leon.deng:外贸业务的安全
写这个主题, 主要是上次我在群里发了一些广告之后,被 VIP 约谈.
VIP 做为管理员, 对外贸安全,论坛用户的体验非常关注. 所以我找了公司的 CTO, 做一个关于安全的分享.
深入解析外贸场景下三方欺诈
外贸是一个复杂的场景,参与角色之多是其他场景下比较少见的。 在整个交易的过程中,邮件在沟通的中起得作用特别明显。如此复杂的沟通链路,任何节点都有可能出现信息泄露或者账号被盗。在过去的经验中,我们发现所有的三方欺诈事件中,邮件被盗和邮件钓鱼尤其突出。
三方欺诈的定义是“除交易双方以外的任何个人或机构,以不正当的方式,获取交易双方或者任一方的交易信息,用以谋求不法利益为目的的行为。构成欺诈甚至诈骗”。 举个典型的场景,买卖家一方的邮件长期在骗子的监控之下,如果他发现你的订单进入付款流程。 他就会单独切出一条沟通线路,仿照你的邮箱名字通知买家付款到他的银行账户上。
一些sourcing网站出现的确方便了外贸买卖家的交流,同时聚集了大批的外贸买卖家。但是这些网站往往对会员的验证非常薄弱,这就给了骗子们可乘之机。骗子通过人工或者机器的方式在外贸网站上获取了大量买家或者卖家的邮箱,再通过黑客的方式攻击了邮箱获得邮箱的访问权。 买卖家的邮箱就长期就在骗子的监控下了。 中国外贸行业的邮箱被盗率"触目惊心"。 如果有莫名奇妙的邮件丢失,被阅读了或者任何邮箱安全提示那就有可能被盗了,应当尽快修改密码。
有哪些手段可以防止邮件被盗或者钓鱼,以下我们总结的一些实际经验。
1. 不要轻易的访问不可识别的网站并输入用户名和密码。
2. 提醒交易对手增强邮箱安全性,比如SPF,DKIM等设置。 (不明白的字眼,请自行百度)
3. 如果进入汇款环节了, 在汇款之前一定要做多渠道验证(MV). 比如提醒买家付款前一定要邮件和IM都确认汇款信息完整有效。因为IM和邮箱同时被盗的可能性还是比较低的。
4. 尽量票款一致,这样第三方也比较难冒名收款。
5. Sourcing网站和邮箱的密码一定要不一样。
6. 接收报价,样单,合同等尽量使用PDF或者图片格式的文件,而不是Word,Excel。也的确发生过骗子发送询盘文件是包含带有木马的Word或者Excel。
7. 邮箱访问尽量使用SSL端口。
希望对大家有所帮助!
轻装上阵的土豆:你需要经常露脸,保证你的 存在
