自己的微博賬号無故給人點贊; 從未與犯罪分(fēn)子有過任何接觸,可銀行卡裏的存款仍被轉入犯罪分(fēn)子的銀行賬戶……這都不是聳人聽(tīng)聞,而是發生(shēng)在我(wǒ)們身邊的真實案例。 因爲我(wǒ)們的賬号遭到了黑客的“撞庫”攻擊。“撞庫”是什麽意思?黑客又(yòu)是如何操控?我(wǒ)們又(yòu)該如何防範?
微博點贊突然“放(fàng)飛自我(wǒ)”,是因爲賬号密碼遭黑客“撞庫”攻擊。
晨報記者|張佳琪
見習記者|吳藝璇
[身邊案例]
網銀被破,錢款被盜
2015 年 9 月 16 日清晨,丁小(xiǎo)姐起床後發現手機上有兩條短信,提示稱其已開(kāi)通短信過濾和短信保管業務。爲保險起見,丁小(xiǎo)姐查詢了自己的銀行賬戶,發現賬戶裏原有的 10.4 萬餘元餘額已不翼而飛。
丁小(xiǎo)姐遂向警方報案。公安機關經全力偵查,于 2015 年 11 月 27 日,在海南(nán)将童某等 4 名電(diàn)信詐騙團夥成員(yuán)抓獲。
随着該團夥的落網,這種新型的電(diàn)信詐騙模式也浮出水面。原來,從 2015 年 9 月起,童某使用從非法渠道獲得的公民個人信息,與唐某一(yī)起對這些數據進行切割、整理,保留其中(zhōng)的移動電(diàn)話(huà)号碼、身份證号、密碼等内容。随後,童某租用,使用專門的掃号軟件,用整理出的個人信息作爲網銀登錄名和密碼進行自動匹配,用俗稱的“撞庫”方式,選取登錄名和密碼正确的信息,登錄被害人網銀賬戶。
但要實現網銀轉賬仍需短信驗證碼,爲此,童某等人使用變号軟件用被害人的電(diàn)話(huà)号碼撥打通信運營公司客服電(diàn)話(huà),以被害人名義爲其開(kāi)通短信助手業務,增設短信過濾、短信保管、短信轉移等功能。最終,銀行發來的短信驗證碼被童某等人截獲。突破最後的防線後,童某等人登錄到被害人網上銀行主頁,輸入截取的轉賬驗證碼,輕而易舉将被害人銀行卡賬戶中(zhōng)的存款被轉賬到他們所控制的賬戶内。
法院經審理查明,2015 年 8 月 29 日至 9 月 21 日期間,童某和唐某從 7 名被害人的賬戶中(zhōng)轉賬或消費(fèi)人民币 172 萬餘元。
日前,上海市黃浦區人民法院對這起新型電(diàn)信詐騙案作出一(yī)審判決,童某等三名被告人構成侵犯公民個人信息罪及信用卡詐騙罪,數罪并罰,被判處有期徒刑九年至十六年不等,并處罰金 10 萬元至 26 萬元不等;辛某構成侵犯公民個人信息罪,被判處有期徒刑四年,并處罰金 4 萬元。
微博賬号莫名點贊
“朋友問我(wǒ)最近在微博上是不是‘放(fàng)飛自我(wǒ)’了,我(wǒ)才趕緊打開(kāi)自己的點贊列表,驚吓到了。”一(yī)個月前,蘇琪(化名)發現自己的微博賬号在莫名地給别人點贊,“我(wǒ)贊的微博,我(wǒ)自己卻沒見過。”看過自己贊過的内容後,蘇琪隻想用“令人作嘔”來形容……
充斥在點贊列表裏的,是滿屏的服飾類廣告、性病廣告、淫穢色情資(zī)源廣告。
起初蘇琪懷疑是自己“手滑”贊到了,但平時不追星的她,連明星的名字都對不上号,更沒有關注他們,怎麽可能不小(xiǎo)心點到贊呢?
然而,蘇琪微博上無故點贊的數量有增無減,頻(pín)率越來越高。“一(yī)小(xiǎo)時幾十條,多的時候幾百條都有。”她很确定這些贊都不是自己點的。
爲此,蘇琪更換過幾次密碼,可亂點贊的頻(pín)率卻有增無減。她隻好每隔一(yī)小(xiǎo)時就登錄微博,手動将點贊列表裏贊過的微博逐一(yī)取消。
蘇琪去(qù)網上搜索“微博亂點贊”這一(yī)話(huà)題,搜出了一(yī)堆“同病相憐”的網友。她從網友那裏得知(zhī),成爲微博會員(yuán)可能會有好轉,可她嘗試過後并不奏效。
幾天後,她又(yòu)從網友那學來一(yī)招,利用微博的“微盾保護”功能将賬号鎖定。可賬号一(yī)旦鎖定,除浏覽微博之外(wài),不能使用發表、評論、轉發等功能。點贊雖消停了,但麻煩仍然在,“要登錄了,就要解鎖一(yī)次,退出再鎖定,而且一(yī)天内的鎖定次數有限定。”
“我(wǒ)決定棄号了,蠻可惜的。”蘇琪的耐心終于被磨光了,她删掉了記錄了好幾年的微博。
微博回應:用戶遭黑客“撞庫”攻擊
那麽,到底是誰操控了我(wǒ)們點贊的拇指?
記者從微博市場渠道部了解到,這些用戶們遭到了黑客的攻擊,黑客利用“撞庫”的手段盜取用戶的賬号信息,再用這些盜來的賬号進行點贊、關注等行爲,或将用戶信息賣給負責刷贊漲粉一(yī)類業務的公司。
“用戶經常會遇到一(yī)個提示,您的微博賬号在某段時間在某地被登錄,建議您修改密碼。”微博相關負責人表示,這意味着該賬戶存在安全隐患,如果該用戶基本上不使用微博,那麽此賬号基本上可以說是被盜了。
對于爲什麽用戶多次更改密碼問題仍未解決,該負責人則表示:“會有避免不了的問題。當前網絡安全形勢非常嚴峻,微博也會根據網友的反饋和意見不斷優化提升我(wǒ)們的用戶體(tǐ)驗。”
記者看到,微博管理員(yuán)官方賬号每月都會發布“違規漲粉賬戶處理公告”,經過技術分(fēn)析發現部分(fēn)用戶利用微博及第三方平台漲粉,盜取用戶授權進行而已強制加關注等違規行爲。在 5 月 23 日公布出的公告上顯示,四月份違規漲粉賬戶共涉及 9196 個,涉及關系鏈超過 3.9 億。這些被處理的賬号中(zhōng),有 1561 個賬号被清理了所有的垃圾粉絲和違規粉絲,而這些“粉絲”部分(fēn)來自那些賬戶被盜的用戶們。
安全專家:切忌所有平台設置同一(yī)密碼
有 20 年從業經驗的網絡安全專家劉嵩稱,“撞庫”是黑客慣用的盜取信息的手段,黑客通過互聯網已洩露的用戶和密碼信息,試探性地利用該密碼信息在其他網站登錄,從而得到一(yī)系列可以登錄的用戶。
劉嵩表示,被攻擊的往往都是那些安全性能比較差的賬戶,而用戶在不同網站使用相同密碼,賬戶被盜對于新浪這種安全性能較高的平台來說,也無能爲力。
劉嵩提醒,用戶之所以被盜,首先是用戶注冊的平台多了,往往會設置相同的密碼,這給黑客的“撞庫”手段提供了便利。
目前,許多用戶名可以直接采用用戶的郵箱、手機号,劉嵩認爲,這給黑客提供了“滲透攻擊”的機會。黑客一(yī)旦登錄了用戶的郵箱,用戶的身份證、銀行卡信息都會被洩漏。
“其他賬号丢了,損失不是很大(dà),還可以找回密碼。錢包密碼丢了,就玩大(dà)了。”另一(yī)位業内人士表示,後續的問題更令人頭痛:“比如黑客在京東白(bái)條借錢不還,會影響信譽,影響貸款。”
劉嵩提醒用戶,盡量避免在不同互聯網平台使用同樣的賬戶密碼。此外(wài),爲自己的電(diàn)腦裝上殺毒軟件,防止黑客入侵盜取用戶信息。而最爲關鍵的是,要做到密碼足夠複雜(zá),并且妥善保管,不能向任何人洩露。而爲防範“撞庫”可能帶來的風險,對于不同的網站,應使用不同的密碼,尤其是不能與網銀密碼相同。
關于銀行賬号,劉嵩特别提醒一(yī)旦發現手機出現異常情況,應及時查明原因,必要時挂失銀行卡。其次,電(diàn)信運營商(shāng)在爲客戶辦理業務,應加強對用戶身份的驗證,并梳理短信過濾、保管等增值業務存在的潛在風險,不給犯罪分(fēn)子可乘之機。同時,銀行應推廣使用更爲安全的U盾、動态密碼器等驗證方式。
上一(yī)篇:最新安全報告:DDoS攻擊次數減少但是規模更大(dà)
下(xià)一(yī)篇:網絡安全公司平時誇大(dà)威脅,結果預測到了勒索病毒也沒人信