不可忽视的 电商业务安全问题 议题 • 背景介绍 • 典型案例 • 解决之道 • Q&A 电商业务安全备受挑战 凡是能换成金钱的，都会有人去攻击或尝试 今天是免费的资源，明天可能就是重要的资产 需要重点保护的对象 用户账号/密码 用户钱包/银行卡 用户隐私数据 代金券、优惠券、礼品卡、积分、虚拟币 物流、库存 订单、商业数据 …… 严峻的威胁和挑战 我们面对的是： 黑/灰产业链 白帽子黑客 竞争对手 第三方分析公司 合作伙伴 供应商 外包商 内部人员 …… 典型电商业务流程——登录/浏览/选品 典型电商业务流程——下单/支付/物流 更多电商平台背后的系统 客服 开放平台 物流 系统 仓储 支付 系统 营销 电商 平台 供应 商 议题 • 背景介绍 • 典型案例 • 解决之道 • Q&A 账户安全——所有安全问题的入口 账户安全——盗号、撞库等身份盗用问题 • “撞库”攻击的形式 • 尝试登录大量【用户名+密码】组合 • 利用已泄露的多家网站用户数据库 • “盗号”产生的风险 • 用户隐私受影响 • 账户资金受影响 • 企业投诉和赔付率上升 账户安全——盗号、撞库等身份盗用问题 • “撞库”攻击的形式 • 尝试登录大量【用户名+密码】组合 • 利用已泄露的多家网站用户数据库 • “盗号”产生的风险 • 用户隐私受影响 • 账户资金受影响 • 企业投诉和赔付率上升 账户安全——问题往往没那么简单 • 用户界面 • • • • • • PC登录界面 WAP APP 微信 联合登录 …… • 防护策略 • • • • • 图形验证码 短信验证码 访问速率控制 IP限制策略 …… • 对抗手段 • • • • 验证码识别云平台 短信验证码云平台 秒换代理服务器IP …… 8000人工后台！ 账户安全——对抗的力量 • 企业的力量 • • • • • • 缺人 缺钱 缺技术 缺设备 缺时间 全线防护 • “黑产”的力量 • • • • • • 有钱 有人 有技术 有资源 有时间 单点击破 资源滥用——小问题放大了就是灾难 资源滥用——恶意注册产生“马甲”用户 • 抢占正常用户资源 • 影响企业营销效果 • 产生虚假数据 • 隐藏的“炸弹” 资源滥用——注册检查小接口大风险 • 利用简单的注册判断接口，检查全国手机号是否在网站注册 • 放大这个请求，结果是灾难……为盲目“撞库”提前筛选用户名 资源滥用——注册检查小接口大风险 • 利用简单的注册判断接口，检查全国手机号是否在网站注册 • 放大这个请求，结果是灾难……为盲目“撞库”提前筛选用户名 资源滥用——恶意调用短信发送接口 • 封装多个网站短信发送接口为一个API • 向指定手机发送短信炸弹，强制对方关机 • 企业遭受客户投诉导致短信通道被迫关停 苏宁 携程 唯品会 坏 人 调用接口发短信 去哪儿 天猫 京东 美团 受害者 手机 …… 资源滥用——恶意调用短信发送接口 • 封装多个网站短信发送接口为一个API • 向指定手机发送短信炸弹，强制对方关机 • 企业遭受客户投诉导致短信通道被迫关停 苏宁 携程 唯品会 坏 人 调用接口发短信 去哪儿 天猫 京东 美团 受害者 手机 ……