苹果公司新一代iPad再次掀起“苹果热”,不过由于该产品尚未正式登陆中国大陆市场,一些迫不及待的果粉开始选择网络“代购”。对此安全中心发布网购防骗预警,称近期打着“新iPad”、“iPad3”等旗号的购物钓鱼网站数量激增,建议消费者提高警惕,选择正规可靠的渠道购机。
据相关专家介绍,以“新iPad水货”为噱头的网购欺诈常见于搜索引擎、果粉论坛,以及博客、微博等网站。尽管骗子往往宣称“货到付款”或是“担保交易”,表面上交易方式很安全,其实暗藏陷阱。
在‘货到付款’诈骗中,钓鱼网站首先要求消费者缴纳一部分订金,发货后再用快递单号欺骗消费者补足全额,否则就不安排快递上门送货。而当消费者接到商品后才会发现,送来的只是山寨机甚至闹钟、砖头等物,白白蒙受损失。
据有效数据显示,最近一周内,新iPad购物钓鱼网站已涌现数十家。随着网上盛传“深圳华强北囤积了20万台新iPad水货”,钓鱼网站活跃度更是持续增加,因此建议消费者上网购物时开启安全软件,可对钓鱼欺诈网站进行拦截报警。
根据瑞星公司近日监测数据显示,骗子利用钓鱼团购网站进行诈骗的情况有所抬头。贩卖小米手机成为了近期某钓鱼网站诱骗网民的手段,该网站宣称可以低于官方报价的价格团购小米手机,并可在24小时内收到货物。该钓鱼网站伪装成团购网站的形式,不仅网站域名(假冒的开团网www.ktuanw.com)和页面风格与正规网站(真的www.kaitw.com)极为相似,更是有了一些创新的做法,让用户的钱财在不知不觉的情况下被骗。
据安全专家介绍,传统的钓鱼网站诱导用户进行付款操作后便提示错误,这会让用户马上就能发现被骗,而这种新的钓鱼网站提供了一个看似真切、实则虚假的订单和物流信息查询系统。用户不仅能在这里看到订单号,还提示货物已经进入物流派送状态,使用户在付款后被一直蒙在鼓里等待快递上门,当发现手机不见踪影、感到被骗后,该钓鱼网站已经无法打开。显然,这些虚假的订单和物流信息是这种钓鱼网站行骗的新障眼法。
天威诚信相关工作人员提醒大家,网络购物的普及让不法分子有机可乘,这些人利用钓鱼网站进行诈骗的手法也是花样频出,提醒广大用户一定要注意以下几点:
1.学会核对网站信息,可以看网站地址栏是否为绿色、地址栏开头是否是HTTPS及是否有小金锁标志,因为这些都是网站安全的标志,钓鱼网站无法假冒;
2.建议选择正规的上网入口,例如通过hao.rising.cn等可信度高的网址导航站进入团购网;
3.一定要使用具有防钓鱼功能的安全软件,如安装永久免费的具有智能防钓鱼功能的瑞星防火墙,并保持正常升级,打开相应的监控功能;
4.提高防范意识,不要有贪便宜的心理,尽量和欲购买物品的官方确认该团购网站是否有销售的资质;
5.选择安全的付款方式,尽量选择货到付款,尤其是金额较大的商品。
中国互联网络信息中心近日发布的《第29次中国互联网络发展状况统计报告》显示,截至2011年12月底,中国网民规模达5.13亿,全年新增网民5580万;互联网普及率较上年底提升4个百分点,达到38.3%。由此可见,我国的整体网民用户规模在进一步增长。
随着互联网的发展,整个互联网的安全问题也日益突出,而钓鱼网站就是网民最大的危害之一。不法分子想方设法设置安全漏洞,让消费者防不胜防。
钓鱼网站花样多变
尽管国家各级相关部门不断进行宣传和指导,甚至有的消费者还经历了多次血的教训,但仍有不少用户不断地受到钓鱼网站的侵害,且受害用户的金额较往年也有很大的提高。黑客不断地变换不同的“钓鱼”手法,让众多网民防不胜防。据记者调查和了解,目前钓鱼网站主要有以下几种欺诈手法:
通过QQ、MSN等IM软件及邮件进行欺诈。QQ、MSN及邮件作为中国网民使用最为频繁的网络通讯方式,是最为行之有效的信息传播载体。黑客正是利用这一点,登录窃取的QQ号、MSN账号等,给其好友发送钓鱼网站,或者直接要求好友帮其购买手机充值卡、网游点卡等容易销脏的数字卡产品。中招者无法统计,数量级可能在数万到数十万之间。
通过群发短信进行传播欺诈。不法分子通过各层关系,买到大量的手机用户资料,通过短信群发各种钓鱼短信,诈骗钱财,出售假冒伪劣商品等,这种方式相对隐蔽,诈骗成功率很高。
利用搜索引擎销售假冒伪劣产品。作为网民获取信息的主要途径,搜索引擎在黑客推广钓鱼网站上起到了不可替代的作用。黑客们会追踪搜索引擎上的热门词汇,针对这些热门词汇做出调整和优化,使得网民在搜索的时候,假网站排在前列。有的甚至花费重金,购买搜索引擎广告,然后进行假冒伪劣产品进行销售。
通过社会热点问题进行欺诈。在过去的2011年,每次社会热点都成了黑客钓鱼的推手,如,2011年的团购热催生了假团购网站;伴随2011年末网购火车票而生的是抢票软件,全国各地网民被钓鱼网站成功钓住并损失惨重的案例非常多。
“钓鱼”背后的黑色利益链
数据显示,2011上半年,中国互联网电子商务交易额达2.95万亿元,预计全年超过6万亿元。仅从如此巨大的经济损失金额中,就可以看出钓鱼网站的利润之大。利益催生了坚不可摧的黑色利益链。
近几年,全国各地陆续爆出案值从几万到几十万、上百万的黑客钓鱼案例。
多方发力“防钓”于未然
据统计,2011年由病毒和木马造成的危害,比去年同期有一定的上升,受害人数仍在高位徘徊。网上消费欺诈造成了用户对互联网商务类应用的担忧、抵制和排斥,影响了商务类应用的可持续发展。在网上服务快速发展的今天,网上安全直接关系老百姓的利益,更需要提高关注度,要防被钓还需互联网管理、国家立法和用户自身的共同努力。
中国互联网协会表示,将通过加强密码保护和登录认证、强化系统安全防护和互联网企业内部管理等措施,进一步推动网站用户信息保护工作。
业内专家建议,国家应尽早就个人信息保护问题进行立法,有关部门应及时出台相关标准,共同维护互联网络安全,让网络犯罪有法可治。
同时也应提醒广大网民提高风险防范意识,保护好自己的账号隐私。做到“两个不要”和“两个应该”。
“两个不要”是:不要随意注册无关的网站账号,并且在注册网站账号时不必透露太详尽的个人信息;不要轻易在安全性低的网站购物,购物网站往往会记录你的手机号银行卡等信息,安全性低的购物网站一旦被黑客攻破,后果将不堪设想。
“两个应该”是:应该在注册网站账号之后不定时更换密码。这样即使黑客窃取了你的密码,常更新密码也能使黑客的密码无效;账号或密码应尽量与手机绑定,比如支付宝、银行都提供了这种方式来加强密码的安全性。这样绑定之后,一旦有账号变动异常,用户会及时收到消息,及时申诉降低损失。
天威诚信相关工作人员提醒广大网名,在日常的网购过程中,要提高安全意识,使用数字证书、支付盾等安全产品,在网上购买促销产品以及日常网购中,要注意以下几点:
1.安装安全软件,并保持其开启和及时的更新;
2.不访问来源可疑或未知的链接,尽量选择那些知名度高的网站,这类网站管理严格,且服务有保障;
3.在线进行支付或提交敏感信息时,留意页面地址栏开头是否以“https”开头,有些网站地址栏会变为绿色。这些特征是网站应用SSL证书或EV SSL证书后所展示的,其作用是实现信息传输过程中的加密保护,防止银行卡、交易密码等遭到截获、窃取或篡改。而认清这一特征同时也有助于对高仿真钓鱼网站的鉴别(这些安全特征是钓鱼网站无法仿冒的)。
4.不随意接收陌生人发来的在线文件。
上述四点中,可能很多朋友对第三点最为陌生,其实早在几年前国内大型银行的网站为确保用户信息安全(比如农业银行、招商银行等),就均已部署了EV SSL证书,其他金融类网站也相继使用。
据天威诚信(VeriSign中国区域的首要合作伙伴)的工作人员介绍,其中大多数SSL证书来自VeriSign,作为全球最知名的数字证书品牌,除尖端的专业技术,其服务流程也极为严格,因此受到很多追求高强度信息安全的企业机构青睐。您上网时不妨留意一下,在支付宝、卓越网、凡客、各大银行、基金网站等登录或支付页面都可以看到VeriSign SSL证书(或EV SSL证书)的使用。
检测方法:在以“https”开头的网页上找到金色锁形标记(一般在地址栏右侧),点击即可查看SSL证书(服务器证书)及颁发机构信息。
随着互联网的飞速发展,网购可以说是受到了广大人民群众的热力追捧,它改变了我们的生活形态,可是在网购过程中,也存在了很大的安全风险,比如钓鱼网站。
回顾2011年,网购支付安全的主要威胁来自于钓鱼网站、商户恶意欺诈和账户被盗三大类。其中钓鱼网站因其技术含量高、隐蔽性好,不易被消费者察觉成为网购支付安全的最大危害。
为了防止更多的网民被钓鱼,天威诚信提醒大家在网购过程中要注意以下几点:
1.留意页面地址栏开头是否以“https”开头
2.有些网站地址栏会变为绿色
3.地址栏后边是否有小金锁标志
这些特征是网站应用SSL证书或EV SSL证书后所展示的,其作用是实现信息传输过程中的加密保护,防止银行卡、交易密码等遭到截获、窃取或篡改。而认清这一特征同时也有助于对高仿真钓鱼网站的鉴别(这些安全特征是钓鱼网站无法仿冒的)。
天威诚信工作人员还提醒大家在日常的网购过程中除了要注意以上两点之外,还要注意以下几点:1.安装安全软件,并保持其开启和及时的更新;2.不访问来源可疑或未知的链接,尽量选择那些知名度高的网站,这类网站管理严格,且服务有保障;3.不随意接收陌生人发来的在线文件。
在以上说的几点中,我想很多朋友都对“HTTPS”以及“绿色地址栏”最为陌生,其实早在几年前国内大型银行的网站为确保用户信息安全(比如农业银行、招商银行等),就均已部署了EV SSL证书,其他金融类网站也相继使用。
据天威诚信(VeriSign中国区域的首要合作伙伴)的工作人员介绍,其中大多数SSL证书来自VeriSign,作为全球最知名的数字证书品牌,除尖端的专业技术,其服务流程也极为严格,因此受到很多追求高强度信息安全的企业机构青睐。您上网时不妨留意一下,在支付宝、卓越网、凡客、各大银行、基金网站等登录或支付页面都可以看到VeriSign SSL证书(或EV SSL证书)的使用。
检测方法:在以“https”开头的网页上找到金色锁形标记(一般在地址栏右侧),点击即可查看SSL证书(服务器证书)及颁发机构信息。
2012年的情人节就要到了,很多人想在节日里购买一些物美又价廉的礼物送给朋友。但是,垃圾邮件制造者也正在密切关注、寻找情人节期间特价商品的购买者,所以,这个期间如果您需要在线购买打折商品,那么请一定要提高警惕!
随着情人节的临近,赛门铁克研究人员检测到的垃圾邮件数量开始大幅增加。珠宝、晚餐和贵重礼品等商品以难以置信的低折扣出售,通常是情人节垃圾邮件的主题,其他常见的虚假促销信息还包括网络药品、假冒电子贺卡、礼品卡、巧克力和鲜花,所有这些垃圾邮件的目的不外乎是获取用户的个人和财务信息。
以某一垃圾邮件为例,该邮件通过承诺附赠免费礼物来吸引用户购买金、银或白金珠宝首饰。点击链接后,用户会被自动跳转至另一页面,在这个页面上,用户会被要求填写个人信息以领取他们所选择的赠品。
社交网络垃圾邮件在获取用户个人信息方面,丝毫不逊于其他信息盗窃技术。针对情人节的虚假应用层出不穷,这些应用通常将用户引至某一调查网站。下面是此类虚假应用的一个例子。
赛门铁克(Symantec)建议互联网用户在进行网络购物时,遵循下列做法,以避免遭到钓鱼攻击:
· 不要打开未经许可且来源不明的电子邮件。
· 不要直接点击电子邮件内的任何链接,而要在地址栏中键入该链接。
· 不要打开自称为情人节贺卡、电子贺卡等的附件。
· 在有SSL证书保护的可靠网站上进行购物。
· 安装有效的防病毒和反垃圾邮件解决方案的软件。
一年一度的3.15消费者权益日又将到来,很多商家不得不跟消费者一同维权了。“钓鱼”网站泛滥,让企业和顾客苦不堪言,平日铜墙铁壁的银行也难以应对。
去年,“中行E令”网银欺诈事件就引起一阵风波。不法分子以网银系统升级或动态令牌过期需更换为由,诱骗客户登录假冒的中国银行网站和网上银行,在盗取客户网银用户名、登录密码、动态口令后,随即登录客户网银转走客户的资金。
类似事件屡见不鲜,连高安全系数的动态令牌也被拖下水,让人不免为自己的账户安全捏把冷汗。不过不法分子的精力并非专注在银行安全机制的破解,而是精于一个“骗”字:高度仿冒的“钓鱼”网站诱骗用户登录,让网上银行安全机制毫无用武之地。
因此我们用户不仅要考虑安全,还需要在大量“赝品”的干扰下快速找到“真品”。这就对网上银行发出了新的挑战:银行网站本身要绝对安全,而且要安全的够明显。这既是帮用户避免“钓鱼”网站的侵害,也能让银行免受不白之冤。
目前,中国工商银行、招商银行、支付宝、淘宝等多家网站采用了SSL证书。SSL证书提供了身份验证、每日恶意软件扫描等功能,保障信息安全传输。这些SSL证书大多是由VeriSign中国的首要合作商天威诚信提供的。尤为重要的,SSL证书提供的VeriSign信任签章如同网络安全身份证一般,醒目提示用户网站的真实可靠性;以无法被“钓鱼”网站仿冒的技术告知用户网站信息,将网站同仿冒者彻底区分。
面对欺诈钓鱼网站,我们常常忽略的 “https”地址栏开头、金色锁形标志其实同样是SSL证书的安全提示,而我们平时看到的绿色地址栏则是扩展验证EV SSL证书的功能。记者为此特意咨询了天威诚信技术人员,向他了解了一些绿色地址栏的情况。据介绍,其实中国银行网站早已应用了扩展验证EV SSL证书,中行客户在输入动态密码前,可以注意下浏览器地址栏的颜色,看到浏览器地址栏由白色变为绿色后再进行输入。
令人欣喜的是,目前各大银行网站均采用了SSL技术。通过应用SSL证书,用户在访问网站时可以方便地查阅网站身份信息,从而确保访问过程的真实性。对于那些没有应用证书,或者证书信息错误的网站,用户就需要引起重视,尽可能终止访问。如上边提到的“中行E令”网银欺诈事件,客户如果在登陆的时候验证一下网站的真实身份,完全可以避免上当。
为了自身权益,商家要落实安全责任,消费者则要树立安全意识,别因为安全问题让您在3.15委曲求“权”。
SSL安全连接是指在正访问的网站和 Internet Explorer 之间以加密的方式交换信息。加密是利用网站提供的称为SSL证书的文档来实现的。将信息发送到网站时,该信息会在计算机上加密,然后在网站上解密。正常情况下,该信息在发送期间无法被读取或篡改,但是某些人可能会找到破解加密的方法。
即便计算机和网站之间的连接经过加密,也无法保证网站值得信任。网站使用或分发信息的方式仍可能会泄漏您的隐私。
不一定。即便发送的信息经过了加密(编码),中间方也可能查看到您正在连接的网站。通过获悉您正在连接的网站,另一方可能能够准确地知道您在该网站上执行的操作。例如,如果您在工作时使用计算机寻找一份新工作,您的公司可能会监视网站中的关键词或保留访问过的站点的日志。如果您将简历上传到求职网站,即便该文档经过了加密,您的公司仍然能够获悉您正在寻找一份新工作。
在 Internet Explorer 的“安全状态”栏中,将看到锁定图标 。安全状态栏位于地址栏的右侧。
用于加密连接的SSL证书也包含有关网站所有者或组织身份的信息。可以单击锁状图标查看网站的身份。
蒙牛眉山工厂产品被检出黄曲霉素一事在资本市场造成的波动28日进一步显现。28晚11时左右其官网(www.mengniu.com.cn)被网友曝出已被黑客更改主页。
28日晚被黑的蒙牛官网底色全黑,页面有十四行字,其中十三行字颜色为白色,内容为谴责蒙牛乳业不负责任,最后一行为红色,内容是“来自愤怒的SIT小组(Simple International Infosec Team)原SST小组(Simple Safety Team)”。
网页显示,“我们是一家人,你却自己坑害自己家人。你有良心吗?”甚至还留有“这是我们民族的耻辱”这样强烈的字眼。
此次事件对蒙牛乳业带来了非常不好的影响,当日就让蒙牛的股价大跌,创下52周以来的新低,蒙牛28日在港交所发出的公告表示,问题产品批次在接受检测时还没有出库,没有问题产品流出市场。目前,在包括香港在内的中国市场上销售的全部产品都是合格产品。
现在食品企业已经成为了大众非常关心的安全问题,食品企业被推倒了风口浪尖,企业应该增强网站安全,以免自己的网站被钓鱼、篡改,以至于对企业造成不可预估的损失。
天威诚信工作人员提醒广大的企业网站用户,要加强企业的网站安全,最好使用避免企业被钓鱼的SSL数字证书产品,在使用后网站可以有如下的标志:绿色地址栏、小金锁、用https开头,让消费者在咨询、消费的过程中,能够放心、舒心,同时也能给企业树立良好的企业形象。
不少网友误入假火车票网,有的甚至宣称预售18天票,而唯一的正规官网www.12306.cn,目前只能预售12天票。
又到年关,回乡的火车票又成焦点。前不久,铁道部推出网上预售火车票,许多旅客都选择这种新的购票途径。但伴随这一新鲜事物出现的“猫腻”,让不少旅客吃亏。有网友误上了“钓鱼”网站,票没买到,钱却被骗了。
铁路部门说,不时接到有关钓鱼买票网站骗钱的反映,提醒广大旅客:目前铁路互联网售票,只有中国铁路客户服务中心网站(www.12306.cn)是唯一销售渠道。
天威诚信相关工作人员提醒大家在网上购买火车票以及在日常的上网过程中,要注意查看网站是否可信,那要如何来判断网站的可信度呢?要注意一下两点:
1.留意页面地址栏开头是否以“https”开头
2.有些网站地址栏会变为绿色
这些特征是网站应用SSL证书或EV SSL证书后所展示的,其作用是实现信息传输过程中的加密保护,防止银行卡、交易密码等遭到截获、窃取或篡改。而认清这一特征同时也有助于对高仿真钓鱼网站的鉴别(这些安全特征是钓鱼网站无法仿冒的)。
天威诚信工作人员还提醒大家在日常的网购过程中除了要注意以上两点之外,还要注意以下几点:1.安装安全软件,并保持其开启和及时的更新;2.不访问来源可疑或未知的链接,尽量选择那些知名度高的网站,这类网站管理严格,且服务有保障;3.不随意接收陌生人发来的在线文件。
在以上说的几点中,我想很多朋友都对“HTTPS”以及“绿色地址栏”最为陌生,其实早在几年前国内大型银行的网站为确保用户信息安全(比如农业银行、招商银行等),就均已部署了EVSSL证书,其他金融类网站也相继使用。
据天威诚信(VeriSign中国区域的首要合作伙伴)的工作人员介绍,其中大多数SSL证书来自VeriSign,作为全球最知名的数字证书品牌,除尖端的专业技术,其服务流程也极为严格,因此受到很多追求高强度信息安全的企业机构青睐。您上网时不妨留意一下,在支付宝、卓越网、凡客、各大银行、基金网站等登录或支付页面都可以看到VeriSign SSL证书(或EV SSL证书)的使用。
检测方法:在以“https”开头的网页上找到金色锁形标记(一般在地址栏右侧),点击即可查看SSL证书(服务器证书)及颁发机构信息
把应用程序迁往云计算并不是最后的大功告成。有时候会发生一些迫使你不得不重新设计应用程序的突发事件,合规性需求可能会带来发展障碍,而如果你的云计算供应商不支持诸如组播的低层次网络服务,那么就可能带来带宽问题。
在你评估哪一个应用程序可以在公共云中运行之后,还有其他需要考虑的因素,如配置、数据迁移和监控等。当把一个应用程序迁往云计算时,有哪些最常见的配置任务是需要你牢牢记住的?下面的清单列出了其中的若干关键点:
• 服务目录可能包括了老版本的虚拟机(VM),这些虚拟机由于没有升级打补丁而无法满足你的需求。因此,需要使用拥有打过最新安全和功能补丁的虚拟机版本。
• 查看所有在虚拟机上运行的无交互后台程序和服务,并关闭所有不需要的程序与服务。此举将减少所有虚拟机的攻击服务。
• 配置应用程序层之间的防火墙,从而实现各层之间网络流量的最小化。例如,你应当只开放所需要接受、响应请求并支持管理协议的端口。
• 如果你需要强大的加密功能,如PCI DSS,请确保你的SSL证书/TLS证书加密功能是强大的。在一个SSL会话中的客户端和服务器将协商确定使用哪一个密码套件;如果没有设置相应配置,那么它们可能就不会使用强加密功能。
• 当使用一个混合云计算模式时,应配置一个虚拟专用网络以确保内部与外部资源之间的通信。
• 使用SSL服务器证书,以授权服务器和支持加密通信。根据你的架构,你也许能够使用单域名证书、通配符证书或多域名证书,以便于帮助把你必须管理证书的数量降至最少。
• 使用诸如Chef或Puppet这样的配置工具以实现云计算管理任务的自动化。
实现数据迁往云计算的方法
除了配置云计算资源,你还需要一个把数据从现有系统迁至基于云计算系统的计划。实现数据迁移可以有若干种方法;而其中最好的一个选择则取决于你企业的需求与系统体系架构。
其中一个方法是在迁移系统之前使用数据库复制功能在云计算中建立一个你的数据库的副本。如果你使用云计算技术用于灾难恢复任务(DR),那么数据库的副本已存在于云计算中了。使用这种方法,可以把变更写入副本以使你的生产系统保持正常运行。同时,从当前生产系统到云计算系统的迁移所需时间也实现了最小化。
备份与恢复是另一个数据迁移的方法,该方法适用于基于非交易业务的系统,如用于数据挖掘应用的数据仓库和其他商务智能(BI)数据库。但是,这种方法会延迟基于云计算数据以及增量更新的初始载入时间。
此外,并不是所有的数据都存储在关系型数据库中。对于基于文件的数据存储,你可能需要使用Rsync,这是一个常用于镜像和备份服务应用的同步工具。Rsync适用于Unix/Linux和Windows平台。
高效地监控基于云计算的应用程序
应用程序的云计算迁移将扩展你的基础设施并创建你必须监控和管理的额外资源。为了让所有的应用程序正常运行,你应当:
•做好包括中央日志管理库中云计算服务的日志记录工作。你可能想要在云计算中维护一个单独的日志管理库以减少网络流量以及云计算与你内部中央日志管理库之间的变更。但请记得,此举有违从单一点访问日志数据的原则,从而产生一些问题。
•使用事件触发机制以产生与云计算服务器中重要事件相关的预警。
•定期使用诸如Tenable公司Nessus这样的漏洞扫描工具,以检查基于云计算的虚拟机的安全漏洞。
•如果你正使用即用即付的云计算应用模式,当使用率降至预定义的阈值时应当实现跨服务器的自动跟踪并关闭其中某些服务器。而当需求超过使用率预定义阈值时,就可动态增加服务器。
•使用即期定价实例以达到节省成本的目的。根据需求,Amazon EC2以可变价格提供可使用资源。例如,你可以以每小时每虚拟机特定价格出价,只要你的出价仍然高于设定价格,你就可以继续使用该虚拟机。如果你不希望在预设日期或时间完成任务,这个模式依然能够适用。如果出价低于即期价格且你的虚拟机关闭了,那么即期定价模式也需要恢复你的工作而不会丢失过多工作。
在把应用程序迁往云计算之前,应检查你的系统架构。要特别注意内部服务器和潜在基于云计算服务器之间的网络服务和流量。当把某些应用程序迁往云计算是有意义时,应认真考虑系统配置、数据迁移流程以及继续进行的监控和管理程序。
在线咨询
您好,请问有什么可以帮助您?
SSL证书/代码(数字)签名证书/https证书
