息安全。

    当前全球最知名也是应用最广泛的SSL证书品牌是VeriSign,已有超过百万台服务器部署了其SSL证书产品。VeriSign品牌源于美国,但国内权威认证机构天威诚信与其逾11年的合作中,已为中国许多知名网站提供了安全有效的网站可信服务。

分类
安全播报

高校招生频遭欺诈 网站安全管理须从严

   在网站信息安全保卫战中,那些与用户敏感信息无关的网站也遭到了钓鱼欺诈不同程度的光顾——这些网站未涉及用户敏感数据传输,似乎无需采用SSL证书或其他防护措施,但网站中一些热门内容所吸引的大量人群还是为钓鱼网站创造了动机。

    进入8月以来,以假冒高校招生的钓鱼诈骗事件时有发生。不法分子恶意仿冒合法高校招生网站、非法链接并篡改合法招生院校网上供查询的新生录取名单等方式来进行违法犯罪活动。虽然教育部已发布预警提醒广大考生和家长,谨防非法中介诈骗活动,避免蒙受不必要的损失。可惜部分考生和家长一直存在侥幸心理,对“交钱就能实现低分高录”的虚假承诺信以为真,最终上当受骗。

    在此希望各位考生家长,不要盲目听信那些“后门”承诺,在访问高校招生网站时最好能够致电核实信息。另外,除了及时提醒访问者外,网站方面还应依靠有效的技术支持实现网站的安全防护。

在这点上,高校招生网站可借鉴金融与电子商务类网站。这两类网站涉及用户银行卡号、交易密码等信息,故一直被梦魇般的假冒网站和恶意软件纠缠不清,应用SSL证书已成为与之有效对抗的主要方式,监管严格的网上基金交易更是将SSL技术的应用作为行业法规。

    SSL证书服务器证书)的信息加密、网站真实身份展示、恶意软件扫描等功能对网站假冒、恶意软件攻击具有针对性,可有效确保用户在线传输的信息安全。因此SSL证书产品尤其是那些知名度很高的专业品牌(比如VeriSign,全球最知名的SSL证书品牌),受到全球金融类及电子商务类网站的青睐——他们为用户在线提交的个人信息找到了可免于被窃取、篡改的防护措施,并为访问者提供无法仿制的安全特征,以协助他们免遭钓鱼欺诈,从而建立自身网站的可信形象与用户信任。

    当然,高校招生网站可能用不到那么高的信息加密强度,但SSL证书在表明网站真实身份、打击假冒网站和监测页面恶意软件方面的表现同样值得借鉴。 目前,国内很多知名网站在建立网站可信形象方面,均采用权威认证机构天威诚信iTrusChina)提供的网站可信服务。天威诚信与全球知名SSL证书品牌VeriSign逾11年的合作中,已经积累了大量运营经验,帮助国内上百家知名网站(凡客、卓越、携程、招行等)进行网站安全建设。

分类
网络新闻

索尼再度遭黑客攻击 1亿帐户遭泄漏

  5月3日消息,索尼在线游戏服务再度遭到黑客攻击,公司周一(2日)宣布, 其集体在线游戏网络─索尼在线娱乐(SOE,Sony Online Entertainment) 遭入侵,多达2460万名客户的个人资料及2.34万名美国以外客户的信用卡相关信息,恐遭窃取。

 

  据国外媒体报道,索尼在线娱乐表示,公司于东京时间周一稍早侦测到这起黑客攻击行动,并已暂时关闭网站。除了2000多万名现有用户的姓名、出生日期及地址等个人资料恐外泄,另个已于2007年起停用的旧数据库也遭黑客入侵。

 

  索尼透露,黑客可能于旧数据库中,窃取了1.27万笔非美国信用卡或签帐卡卡号及卡片有效日期数据,以及1.07万名欧洲客户的付款纪录。不过,由于网络付款所需的信用卡安全密码(pin 码)数据并未遭黑,因此信用卡不致被盗刷。

 

  SOE提供的在线多人游戏,包括知名角色扮演游戏《无尽的任务(EverQuest)》。公司表示,今日发现的黑客攻击,起源于上(4)月16及17日游戏在线服务PlayStation Network(PSN)遭到黑客攻击后,所持续进行的安全侦查行动。

 

  据《华尔街日报》报道,索尼高层称其在线游戏网络6周前开始遭到黑客攻击,他们不确定黑客意图窃取的目标为何。公司正与美国联邦调查局(FBI)合作调查这整起黑客入侵事件。

分类
网络新闻

央行颁发首批27张第三方支付牌照

5月26日,央行正式向支付宝颁发国内第一张《支付业务许可证》(下称《许可证》),悬而未决十年之久的第三方支付企业身份问题终于得到破解。据记者了解,第三方支付牌照已以邮寄的方式发放给相关企业,获得牌照的企业一共27家。支付宝、财付通、快钱等民营第三方支付都拿到了牌照。业内人士认为,牌照的下发除了有利于行业的规范,对于第三方支付“中国队”参与国际竞争也将带来政策支撑。

 

网上支付真火 一季度已达3650亿

 

2010年6月,央行正式对外公布《非金融机构支付服务管理办法》对国内第三方支付行业实施正式的监管,而2011年9月1日成为第三方支付机构获得许可证的最后期限,逾期未取得的企业将不得继续从事支付业务。

 

自《办法》及实施细则颁布以来,共有32家内地第三方支付商向央行申请业务许可。昨天发放的首批27张牌照发证日期为2011年5月18日,有效期5年。而申请牌照的32家机构中,尚有5家暂未踏入门槛。

 

据了解,在昨天首批获证的27家企业中,支付宝(阿里巴巴公司旗下)及财付通(腾讯公司旗下)的注册资本最大,为5亿元人民币,注册资本最小的企业为3000万。

 

从2003年开始,网上支付服务开始走入亿万用户的生活,并逐步成为中国互联网的最基础应用之一。调查机构艾瑞咨询的最新数据显示,2011年第一季度,中国第三方网上支付的交易规模就达到3650亿元。而第三方支付市场依然保持较高的市场集中率,仅支付宝、财付通两家企业就占据了市场的70%。

 

牌照终于发放

支付公司“身份”明确了

 

据支付宝人士介绍,截至2010年12月,支付宝注册用户数超过5.5亿,日交易额超过25亿元,日交易笔数达到850万笔。按注册用户、交易笔数以及支付总额计,支付宝都已经超越美国的paypal,成为全球最大的在线支付平台。不过,管理办法迟迟未能出台,导致支付宝这样的第三方支付企业一直处在尴尬境地,“身份”成了困扰支付宝们的一大难题。而随着《支付业务许可证》的正式发放,支付宝等民营非金融机构从事支付服务的身份问题终于尘埃落定。从易观国际、艾瑞咨询等分析机构的报告看,国内第三方支付市场排名前5位的企业中,有4家是民营非金融机构出身。

 

网上掏钱更保险

除了网购,还能还款转账

 

“现在还有什么不是在网上付钱的?”昨天,南京市民、网购达人王小姐听说第三方支付牌照发放的消息,终于松了一口气。她告诉记者,今后网上买东西又多了一层保护伞。

 

业内人士告诉记者,今天的消费者,只要经过支付宝,可以在70多家国内银行,乃至境外金融机构之间进行可控可查的支付。而随着应用领域的拓展,第三方支付涉及的行业已经由之前的网络购物、航空机票、公共事业缴费等,逐渐向物流、保险等领域扩展,比如支付宝在手机端的应用也开始启动。我们可以用第三方支付平台,去网购、缴纳日常的水电煤气费用、进行信用卡还款,可以进行不同银行之间的转账。本报记者徐晓风

 

支付宝(中国)网络技术有限公司

银联商务有限公司

北京商服通网络科技有限公司

深圳市财付通科技有限公司

通联支付网络服务股份有限公司

开联通网络技术服务有限公司

北京通融通信息技术有限公司

快钱支付清算信息有限公司

上海汇付数据服务有限公司

上海盛付通电子商务有限公司

钱袋网(北京)信息技术有限公司

上海东方电子支付有限公司

深圳市快付通金融网络科技服务有限公司

广州银联网络支付有限公司

北京数字王府井科技有限公司

北京银联商务有限公司

杉德电子商务服务有限公司

裕福网络科技有限公司

渤海易生商务服务有限公司

深圳银盛电子支付科技有限公司

迅付信息科技有限公司

网银在线(北京)科技有限公司

海南新生信息技术有限公司

上海捷银信息技术有限公司

北京拉卡拉网络技术有限公司

上海付费通信息服务有限公司

深圳市壹卡会科技服务有限公司

获得第三方支付牌照的27家企业名单

分类
网络新闻

中国团购网站,会不会是那朵夜半的昙花?

古人说“寂寂昙花半夜开,月下美人婀娜来”,意境优雅让人遐思。但昙花虽美却不能免于一瞬而逝,世事很多如昙花,让人惊艳之后便了无踪迹了。

 

那么,最近在国内风起云涌的团购网站会不会就是那朵夜半的昙花呢?我看,很有可能。

 

在裁员传闻持续一个多月之后,美国团购鼻祖GROUPON于上周末承认,其在中国的合资企业高朋网“正在辞退一些表现不佳的员工”,但并未透露具体的裁员比例。报道透露,高朋网从今年4月就开始实施裁员计划,“几乎每周都有员工离开高朋网”。而6月的时候,每个部门的主管都被要求拿出5%的裁员名单。而在GROUPON此次表态前,高朋网一直回应此事为“正常的人员调整”。(8月8日北京商报)

 

在裁员原因上,团购鼻祖尽管犹抱琵笆,但我们都知道“萝卜快了不洗泥”的道理,要是经营形势大好,裁员的可能性不是太大。不必说什么水土不服的道理,也不必说腾讯“不给力”的因素,GROUPON在他的娘家日子也就是那样儿。他最新一次酝酿上市之前的数据表明:“在2010年和2011年第一季度,GROUPON调整后的总部门运营利润分别为6060万美元和8160万美元。而按照美国通用会计准则计算,Groupon在2010年亏损 4.134亿美元,在今年第一季度亏损1.139亿美元。”现在即便有了“注册用户数量已经超过1.15亿”的热闹,可也难逃“资本脱身术”的嫌疑。所以,高朋在国内的窘境即便没人深究我们也能略知一二。

 

高朋尚且如此,国内其他的团购网站也好不到哪里去。 据《理财周报》分析,“业内不少人认为,5000家的团购网站最后会有超过95%的比例倒下,这或许也并不是危言耸听”。的确,这绝对不是危言耸听。在自己臭了自己的名声、团购网本身盈利局限以及成本越来越大的情况下,团购网“有超过95%的比例倒下” 是一个比较乐观的数字,甚至全军覆没也是有可能的。

 

第一,自毁长城。

 

“经过了一年多的爆发式和非理性增长,有业内人士表示,中国团购行业即将进入‘寒冬’,行业的洗牌大潮已然来临。事实上,98%的团购网站已经“名存实亡”,最近深陷负面泥沼的窝窝团便是其中的典型代表。在‘抽奖门’、‘裁员门’等阴影的笼罩下,其运营上的硬伤显露无疑,最近来自消费者的投诉更是有如潮水般汹涌,让人不得不感叹这样一家公司如何能完成其标榜的IPO而顺利上市。”

 

第二,团购网本身盈利局限性太大。

 

团购的唯一盈利模式就是收取佣金,但是,如果“卖方”的利润范围过于狭窄的话,那返还的佣金自然会随之降低。所以,如果团购网站在“压价”上下的功夫太足,而所团购的商品又没有那种持续召唤顾客进而长期盈利的特点的话,那这团购就没有任何意义了。目前中国团购网的杀手锏是“价格”,假如大家恶意竞争持续以低价吸引顾客,那最终的结果只能是逐渐失去最优质的商家,进而失去缺乏耐心的顾客,进而自己只有死路一条。一方面要自己可怜的佣金,一方面要照顾商家微薄的利润,鱼和熊掌很难兼得。

 

第三,成本越来越高。

 

据说建立一个团购网的成本并不高,甚至很低。但是,后续投入却像一个无底洞。美团网副总裁王慧文曾经说过:“团购用户增长125%,但是市场费用涨了 10倍,运营成本涨了10倍。”这个比例,小学生都能算得出。没有广告,顾客以为你快完蛋了,所以,广告必须如潮水般的投入;不挂在网址导航首页,顾客以为你黄了,所以必须挂着。有一个数据,“发展一个用户的成本从2010年年初的5~10元狂增至如今的50—60元。甚至前几天某垂直团购厂商像向记者表示,最近一个月,成功开发一个用户的成本已经增到了90元”。这个用户也许只做一锤子买卖,也许只买10快钱的东西,团购网在花钱雇消费者来参观,只剩下热闹。这钱谁出?风投。

 

投资者不是傻子,消费者也不是傻子,商家更不是傻子,我想,团购网是远不如视频网站的。既然如此,在市场预期、消费者信心都急速降低的情况下,团购网距离集体灭亡还有多久呢? 我想也就两三年的时间吧,或许会有漏网之鱼,但那是资本自救的结果。

 

团购网,会不会是那朵夜半的昙花?

分类
网络新闻

伊朗骇客:Comodo凭证被盗事件是我干的

一位署名Janam Fadaye Rahbar的伊朗骇客在网路上张贴一篇宣告,一方面详细解说证实自己是盗用Comodo凭证的骇客,另一方面提醒世人应注意Stuxnet蠕虫、HAARP,及Echelon通讯监视系统。该名骇客强调整个Comodo凭证破解事件仅是个人所为,并宣称自己的经验胜于上千名骇客。

 

他利用反组译后找到的Comodo执行长与资料库帐密取得Comodo的API使用权,并自行撰写程序取代InstantSSL.it的程序,向Comodo取得九个网站的认证资料。

 

Comodo执行长上周曾对媒体宣称,虽然缺乏证据,但攻击的IP源自伊朗,手法涉及DNS等网络基础协定与设施,他认为整个事件是伊朗政府为窃听政治对手的其中一环。

 

该名骇客强调整个Comodo凭证破解事件仅是个人所为,并宣称自己的经验胜于上千名骇客。他表示,原本尝试破坏Verisign、Thawthe或Comodo等认证机构,虽然发现部分服务器的小漏洞,可是缺乏认证而无法进行。随后他发现Comodo在义大利有GlobalTrust.it和InstantSSL.it两个合作伙伴,其中InstantSSL.it透过一个DLL档案向Comodo申请认证。

 

他发现该DLL程序使用C#语言撰写而成,反组译后找到Comodo执行长与资料库的帐号与密码。他利用这些帐密取得Comodo的API使用权,并自行撰写程序取代InstantSSL.it的程序,向Comodo取得九个网站的认证资料。

 

骇客似乎是有政治意图,尤其是针对美国及以色列。他抱怨世界不重视Stuxnet蠕虫、HAARP及Echelon通讯监视系统等美国、以色列所发起的计画,并宣称:”只要我还活着,就不允许任何人在伊朗境内伤害伊朗人民、我国的核子科学家、领导人士、总统。”

 

骇客所提到的Stuxnet蠕虫锁定伊朗境内的五大组织,攻击时间最早可追溯到2009年6月,除了伊朗外,Stuxnet灾情较为严重的国家还包括印度尼西亚、印度、亚塞拜然、巴基斯坦,及马来西亚等,但伊朗感染数量占全球60%。

 

HAARP高频主动式极光研究计划目的则是分析电离层及研究电离层的发展潜力以增强无线电通讯技术达到监视的目的(如导弹检测),但网路传言该计画其实是美军的地震、气象武器。Echelon通讯监视系统被认为可以监听全球所有的有线、无线、数位、类比通讯。

 

骇客认为此次事件中微软、Mozilla、Google等,是受到中央情报局命令才如此迅速释出修补程序。反观Stuxnet蠕虫则耗时两年才修补。他宣称会以隐密的手法再度破解伊朗的SSL、RSA认证,并表示能够破解RSA 2048,暗示能够监视VPN、TOR、无 界浏览器等加密或保护的网路通讯,并恐吓任何从事”肮脏”网路事业的人应该尽快离职,并倾听伊朗大众的声音。(编译/沈经@ITHome)