分类
安全播报

遭短信钓鱼网站窃取信息 上当受骗近50万元

南海的郭小姐9月一天收到一号码为“10600095588”发来的短信,要求其登录某银行网站进行电子密码器升级,否则她的电子密码器次日就会失效。郭小姐称,她当时忙着用手机登录短信所指示的网站页面,并没留意到这个所谓的某银行网站名来自域外,而网址名也比该行官网多了一个字母“e”。

郭小姐随即点击该页面左上角的“电子密码器升级登录”按钮,按指示填写银行卡账号、身份证号码、登录密码。粗心的她只看到页面似乎与银行官网没什么区别,却并没察觉该网站只有用于“用户登录”的三个按钮可以点击进入,而主页上的“年度业绩”竟然还是两年以前的,而所谓的登录验证码其实也只有为数有限的几个数字在循环滚动显示。

随后,郭小姐看到页面显示“正在升级中,请准备好电子密码器,勿关闭网页,并按提示操作完成升级”。短短数分钟的时间里,郭小姐就把自己的银行账户及密码信息、身份信息及电子密码器密码泄露了出去。两分钟,郭小姐收到银行转账短信,才得知自己一笔巨款已不翼而飞。

“其实银行卡背面通常都有网银网址及客服电话,稍微留意就可避免上当。”针对近期接连发生的电信(网络)诈骗犯罪案件,提醒大家,接到不明信息时,应核实信息内容,有疑问要拨打银行的全国统一客服电话进行核实,不应直接拨打不明短信中的电话或点击网址,必要时可直接前往营业柜台咨询。“不要随意点击手机信息、电脑网页中的陌生网站。”

虽然骗子的花招层出不穷,但是只要我们细心观察,仍能发现一些规律,帮助大家甄别钓鱼网站,避免受骗上当,造成损失。钓鱼网站的页面通常模仿或假借知名网站的内容及名称,但是钓鱼网站的url大部分是一串数字,或是一串字母与数字的组合,并以.cn结尾。还有一种情况,有的钓鱼网站url会模仿知名网站的url,但是在主域名前或后做一些细微的改动。所以在看到可疑网站时,如果url是一串数字,或者一串字母与数字的组合,或者与知名网站的url相似,但有一些不同,就要引起我们的警惕了。

网友们现在要想打击钓鱼网站 先要提高我们的网络安全意识,看清网址,不要轻易进入交易,一般凡是和网民发生信息及资金交互的网站,都会部署ssl证书,通过加密手段对信息传输进行加密,并且会在网站上呈现小金色锁、绿色地址栏https安全签章等标识,大家看到这些标识就可以放心登录网站并进行交易。

此外,银行方面指出,当银行系统有变动时,银行不会要求用户做任何的操作。“使用手机银行、网上银行、网上支付平台时,必须安装银行等提供的安全控件,看清楚官方网站地址,以避免不必要的损失。”

分类
安全播报

酒店系统关键页面部署SSL证书 防止顾客信息被泄

顾客酒店开房私密信息被大量泄漏,网民的隐私受到极大侵犯,信息安全再一次被推到风口浪尖,为什么会出现这样的情况?黑客固然首当其冲,但我们需要反思的是酒店系统的安全性,有漏洞才会让黑客有机可乘。

这次卷入泄密风波的有如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店等,大量客户开房信息被泄露,包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。

据悉这些酒店使用的是浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统,而慧达驿站在其服务器上实时存储了这些酒店的客户记录,而由于服务器存在安全漏洞,这些信息是可以被黑客拿到的。另外,客户信息的数据同步是通过http协议实现的,需要认证,但是认证用户名、密码竟然是明文传输的,很容易被轻松窃取,用这个信息就可以从他们数据服务器上获得所有酒店上传的客户开房信息。

作为酒店,信息化带来便利和效益的同时,如何保护顾客的信息安全是需要反思的。

要想减少重要数据泄漏的风险,数据加密技术最有效。但只有将数据加密技术整合于企业IT基础设施的安全系统中,才能发挥其最大效果。而现在最成熟并被广泛使用的数据传输加密应用就非属SSL不可了。

存有大量个人隐私信息的网站,系统中信息传输应通过SSL技术达到一定加密强度,确保用户信息安全。通过SSL技术建立高强度加密的信息传输通道,保证用户在线提交的信息在传输过程中不被窃取或篡改。利用这一点,我们就可以将其应用到WEB服务器的安全访问上。

对于网站经营者来说,提升网站知名度,增加网站访问量意味着更多的商机,同时应当承担起保护顾客隐私的责任,真正让顾客安全放心,提升用户的忠诚度,酒店系统应在敏感交易界面,部署高端SSL证书,对于网站来说,并不是说所有的页面均需部署SSL证书。网站只需在一些需要提交关键数据的交互页面提供SSL证书安全保护。但关键页面的SSL证书,一定要选择经过身份验证、拥有良好品牌信誉的SSL证书,如国际第一品牌VeriSign SSL证书

网络安全无小事,顾客隐私不容侵犯,否则你将永远失去他

分类
网络新闻

如家、汉庭等大批酒店开房记录被曝遭泄露

国内安全漏洞监测平台乌云(WooYun.org)近日发布报告,称如家、汉庭等大批酒店的开房记录被第三方存储,并且因为漏洞而泄露。

该漏洞早在8月份就已经被发现并确认,随后按照标准流程通知厂商,并逐步向专家和技术人员公开,而如今已将漏洞细节公之于众,也交给了CNCERT国家互联网应急中心进行处理。

漏洞发现者称,如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统,而慧达驿站在其服务器上实时存储了这些酒店客户的记录,包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。

结果因为某种原因,这些信息是可以被黑客拿到的。

漏洞的根源在于慧达驿站公司管理机制的不完善,因为他们的系统要求酒店在提交开放记录的时候进行网页认证,但不是在酒店服务器上,而要通过慧达驿站自己的服务器,理所当然地就存下了客户的信息。

另外,客户信息的数据同步是通过http协议实现的,需要认证,但是认证用户名、密码竟然是明文传输的,各个途径都可能被轻松嗅探到,用这个认证信息就可以从他们数据服务器上获得所有酒店上传的客户开房信息。

大部分酒店目前尚未公开回应,不过据称汉庭方面正在努力公关、推卸责任