自從大家的錢包和互聯(lián)網(wǎng)產(chǎn)生了聯(lián)系，無論是網(wǎng)購還是理財，用戶的財產(chǎn)安全就一直是個風口浪尖上的問題。近期，筆者有看到有媒體在報道用戶在電商平臺上網(wǎng)購后被騙巨款的案例，并在一系列分析后，把矛頭指向電商平臺，認為其泄露用戶信息。對于這種論斷，筆者還真是不太敢茍同，畢竟普通用戶很難了解目前互聯(lián)網(wǎng)安全領(lǐng)域的一些現(xiàn)狀。我們不妨從技術(shù)的角度，對事件的來龍去脈進行詳細的梳理。

　　網(wǎng)購用戶被騙的詳細分析：兩種可能

　　按照網(wǎng)友的描述，被騙的經(jīng)過是由于在網(wǎng)上購買了99元的周林頻譜護腰帶，隨后騙子冒充客服，以“系統(tǒng)維護升級，訂單無效，需退款”的借口盜刷了網(wǎng)友的銀行卡?！鞍凑账奶崾?，插入網(wǎng)銀后，對方讓先支付2元轉(zhuǎn)賬，我輸入密碼進行網(wǎng)銀操作，2分鐘后，對方稱支付未成功，需再次輸入支付密碼，這樣又操作了兩次，剛完成操作，對方突然掛斷電話，此時我收到農(nóng)行發(fā)來的賬戶變動短信提醒，顯示賬戶剛剛進行了3筆交易，共劃走227558元。我馬上就報警了?！?/p>

　　事情的核心是不法分子獲取了用戶的登錄信息，也就是用戶名、密碼，登錄用戶賬戶后，就可以看到他的購買記錄、聯(lián)系信息。隨后，騙子會冒充客服聯(lián)系用戶，這其中可能是QQ，也可能是手機或固話，他們甚至可能通過軟件修改自己的顯示號碼，冒充官方客戶。接下來就是上面那個受害者遭遇的情況了，騙子報出用戶剛剛支付的訂單，借此獲取用戶的新任，然后以平臺故障、需要給用戶退款等等借口，讓用戶登錄他們的釣魚網(wǎng)址，騙取用戶的銀行卡信息和驗證碼……

　　因此，事件的核心就是騙子是如何獲取用戶登錄信息的。從電商網(wǎng)絡安全的角度，通常有兩種可能性。一是騙子直接攻擊電商的用戶數(shù)據(jù)庫，獲取信息。但這是一條高難度的自虐或者說自投羅網(wǎng)路線。因為京東這樣的電商平臺有著非常完善和先進的安全措施，用戶數(shù)據(jù)庫是其最核心的資產(chǎn)，別說黑客從外部攻擊了，就是內(nèi)部人員都很難獲取用戶詳細信息。記得筆者去年年底參加京東技術(shù)狂歡節(jié)時，京東安全部門就闡述過其安全策略和措施，用戶信息的安全性處于最高級別，甚至比盜竊銀行金庫還難。

　　那么，第二種可能性是什么呢？就是黑客的 “撞庫攻擊”。什么是“撞庫攻擊”呢？就是很多用戶，在不同網(wǎng)站使用的用戶名密碼都是一樣的。不僅自己方便，黑客也方便了。不是每個網(wǎng)站都有京東這樣的嚴格用戶數(shù)據(jù)安全措施，有些網(wǎng)站甚至會用明文（也就是沒有加密的信息）存儲用戶名和密碼。這是一條黑色產(chǎn)業(yè)鏈，黑客攻擊大量互聯(lián)網(wǎng)平臺，例如論壇、社區(qū)，如果盜取了數(shù)據(jù)庫，就會生成對應的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登陸的用戶信息，這就可以理解為撞庫攻擊。隨后，這些用戶信息就被出售給騙子，文章開頭的一幕就會發(fā)生了。

　　撞庫攻擊有可能發(fā)生嗎？答案是極有可能。從網(wǎng)絡安全的角度，這已經(jīng)成為目前最為普遍的攻擊方式之一。那么，撞庫攻擊，誰是最大的受益者？當然是黑客和其產(chǎn)業(yè)鏈上的那些人，這包括地下數(shù)據(jù)交易者、騙子等三教九流。所以，從利益鏈條的分析來看，發(fā)生撞庫攻擊的概率是非常大的。

　　對策：我們該如何保護自己？

　　了解的問題的原因，就不難找到對策。所有的騙子之所以能夠成功，就是因為我們有時候太容易相信別人，點擊了不該點擊的網(wǎng)站，給了人家不該給的權(quán)限。

　　而問題的關(guān)鍵在于，即便是支付不成功，只有在“內(nèi)部系統(tǒng)”操作才是安全的，這點幾乎適用于所有電商，不論是淘寶、天貓、京東還是亞馬遜，騙子之所以得逞，往往是走的外部流程，給你一個“退款網(wǎng)址”、往其他賬戶去匯款，所以遇到這種事情，不論是誰，哪怕是顯示京東客服的號碼，也是不要相信的。

　　所以，從這點來說，用戶應該是在錢財面前萬分小心才是。千萬不要對任何人透露你的銀行卡信息，不管是信用卡號，CV碼還是密碼，更不要相信什么“支付未成功”而去第二次付款