微博點(diǎn)贊突然“放飛自我”,是因?yàn)橘~號(hào)密碼遭黑客“撞庫”攻擊?!?晨報(bào)記者 張佳琪
見習(xí)記者 吳藝璇
[身邊案例]
網(wǎng)銀被破,錢款被盜
2015年9月16日清晨,丁小姐起床后發(fā)現(xiàn)手機(jī)上有兩條短信,提示稱其已開通短信過濾和短信保管業(yè)務(wù)。為保險(xiǎn)起見,丁小姐查詢了自己的銀行賬戶,發(fā)現(xiàn)賬戶里原有的10.4萬余元余額已不翼而飛。
丁小姐遂向警方報(bào)案。公安機(jī)關(guān)經(jīng)全力偵查,于2015年11月27日,在海南將童某等4名電信詐騙團(tuán)伙成員抓獲。
隨著該團(tuán)伙的落網(wǎng),這種新型的電信詐騙模式也浮出水面。原來,從2015年9月起,童某使用從非法渠道獲得的公民個(gè)人信息,與唐某一起對(duì)這些數(shù)據(jù)進(jìn)行切割、整理,保留其中的移動(dòng)電話號(hào)碼、身份證號(hào)、密碼等內(nèi)容。隨后,童某租用,使用專門的掃號(hào)軟件,用整理出的個(gè)人信息作為網(wǎng)銀登錄名和密碼進(jìn)行自動(dòng)匹配,用俗稱的“撞庫”方式,選取登錄名和密碼正確的信息,登錄被害人網(wǎng)銀賬戶。
但要實(shí)現(xiàn)網(wǎng)銀轉(zhuǎn)賬仍需短信驗(yàn)證碼,為此,童某等人使用變號(hào)軟件用被害人的電話號(hào)碼撥打通信運(yùn)營公司客服電話,以被害人名義為其開通短信助手業(yè)務(wù),增設(shè)短信過濾、短信保管、短信轉(zhuǎn)移等功能。最終,銀行發(fā)來的短信驗(yàn)證碼被童某等人截獲。突破最后的防線后,童某等人登錄到被害人網(wǎng)上銀行主頁,輸入截取的轉(zhuǎn)賬驗(yàn)證碼,輕而易舉將被害人銀行卡賬戶中的存款被轉(zhuǎn)賬到他們所控制的賬戶內(nèi)。
法院經(jīng)審理查明,2015年8月29日至9月21日期間,童某和唐某從7名被害人的賬戶中轉(zhuǎn)賬或消費(fèi)人民幣172萬余元。
日前,上海市黃浦區(qū)人民法院對(duì)這起新型電信詐騙案作出一審判決,童某等三名被告人構(gòu)成侵犯公民個(gè)人信息罪及信用卡詐騙罪,數(shù)罪并罰,被判處有期徒刑九年至十六年不等,并處罰金10萬元至26萬元不等;辛某構(gòu)成侵犯公民個(gè)人信息罪,被判處有期徒刑四年,并處罰金4萬元。
微博賬號(hào)莫名點(diǎn)贊
“朋友問我最近在微博上是不是‘放飛自我’了,我才趕緊打開自己的點(diǎn)贊列表,驚嚇到了?!币粋€(gè)月前,蘇琪(化名)發(fā)現(xiàn)自己的微博賬號(hào)在莫名地給別人點(diǎn)贊,“我贊的微博,我自己卻沒見過?!笨催^自己贊過的內(nèi)容后,蘇琪只想用“令人作嘔”來形容……
充斥在點(diǎn)贊列表里的,是滿屏的服飾類廣告、性病廣告、淫穢色情資源廣告。
起初蘇琪懷疑是自己“手滑”贊到了,但平時(shí)不追星的她,連明星的名字都對(duì)不上號(hào),更沒有關(guān)注他們,怎么可能不小心點(diǎn)到贊呢?
然而,蘇琪微博上無故點(diǎn)贊的數(shù)量有增無減,頻率越來越高?!耙恍r(shí)幾十條,多的時(shí)候幾百條都有。”她很確定這些贊都不是自己點(diǎn)的。
為此,蘇琪更換過幾次密碼,可亂點(diǎn)贊的頻率卻有增無減。她只好每隔一小時(shí)就登錄微博,手動(dòng)將點(diǎn)贊列表里贊過的微博逐一取消。
蘇琪去網(wǎng)上搜索“微博亂點(diǎn)贊”這一話題,搜出了一堆“同病相憐”的網(wǎng)友。她從網(wǎng)友那里得知,成為微博會(huì)員可能會(huì)有好轉(zhuǎn),可她嘗試過后并不奏效。
幾天后,她又從網(wǎng)友那學(xué)來一招,利用微博的“微盾保護(hù)”功能將賬號(hào)鎖定。可賬號(hào)一旦鎖定,除瀏覽微博之外,不能使用發(fā)表、評(píng)論、轉(zhuǎn)發(fā)等功能。點(diǎn)贊雖消停了,但麻煩仍然在,“要登錄了,就要解鎖一次,退出再鎖定,而且一天內(nèi)的鎖定次數(shù)有限定?!?/span>
“我決定棄號(hào)了,蠻可惜的。”蘇琪的耐心終于被磨光了,她刪掉了記錄了好幾年的微博。
微博回應(yīng):用戶遭黑客“撞庫”攻擊
那么,到底是誰操控了我們點(diǎn)贊的拇指?
記者從微博市場(chǎng)渠道部了解到,這些用戶們?cè)獾搅撕诳偷墓簦诳屠谩白矌臁钡氖侄伪I取用戶的賬號(hào)信息,再用這些盜來的賬號(hào)進(jìn)行點(diǎn)贊、關(guān)注等行為,或?qū)⒂脩粜畔①u給負(fù)責(zé)刷贊漲粉一類業(yè)務(wù)的公司。
“用戶經(jīng)常會(huì)遇到一個(gè)提示,您的微博賬號(hào)在某段時(shí)間在某地被登錄,建議您修改密碼?!蔽⒉┫嚓P(guān)負(fù)責(zé)人表示,這意味著該賬戶存在安全隱患,如果該用戶基本上不使用微博,那么此賬號(hào)基本上可以說是被盜了。
對(duì)于為什么用戶多次更改密碼問題仍未解決,該負(fù)責(zé)人則表示:“會(huì)有避免不了的問題。當(dāng)前網(wǎng)絡(luò)安全形勢(shì)非常嚴(yán)峻,微博也會(huì)根據(jù)網(wǎng)友的反饋和意見不斷優(yōu)化提升我們的用戶體驗(yàn)?!?/span>
記者看到,微博管理員官方賬號(hào)每月都會(huì)發(fā)布“違規(guī)漲粉賬戶處理公告”,經(jīng)過技術(shù)分析發(fā)現(xiàn)部分用戶利用微博及第三方平臺(tái)漲粉,盜取用戶授權(quán)進(jìn)行而已強(qiáng)制加關(guān)注等違規(guī)行為。在5月23日公布出的公告上顯示,四月份違規(guī)漲粉賬戶共涉及9196個(gè),涉及關(guān)系鏈超過3.9億。這些被處理的賬號(hào)中,有1561個(gè)賬號(hào)被清理了所有的垃圾粉絲和違規(guī)粉絲,而這些“粉絲”部分來自那些賬戶被盜的用戶們。
安全專家:切忌所有平臺(tái)設(shè)置同一密碼
有20年從業(yè)經(jīng)驗(yàn)的網(wǎng)絡(luò)安全專家劉嵩稱,“撞庫”是黑客慣用的盜取信息的手段,黑客通過互聯(lián)網(wǎng)已泄露的用戶和密碼信息,試探性地利用該密碼信息在其他網(wǎng)站登錄,從而得到一系列可以登錄的用戶。
劉嵩表示,被攻擊的往往都是那些安全性能比較差的賬戶,而用戶在不同網(wǎng)站使用相同密碼,賬戶被盜對(duì)于新浪這種安全性能較高的平臺(tái)來說,也無能為力。
劉嵩提醒,用戶之所以被盜,首先是用戶注冊(cè)的平臺(tái)多了,往往會(huì)設(shè)置相同的密碼,這給黑客的“撞庫”手段提供了便利。
目前,許多用戶名可以直接采用用戶的郵箱、手機(jī)號(hào),劉嵩認(rèn)為,這給黑客提供了“滲透攻擊”的機(jī)會(huì)。黑客一旦登錄了用戶的郵箱,用戶的身份證、銀行卡信息都會(huì)被泄漏。
“其他賬號(hào)丟了,損失不是很大,還可以找回密碼。錢包密碼丟了,就玩大了?!绷硪晃粯I(yè)內(nèi)人士表示,后續(xù)的問題更令人頭痛:“比如黑客在京東白條借錢不還,會(huì)影響信譽(yù),影響貸款。”
劉嵩提醒用戶,盡量避免在不同互聯(lián)網(wǎng)平臺(tái)使用同樣的賬戶密碼。此外,為自己的電腦裝上殺毒軟件,防止黑客入侵盜取用戶信息。而最為關(guān)鍵的是,要做到密碼足夠復(fù)雜,并且妥善保管,不能向任何人泄露。而為防范“撞庫”可能帶來的風(fēng)險(xiǎn),對(duì)于不同的網(wǎng)站,應(yīng)使用不同的密碼,尤其是不能與網(wǎng)銀密碼相同。
關(guān)于銀行賬號(hào),劉嵩特別提醒一旦發(fā)現(xiàn)手機(jī)出現(xiàn)異常情況,應(yīng)及時(shí)查明原因,必要時(shí)掛失銀行卡。其次,電信運(yùn)營商在為客戶辦理業(yè)務(wù),應(yīng)加強(qiáng)對(duì)用戶身份的驗(yàn)證,并梳理短信過濾、保管等增值業(yè)務(wù)存在的潛在風(fēng)險(xiǎn),不給犯罪分子可乘之機(jī)。同時(shí),銀行應(yīng)推廣使用更為安全的U盾、動(dòng)態(tài)密碼器等驗(yàn)證方式。