圣诞老人胡须背后潜藏的危险

中国消费者刚从双十一的购物狂热喘过气来不久，圣诞节的脚步又悄然走近，圣诞及新年“血拼”随即展开！圣诞老人的胡须通常是纯洁无瑕的雪白色。然而，网络犯罪分子正试图以这种无瑕的象征为掩护，在网络消费者准备大肆购物之际，伺机对其发动攻击。

Check Point 研究人员最近发现，犯罪分子采取一种新方式来欺骗通过时下风靡的“全球速卖通”购物网站进行节日购物的消费者。全球速卖通是阿里巴巴集团旗下最受欢迎的在线购物平台之一，在全球范围内拥有超过一亿名客户，收入达 230 亿美元。

发现此漏洞后，Check Point 研究人员立即通知全球速卖通，他们对网络安全高度重视，在得到通知后两天内便迅速采取行动并解决了问题。这一做法可圈可点，为其它在线零售商树立了榜样。

这个被Check Point发现、然后通知全球速卖通马上修复的漏洞是如此策动攻击的：犯罪分子可利用这个漏洞，发送一个包含恶意 Javascript 代码的全球速卖通网页链接，来攻击全球速卖通用户。一旦打开该网页，用户的网络浏览器就会执行该代码，从而利用网站上的开放式重定向漏洞，绕过全球速卖通针对跨站脚本攻击所采取的保护措施。

从理论上来说，网络犯罪分子可以通过电子邮件钓鱼活动，借助全球速卖通的常规客户操作流程来发动此攻击，过程中几乎不会有任何迹象让用户察觉正在发生异常或意外情况。因此，用户可能根本无法察觉到任何“网络钓鱼”的蛛丝马迹。

随后，攻击者会在全球速卖通下属子域名下运行的主屏幕上显示一个优惠券弹出窗口，要求客户提供信用卡详细信息，以获得更流畅、更高效的购物体验。然而，此弹出窗口完全由攻击者控制，其中输入的所有信用卡信息均直接发送给攻击者，而非购物网站。

近期报道显示，自 2016 年以来，发生于在线零售商的网络攻击已翻了一番，消费者应小心圣诞老人的胡须可能并不像看起来那样洁白无瑕，并且在此节日期间，于任何网站进行网购时都应当保持警惕。