摘 要
“双十一”已经走到第十个年头,这场电商节日越来越受到大众认可,形成一场全民狂欢。国家邮政局预计,今年“双十一”包裹将超过18.7亿件,比去年同期增长25%。
与此同时,这场规模盛大的网络营销活动折射出网购安全生态现状:360安全大脑监测分析,目前网购安全生态不容乐观。
羊毛党数量巨大,呈现手段专业化趋势。今年10月,360安全大脑监测识别出羊毛党设备逾6797万个,约占互联网上活跃安卓设备总量的11.5%。并且,这些羊毛党设备中有210多万设备使用了软件模拟器,而其余设备也普遍存在修改设备信息、用一部设备冒充多部设备的情况。据此推测,绝大多数羊毛党正使用“专业设备”批量作案,薅取商家羊毛,并把真正的消费者挡在门外。
仿冒购物APP覆盖30万用户,热门电商均难幸免。360安全大脑监测发现,近一个月内虚假仿冒主流购物APP的数量接近4000个,覆盖设备超过30万个。其中,被仿冒最多的购物APP为手机淘宝,达1148个,覆盖设备数超过17万;其次是拼多多,仿冒数达639个;天猫、京东、美团、唯品会等购物平台都在被仿冒名单前十名。虚假购物APP与钓鱼网站危害类似,存盗取用户账户信息风险,可能酿成财产损失。
超九成购物APP存高危漏洞,优惠导购、垂直类电商是重灾区。APP漏洞可以被攻击者利用,导致用户隐私泄露或财产损失。360安全大脑对市场上流行的528个购物类APP抽样分析发现,存在高危漏洞的购物APP高达488个,占比超过92.4%,其中不乏主流知名购物平台。从购物APP类别来看,优惠导购类APP占比28.1%,数量最多;垂直类购物APP单类占比不大,但整体占比达32.3%,不可小觑。
垃圾短信“双十一”特征明显,暗藏诈骗风险。近期,360手机卫士日均拦截垃圾短信1642.3万条,绝大多数为购物推广,面膜、手机、大闸蟹等都是热推产品,同时“红包”、“旗舰店”、“狂欢节”等“双十一”相关词汇成为热词。很多垃圾短信存在不明链接,并含有加“QQ”、“微信”等信息,暗藏诈骗风险。
电商网站成网页挖矿木马重灾区,垂直电商尤为严重。根据360安全大脑监测发现,临近“双十一”,电商网站成为网页挖矿的重灾区,共发现中招电商网站30家,占比高达60.0%,远超教育科研、医疗卫生等其他挖矿木马挂马的重灾区。其中,安全维护能力相对薄弱的中小型、新兴垂直类电商网站最受挖矿木马“青睐”。用户在访问挖矿木马挂马网页时,电脑一旦被感染,双十一上网抢购时,电脑就会更慢更卡。
退款诈骗套路深,买手机最易中招。虚假购物、退款诈骗是网购中常见的诈骗形式。近期数据显示,这两类诈骗中,最常出现的商品均为手机数码类,衣服鞋帽类商品也容易出现两类诈骗中。在这些诈骗中,受害者正呈现出年轻化趋势,90后、00后为主要受害群体。
网购安全是网络安全的重要部分,也直接影响着用户体验、资金安全、隐私安全等。在网购平台不断推出新玩法的同时,众多黑灰产业也会不断提高作案手段,其引发的安全问题也会愈加复杂。作为应对,消费者要不断提高安全意识,电商平台要持续加强安全防护。而作为安全企业,我们也希望能通过360安全大脑赋能到更多企业、行业中,以整体防御策略,共同建立起大安全时代的安全生态。
第一章 近7000万羊毛党和你抢抢抢
“对不起,优惠券已被抢光!”
“很抱歉,该特价商品已卖光!”
“你来晚了,秒杀已结束!”
每年“双十一”,你是否遭遇过上述一幕呢?一场让人心痒难耐的购物狂欢,商家似乎给足了优惠,你甚至还熬夜盯着时钟,精确到毫秒,第一时间点击抢购,但就是怎么也抢不到。
你可能没料到,正在和你拼手速的根本不是普通消费者,甚至不是人!
随着互联网发展,线上营销活动越来越多,大量线上营销活动给消费者带来优惠的同时,也给依托互联网的羊毛党带来更多“薅羊毛”的机会。
羊毛党带来的危害是双向的,一方面企业付出了真金白银却丧失了真正的用户;另一方面,用户体验遭到很大破坏。如今,职业羊毛党已形成群体化、规模化的完整产业链,甚至摆脱了最初的人海战术,使用软件模拟器等方式做到“以一当十”。
今年10月,360安全大脑就监测和识别出羊毛党设备逾6797万个,约占互联网上活跃安卓设备总量的11.5%。羊毛党使用这些设备冒充普通用户,对各类企业活动进行刷单、刷榜、领红包、领优惠券等。
所谓“羊毛党设备”是指仿冒真实用户设备进行薅羊毛活动的网络设备。这些设备并不一定都对应真实的手机设备。其中,约有210多万个设备是完全使用软件模拟器来模拟手机设备,约占羊毛党的3 %;另外97%的设备虽然都是羊毛党控制的真实移动设备,但也普遍存在通过修改设备信息用一部设备冒充多部设备的情况。
也就是说,消费者在抢购、秒杀活动中,面对的对手可能是“手速”超人的机器,很容易出现辛辛苦苦盼到“双十一”,却空手而归的尴尬。
第二章 仿冒购物APP覆盖超30万用户
360安全大脑监测发现,近一个月内,活跃的虚假仿冒主流购物APP的数量接近4000个,并且这些APP已经覆盖了超过30万移动设备,对用户的购物安全构成了极大威胁。
根据近一个月的监测数据,被仿冒最多的购物APP为手机淘宝,达到了1148个,其次是拼多多,达到了639个,天猫、京东、美团、唯品会等购物平台都在被仿冒的前十名。
这些虚假仿冒购物APP不但数量庞大,其覆盖量,也就是装载了这些APP的手机、平板电脑等数码设备的数量,也十分庞大。
数据统计显示,近一个月内,虚假仿冒的手机淘宝APP已经覆盖了超过17万移动设备,不但被仿冒量居于首位,覆盖量也居于首位;虚假仿冒的闲鱼APP已经覆盖了超过5万移动设备;虚假仿冒的拼多多APP也已经覆盖了超过2万移动设备。
值得注意的是,这些虚假仿冒APP或者与正版APP界面一致,或者使用与正版APP相似的名字,“李鬼”冒充“李逵”。这些“李鬼”APP同钓鱼网站链接类似,存在着盗取账号密码等隐私、诈骗钱物等购物风险。
360安全大脑提醒各位消费者,一定要去360手机助手等正规应用市场下载官方正版APP。
第三章 超九成购物APP存高危漏洞
所谓APP安全漏洞,是指手机APP本身在开发过程中存在的安全漏洞。这些漏洞可能被攻击者利用,导致用户信息泄露或用户财产损失等。
360安全大脑对市场上流行的528个购物类APP抽样分析发现,存在高危漏洞的购物APP高达488个,占比高达92.4%,其中不乏主流知名购物平台。
从这些购物APP的分类来看,优惠导购类占比达到28.1%,数量最多;美服时尚类占比11.1%次之;企业电商类占比7.2%,位列第三;跨境海购、团购特卖类APP占比7.0%,二手专卖类APP占6.7%;便利超市、生鲜、医药成人、母婴、数码、茶酒饮品等类购物APP再次之。虽然垂直类购物APP单个类别数量较小,但整体来看,占比达到32.3%,依然不容小觑。
值得注意的是,综合商城类购物APP在其中占比5.3%,整体数量不算大,但其中也包含一些主流知名购物平台。
数据统计,一般来说,平均每一千行的软件代码会有6到8个漏洞。虽然APP中的漏洞很难避免,但是360安全大脑提醒,各大购物平台应提升技术能力,及时更新版本、修补漏洞,提升安全级别。
同时,广大消费者也需注意,存高危漏洞的综合商城类APP占比较小,且多为大型平台,技术保障能力相对可靠;优惠导购类、垂直电商类APP相对平台较小且数量繁多,很多为新兴平台,技术能力相对较弱,用户需注意风险。
第四章 垃圾短信“双十一”特征明显
发送打折、优惠短信是商家进行推广、宣传的重要渠道,双十一期间,这对商家来说是不可错过的宣传时机,而对普通用户来说,则是不堪忍受的骚扰。
据10月份统计数据显示,360手机卫士平均每天为用户拦截各类垃圾短信1642.3万条,十月中旬达到小高峰。
从拦截日期来看,十一长假期间明显形成小低谷。在非法定假日期间,周五左右形成垃圾短信的小高峰,而周日形成一周内的最低谷。看来,发送垃圾短信的人,在周日及法定假日也选择了休息。
根据对垃圾短信的取样分析,在双十一前夕,用户收到的垃圾短信绝大部分是商家或各购物平台的推广信息,占比达到97.1%,其他推广占比1.7%,而带有明显诈骗性质、以购物为名要求“加微信”的,占比达到1.2%,需要用户警惕。
如下图所示,垃圾短信所推广的内容从购物平台到具体商品,从有形产品到无形服务,品类丰富,应有尽有。
从所推广的内容品类来看,推广购物平台本身的占比最大,并且这些购物平台大多以红包、卡券、折扣作为吸引点来吸引用户。美妆个护产品位列第二,其中16.6%在推广面膜产品,8.4%推广头发护理产品,包括洗发护发黑发防脱等等,看来继“头发秃了”之后,“头发白了”也渐被关注,成为商家的商机。
在电子消费方面,数码家电品类中,手机依然是商家推广的重头,占比达到20.8%,其次是数据线,占比达到8.8%,第三为耳机,占比7.6%。游戏、通讯、影视音乐APP也成为商家重点推销的对象,通讯类中“流量”是最常出现的关键词。从中可以看出,消费者的娱乐活动更加移动化,商家的推广也趋向如此。
在饮食方面,生鲜品类中,柚子、橙子、桔子占据了30.6%,而大闸蟹占比达到13.9%。外卖餐饮类88.0%的推广都是外卖平台。茶酒饮品中32.6%在推广茶。这其中都反映了现代消费的特征。
10月份正值各大平台“双十一”活动的预热期,根据对360手机卫士拦截的垃圾短信的热词分析,10月垃圾短信内容“双十一”特征明显,“红包”、“旗舰店”、“狂欢节”、“预售”、“定金”、“优惠券”等等都是榜上热词。
与上两个月相比,“红包”排名由二十余名一跃成为热词第二名,“旗舰店”也从十余名成为热词第三名,“狂欢节”、“预售”等词新上榜,而原本排名靠前的“领取”、“回复”、“恭喜”、“获得”等词纷纷后退,看来,“双十一”来临前,商家的诱导方式也有所变化,用“红包”、“优惠”等刺激用户消费。
360安全大脑提醒,以购物为名要求“加微信”、“加QQ”的,千万不要加,存在诈骗风险。来历不明的短信链接不要点,存在盗取信息风险。用户须警惕!
同时,用户可选择360手机卫士等安全软件拦截过滤垃圾短信,以免受垃圾短信骚扰。
第五章 挖矿木马正拖慢你的抢购节奏
一、“双十一”狂欢别乐过头,黑产已盯上电商网站
临近“双十一”,360安全大脑截获了大量挖矿木马挂马网站页面。这些网站的大量页面被植入了挖矿木马下载代码,用户使用存在安全漏洞的浏览器访问这些页面,电脑或手机就会感染挖矿木马,成为帮助黑客挖矿赚钱的肉鸡。而在这些挖矿木马挂马网站中,电商网站成为最大的重灾区。统计显示,11月以来,用户访问量最大的50个被挂挖矿木马的网站中,有30个都是电商网站,占比高达60.0%,远超教育科研、医疗卫生等其他挖矿木马挂马的重灾区。
挖矿木马是随着虚拟货币热而兴起的一种新型木马,会强行利用用户计算机资源进行复杂的数据计算,俗称挖矿。用户中招挖矿木马后,往往表现为计算机资源利用率持续飙升、系统卡顿。双十一期间,用户很可能因为电脑感染挖矿木马,上网抢购“更卡更慢”。
二、垂直电商成重灾区,挖矿木马偏爱“办公建材”
在遭遇挖矿木马挂马的电子商务网站中,一些中小型及新兴的垂直类电商网站最受挖矿木马“青睐”,挂马量较平日出现近一倍的增长幅度。这些垂直网站中主要包括办公建材、数码仪器、服装鞋帽、医疗保健、食品和玉器珠宝等等,其中办公建材类网站最多,占比高达47.6%。
一般而言,网站被植入挖矿木马主要因网站所有方安全运维能力不足、系统存在漏洞或使用弱密码等原因导致。
而在上述情况中,中小型及新兴的垂直类电商网站往往安全运维能力较弱,网站系统也相对不够成熟,安全意识相对薄弱,所以也就成了挖矿木马所“青睐”的对象。
在此,360安全大脑提醒各类中小型及新兴的垂直网站,一定要加强安全运维工作,定期修补系统漏洞,提高安全意识,不用弱密码并定期更换密码,为消费者创造更好的消费体验。
同时,也提醒普通个人电脑用户、手机用户,尽量使用安全浏览器上网,以免遭到挂马网站攻击,避免自己设备成为帮助黑客挖矿赚钱的肉鸡。
第六章 退款诈骗与虚假购物套路深深
一、男性为“易感人群”,人均损失1万元
为聚焦“双十一”近期网络诈骗趋势,本报告以近期猎网平台(由北京市公安局网络安全保卫总队与360互联网安全中心联合举办)接到的有效举报为基础数据进行研究。9月-10月,猎网平台共接到虚假购物诈骗、退款诈骗127起,共造成损失约115.8万元。
虚假购物是通过建立虚假购物网站等方式,骗取受害者钱财的诈骗行为。退款诈骗则是以网购退款为由骗取用户账号信息、银行卡号、钱财的诈骗行为。数据显示,受害者中,男性占比63%,女性占比37%。其中,男性平均损失1万元,女性平均损失7252.7元。无论是从数量上还是损失上看,男性都成为这两类诈骗中的“易感人群”。
二、90后受骗最多,00后紧随其后
举报数据显示,在9月-10月遭受虚假购物和退款诈骗的受害者中,90后成为人数最多的受害群体,占比为37.8%;其次为00后,占比为26.0%;受害呈现出年轻化趋势,这表明网络诈骗触及的人群年龄越来越低。而各种游戏平台、虚拟商品交易平台在监管方面的不成熟,也让防范意识较低的00后越来越多陷入网络诈骗的泥沼。
另据2018年上半年猎网平台数据显示,在所有类型的网络诈骗举报中,00后已经超过90后,成为网络诈骗最大的受害者群体。而随着第一批年满18岁的00后加入双十一网购大军,网络诈骗的防范工作将更具挑战性。
三、买手机最易上当,服装鞋帽类也是高发区
数据显示,在虚假购物诈骗中,最常出现商品为手机数码类,占比高达65.8%;其次为衣服鞋帽类,占比10.5%。这与我们习惯通过网购方式购买手机数码等产品有较大关系,尤其海淘、代购等购物方式的兴起,也在一定程度上让诈骗者有机可乘。
在退款诈骗中,同样呈现出与虚假购物类似的特点,手机数码类商品最多,占比25%;网游装备类虚拟商品位居第二,占比19.4%;服装鞋帽类产品占比16.7%,位列第三。
第七章 常见退款诈骗案例警示录
“双十一”来了,你本想趁着商品打折、优惠的机会海购一番,但是却收到淘宝客服发来的短信,说你付了定金、预付款甚至全款的商品出现缺货或者是订单失效的情况,需要退还货款。你会相信吗?
购物平台在退款方面十分谨慎,但不法分子的手段却“乱花渐欲迷人眼”。本报告列举了猎网平台退款诈骗举报中的典型案例,以期引起消费者警示。
一、听信快递丢失可双倍赔偿,误入钓鱼网站账号失窃
2018年10月18日下午,王先生在家中接到一个电话,对方称其购买的被褥因在快递过程中丢失,可以双倍赔偿。之后王先生加了对方的支付宝好友,并在支付宝中聊天,对方发来一个链接,进入一个登陆页面之后,王先生输入了自己的银行卡号,身份证号、手机号,还有支付宝的支付密码,随后王先生的手机收到几条短信,对方让王先生告知短信中的验证码。随后王先生发现银行卡中两笔钱款被转走,一笔1.5万元,一笔899元。
二、冒充客服骗取用户信任,手把手“指导”退款设圈套
近日,杨女士接到一个陌生电话,对方自称淘宝客服工作人员,电话中能详细说出杨女士购买的商品、收货地址、姓名、联系方式等。对方称,该笔订单由于系统原因暂时无法发货,建议杨女士申请退款处理。对方在电话中很客气,一直向杨女士道歉,杨女士刚开始很疑惑,直到对方说出购买的商品及收货详细地址,才信以为真放下警惕。
之后,对方要求杨女士提供QQ号以便发送退款链接,协助其操作。杨女士没多想,便把自己的QQ号发给了对方。加完好友后,对方发送了一个退款申请链接,杨女士用电脑打开链接,显示:“消费者保障服务”。她按照客服的指示一步步输入账号、密码、退款金额,点击登入出现让选择退款银行卡, 紧接着又让提供持卡人姓名、身份证号、卡号、退款密码等重要信息,就在最后“输入验证码”的步骤,杨女士的手机收到银行发来的消费短信,这时杨女士恍然大悟,原来自己被骗了。于是,杨女士没有输入验证码,而是立即选择了报警。
在上述两个案例中,受害者实际上都是被骗子诱骗打开了一个虚假的钓鱼网站,在这些网站上输入帐号、密码和验证码,自己的网银或第三方支付工具就会被骗子盗刷。
除了上述案例外,还有更多类似受骗案例。钓鱼网址往往模仿大型综合电商网站,几可乱真。比如,下图就是一个模仿淘宝消费者保障服务页面的网址。
针对“双十一”期间高发的退款诈骗情况,本报告特别提醒广大用户:
1)不要相信主动找上门来的电商客服,遇到问题应通过官方客
