本文轉(zhuǎn)載自微信公眾號(hào)「祺印說信安」，作者何威風(fēng)。轉(zhuǎn)載本文請(qǐng)聯(lián)系祺印說信安公眾號(hào)。

電子商務(wù)的流行，網(wǎng)上購(gòu)物的便捷性讓我們的生活更加便利，然而網(wǎng)上購(gòu)物存在風(fēng)險(xiǎn)，如果安全網(wǎng)上購(gòu)物呢?我們一起探討一二。

為什么網(wǎng)購(gòu)者必須采取特別的預(yù)防措施?

互聯(lián)網(wǎng)提供了其他購(gòu)物場(chǎng)所無法提供的便利?？梢詮亩鄠€(gè)供應(yīng)商處搜索商品，通過點(diǎn)擊幾下鼠標(biāo)來比較價(jià)格，并在家中進(jìn)行購(gòu)買。然而，互聯(lián)網(wǎng)對(duì)攻擊者來說也很方便，讓他們可以通過多種方式訪問毫無戒心的購(gòu)物者的個(gè)人和財(cái)務(wù)信息。能夠獲取此信息的攻擊者可能會(huì)通過自己購(gòu)買或?qū)⑿畔⒊鍪劢o其他人來將其用于自己的經(jīng)濟(jì)利益。

攻擊者如何針對(duì)在線購(gòu)物者?

攻擊者可以通過三種常見方式利用在線購(gòu)物者：

• 創(chuàng)建欺詐性網(wǎng)站和電子郵件消息——與傳統(tǒng)購(gòu)物方式不同，在傳統(tǒng)購(gòu)物中，知道商店實(shí)際上就是它聲稱的商店，攻擊者可以創(chuàng)建看似合法的惡意網(wǎng)站或電子郵件。攻擊者還可能將自己偽裝成慈善機(jī)構(gòu)，尤其是在自然災(zāi)害之后或假期期間。攻擊者創(chuàng)建這些惡意站點(diǎn)和電子郵件消息，試圖說服提供個(gè)人和財(cái)務(wù)信息。
• 攔截不安全的交易——如果供應(yīng)商不使用加密，攻擊者可能會(huì)在傳輸信息時(shí)攔截我們的信息。
• 針對(duì)易受攻擊的計(jì)算機(jī)——如果不采取措施保護(hù)計(jì)算機(jī)免受病毒或其他惡意代碼的侵害，攻擊者可能能夠訪問計(jì)算機(jī)及其上的所有信息。供應(yīng)商保護(hù)他們的計(jì)算機(jī)以防止攻擊者訪問客戶數(shù)據(jù)庫(kù)也很重要。

如何保護(hù)自己?

• 與信譽(yù)良好的供應(yīng)商開展業(yè)務(wù)——在提供任何個(gè)人或財(cái)務(wù)信息之前，請(qǐng)確保與信譽(yù)良好的成熟供應(yīng)商進(jìn)行互動(dòng)。一些攻擊者可能會(huì)試圖通過創(chuàng)建看似合法的惡意網(wǎng)站來欺騙我們，因此應(yīng)該在提供任何信息之前驗(yàn)證其合法性。攻擊者可能會(huì)為惡意網(wǎng)站獲取站點(diǎn)證書以使其看起來更真實(shí)，因此請(qǐng)查看證書信息，尤其是“頒發(fā)給”信息。找到并記下供應(yīng)商的電話號(hào)碼和實(shí)際地址，以防交易或賬單出現(xiàn)問題。
• 確保信息被加密——許多站點(diǎn)使用安全套接字層來加密信息。信息將被加密的指示包括以“https:”而不是“http:”開頭的統(tǒng)一資源定位符 (URL) 和掛鎖圖標(biāo)。如果掛鎖關(guān)閉，則信息被加密。圖標(biāo)的位置因?yàn)g覽器而異;例如，它可能位于地址欄的右側(cè)或窗口的底部。一些攻擊者試圖通過添加假掛鎖圖標(biāo)來欺騙用戶，因此請(qǐng)確保該圖標(biāo)位于瀏覽器的適當(dāng)位置。
• 警惕索取信息的電子郵件——攻擊者可能會(huì)試圖通過發(fā)送電子郵件要求確認(rèn)購(gòu)買或賬戶信息來收集信息。合法企業(yè)不會(huì)通過電子郵件索取此類信息。不要通過電子郵件提供敏感信息。如果收到來自企業(yè)的未經(jīng)請(qǐng)求的電子郵件，請(qǐng)不要單擊提供的鏈接，而是通過自己輸入地址直接登錄真實(shí)網(wǎng)站。
• 使用信用卡- 有法律限制對(duì)信用卡欺詐性收費(fèi)的責(zé)任，但借記卡可能沒有同等級(jí)別的保護(hù)。此外，借記卡直接從銀行賬戶中提款，未經(jīng)授權(quán)的收費(fèi)可能會(huì)沒有足夠的資金來支付其他賬單。可以使用一張低限額的信用卡進(jìn)行所有在線購(gòu)物，從而最大程度地減少潛在損失。此外，在使用支付網(wǎng)關(guān)(例如 PayPal、Google Wallet 或 Apple Pay)時(shí)，請(qǐng)使用信用卡。
• 檢查購(gòu)物應(yīng)用程序設(shè)置——尋找能夠告訴他們?nèi)绾翁幚頂?shù)據(jù)以及如何確保數(shù)據(jù)安全的應(yīng)用程序。請(qǐng)記住，對(duì)于存儲(chǔ)在購(gòu)物應(yīng)用程序(或禮品卡)中的資金，責(zé)任沒有法律限制。除非服務(wù)條款另有規(guī)定，否則應(yīng)對(duì)通過購(gòu)物應(yīng)用程序收取的所有費(fèi)用負(fù)責(zé)。
• 檢查對(duì)賬單- 記錄購(gòu)買記錄和確認(rèn)頁(yè)的副本，并將它們與銀行對(duì)賬單進(jìn)行比較。如果有差異，請(qǐng)立即報(bào)告。
• 檢查隱私政策–在提供個(gè)人或財(cái)務(wù)信息之前，請(qǐng)檢查網(wǎng)站的隱私政策。確保了解信息將如何存儲(chǔ)和使用。

參考來源：美國(guó)CISA官網(wǎng)