CNNIC最新的中國互聯網絡發展狀況統計報告顯示,截至2014年12 月,我國網絡購物用戶規模已經達到3.61億,網民使用網絡購物的比例也從48.9%提升至55.7%。網購市場的繁榮,也催生了網絡黑色產業鏈的發展。根據騰訊網絡黑色產業鏈年度報告統計,網絡黑產已經從過去的黑客攻擊模式轉化成為犯罪分子的斂財工具和商業競爭手段,呈現出明顯的集團化、產業化趨勢。
2014年,京東商城占據了中國自營式B2C市場份額的51.9%。市場占有率的快速提升,也讓京東商城成為黑客及不法分子覬覦的目標。如何應對日益嚴峻的網絡安全形勢,更好地保護用戶數據?京東集團安全管理部負責人晉亮日前在接受采訪時表示,京東始終對用戶信息和用戶數據進行最高級別的保護,針對網絡安全領域出現的這種新動向,目前京東正在利用基于大數據分析的風險控制系統等一系列的措施來應對,以保護網站及用戶信息的安全。
談到網絡犯罪,晉亮認為,目前由于用戶賬號中的資產會有更嚴格的保護,所以不法分子的目標轉向掌握網民個人信息后,以冒充熟人或博取同情等精準式詐騙場景對受害人進行欺詐。CNNIC的統計報告也顯示,2014年,有46.3%的網民遭遇過網絡安全問題,在網上遭遇到消費欺詐比例高達12.6%。對于電商網站而言,不法分子通過撞庫攻擊等多種手段想方設法獲取用戶信息,再冒充客服對用戶實施詐騙的案例屢見不鮮。
用大數據將不法分子擋在門外
據晉亮介紹,目前京東商城已經建立了一套風險控制體系來處理上述問題,其中充分利用了大數據技術的威力。“京東具備有效的風控系統來分析和防護類似的安全風險,我們會通過一系列的技術手段去實時的識別類似的攻擊行為并進行防御和處理,直接規避相應的風險。
所謂“撞庫攻擊”就是不法分子利用很多用戶在不同網站使用同樣用戶名密碼的習慣,利用被攻破或泄露的其他網站用戶數據庫,生成對應的字典表,嘗試批量登陸其他網站后,得到一系列可以登陸的用戶數據。撞庫攻擊獲取的有效用戶數據可能被詐騙分子利用,登錄其賬戶后獲取用戶聯系方式、訂單等信息,冒充客服等工作人員實施網絡詐騙。
京東努力從源頭上抵御撞庫攻擊,降低用戶數據的風險。其中關鍵之處就是京東的大數據積累和分析技術。因為京東收集了用戶從登錄、瀏覽、選購、下單、付款到配送甚至售后服務的完整數據,因此可以針對典型用戶的行為歸納出多種模型。“現在撞庫攻擊更多地是用一些外部泄漏的數據去進行線上比對,這種行為特征在技術上是比較好識別的。京東的風控系統可以實時識別這些特征行為,并進行相應的防護,”晉亮說。
針對有可能被撞庫成功的用戶,京東會利用大數據技術對其進行實時分析出來,一方面尋根溯源,從賬戶訪問的蛛絲馬跡發現黑客的行為,并將其加入相應的特征庫,阻擋他們后續作案;另一方面,與后端的用戶和其它系統進行聯動,對風險賬號提升安全級別,規避這些賬號的風險。
多管齊下提升用戶數據安全
晉亮介紹說,除了基于大數據的用戶行為監測和風控體系,在數據安全層面,包括用戶數據的傳輸、存儲、展現這三個環節,京東也在采用更加縝密的技術措施,以保證用戶數據的安全性。
在涉及用戶密碼的數據傳輸環節,京東已經全程采用HTTPS協議進行加密,可以規避黑客使用數據嗅探類程序獲取用戶名及密碼等敏感信息。在數據存儲環節,京東的數據庫也使用了更加安全的加密算法進行處理。晉亮表示,即使這個數據由于某種可能暴露在外面,黑客也無法從這些加密的數據中破解出用戶名和密碼。在信息展現環節,對于用戶的敏感信息,如手機號、郵箱、訂單號等內容,京東已經對其進行了模糊化的處理,關鍵部分都進行了打碼處理。不法分子即使通過撞庫進入這些用戶的后臺,相關的具體隱私信息也不會被泄露。
另外,為了提升用戶對網絡詐騙的警惕性,在訂單等頁面,京東也在醒目的位置提醒用戶,“京東平臺及銷售商不會以訂單異常、系統升級等為由,要求用戶點擊任何鏈接進行退款操作”,相應的短信提醒也會發給用戶。京東用戶和商家交流的即時通訊工具“咚咚”中,也加入了防釣魚、防木馬等等機制,全面為用戶打造安全屏障。
除了在集團內部加強安全措施外,京東也已經對外建立了安全應急響應中心平臺。這個平臺對外直接響應白帽子(發現計算機系統或網絡系統中的安全漏洞,并提交給相關廠商的技術高手)提交的漏洞。對于烏云等第三方漏洞提交平臺,京東也特別關注并制定了更高的響應級別。晉亮表示,“京東非常希望與白帽子長期合作,會不斷提高漏洞的獎勵來回饋白帽子的貢獻,并定期舉辦安全沙龍和會議來探討交流安全風險的解決之道。同時,京東也希望能夠與更多的安全眾測平臺展開合作,以提升京東平臺的安全等級。”據了解,京東與騰訊的合作也已經延伸至安全領域,在防欺詐領域雙方會進行合作,為用戶提供購物安全保障。
盡管網絡安全企業及電商平臺在不斷提升安全水平等級,但黑產巨大的利益導致整體的網絡安全環境仍然比較嚴峻。從CNNIC的調查數據來看,有近一半的網民認為我國網絡環境比較安全或非常安全。鑒于這樣的現狀,晉亮認為,廣大用戶在網購時,仍然需要提高網絡安全意識,養成良好網絡消費習慣,以保護自己的合法權益不受侵犯。
京公網安備 11010502049343號