□掃號軟件可能威脅淘寶、支付寶用戶安全 /晨報記者 肖允晨報記者 王亦菲 實習生 裴小?“掃號”三步走1 “黑客”盜取數據包掃號群里叫賣的數據包括淘寶、支付寶、郵箱、百度貼吧、微博、遊戲等的賬號密碼。一名賣家透露,迷你倉自己數據的終極來源是黑客。2 “掃”數據獲取賬密打開掃號軟件,點擊 “導入賬號”,打開買來的數據包後,軟件自動進行匹配。運行過程中,賬號、密碼明文顯示。 “過濾登錄狀態”欄顯示“淘寶登錄成功”,則表示通過了掃號器的驗證,是正確的賬號密碼。3 登錄賬戶盜取資金掃號結束,用獲取的賬號、密碼登錄淘寶賬戶。如果被入侵用戶還有其他個人信息遭泄露,其賬戶資金安全可能受到威脅。“雙11”剛走,“雙12”又來,在一個接一個的促銷誘惑下,網民們不斷向支付寶賬戶充值。而裡面大量的資金,正成為不法分子最渴望的獵物。晨報記者經數周調查發現,有一些不法分子通過黑客買來用戶數據,再將其輸入專門設計的“掃號軟件”,便能輕而易舉入侵用戶的支付寶賬戶,進而轉移資金,或者進行其他類型的犯罪。支付寶綁定銀行卡被盜刷家住寶山的周先生就是“掃號軟件”的受害者。11月10日23時40分到23時44分,短短4分鐘內,他的工商銀行儲蓄卡被人通過支付寶盜刷3萬元。經查,周先生的支付寶賬號和密碼被不法分子盜取,此後不法分子又通過定向快捷支付方式,將周先生支付寶綁定的工行卡內資金盜刷。支付寶調查發現,不僅用戶的支付寶密碼被盜,所綁定的銀行卡卡號、戶名等相關信息也被盜。而支付寶賬戶被盜的原因,很可能是周先生在其他網站、論壇使用了同樣的賬戶密碼,被不法分子利用了,進行了“掃號”。與一般點對點的“盜號”直接獲取目標賬戶密碼不同,“掃號”是通過曲折迂迴方式獲得賬戶密碼。打個比方,一個人的賬戶、密碼就好比家里的大門和鑰匙,“盜號”就是不法分子盯上了你,一心一意竊取你家的鑰匙從而實施盜竊。而“掃號”則不同,不法分子批量竊取成百上千戶居民家中的各類鑰匙,一旦你家某扇門與批量鑰匙中的一把匹配,那麼不法分子就能從批量鑰匙中試探出開�你家大門的那一把。實為自動批量登錄工具掃號軟件究竟是一個怎麼樣的軟件?360資深安全專家安揚向記者揭開其真實面目。“說白了,掃號軟件其實就是個自動批量登錄工具。”安揚解釋,“由於很多網站被黑客盜取用戶密碼庫,如此前的CSDN、天涯等多網站用戶數據泄露事件,而且有不少網友習慣在不同網站設置相同的註冊郵箱和密碼,掃號軟件就是利用網站泄露的數據庫,針對QQ、微博、電商、遊戲等平台進行自動批量登錄操作,找到能夠成功登錄的賬號。”舉例來說,CSDN網站數據庫泄露了600余萬個註冊郵箱和密碼,其中包括很多QQ郵箱註冊用戶。黑客想知道這些QQ號是否使用了和CSDN相同的密碼,逐個手工驗證是非常麻煩的,於是就會使用掃號軟件自動嘗試登錄,把能夠成功登錄的QQ號全部掃出來。“一般來說,掃號器都是針對某個網站或程序製作的,比如對QQ的掃號器,對微博的掃號器,對淘寶、京東等電商網站的掃號器。”而根據網站防範措施的不同,掃號器的技術含量和製作成本也有很大差別。[專家建議]網銀、電商賬戶應單獨設密碼360安全專家安揚呼籲,用戶應保持個人電腦系統安全,清除木馬等潛在風險。“網銀、電商、證券交易、常用郵箱、聊天賬戶等涉及財產和隱私安全的賬戶,應單獨設置密碼,可以避免被掃號軟件登錄賬號。儘量使用‘字母+數字+特殊符號’形式的高強度密碼,字母可區分大小寫,特殊符號可使用電腦鍵盤數字鍵上的那些字符。”他建議,網友可以按照賬戶重要程度對密碼進行分級管理,密碼越重要,強度也要越高,且重要賬戶應定期更換密碼。“避免用生日、姓名拼音、手機號碼等與身份相關的信息作為密碼,因為黑客針對特定目標破解密碼時,往往首先試探此類信息。”[記者體驗]通過掃號軟件真能成功登錄他人賬戶數據文件倉確但無法登錄為了一窺“掃號軟件”的真面目,記者進入名為“掃號器數據互換交流群”的QQ群中,並聯繫到了賣家“小何”,提出要購買淘寶主題的掃號器,對方開價500元,並附贈一個數據包。付款後,對方很快通過QQ發來一個近9000個賬密的數據包文本文檔和“阿里和淘寶曬密1.03”掃號器。按照賣家示範的操作步驟,記者開始親自“掃號”。幾分鐘後操作完畢,8971個賬號中有183個顯示“淘寶登錄成功”,並明文顯示賬戶密碼。不過記者發現用其中的一些賬號並不能成功登錄淘寶,而是出現了“您的賬戶可能被盜用,暫時限制使用,請按步驟自助開通”的頁面提示,頁面跳轉後顯示需要手機接收並通過驗證碼。購“一手數據”後成功登錄當記者質疑為什麼掃號軟件顯示“淘寶登錄成功”的號卻不能在淘寶網上順利登錄時,賣家說因為這些數據都是二手數據,“都是我昨天掃過的,淘寶大概是檢測到了風險所以被寫了保護。”記者於是又以300元的價格從賣家“小何”手中買了1萬個“一手數據”。還是同樣的掃號器,同樣的方式。這一次,10131個號全部經由掃號器“掃號”,其中112個號顯示“淘寶登錄成功”並被記錄在自動生成的“綜合結果”文本文檔。粗覽這些數據,記者發現密碼大多比較簡單,疑似生日密碼或是姓名拼音的結合占據了大多數,還有的竟然和登錄名相差無幾。記者通過各種方式與其中的一些用戶取得聯繫,在徵得對方同意後,當面嘗試用賬號和密碼登錄淘寶,結果發現能夠成功登錄並能查看所有信息,包括個人資料、交易記錄、收貨地址等。綁定郵箱、手機都能改在一位用戶的淘寶頁面中,記者通過“綁定支付寶設置”選項直接進入其支付寶賬號。0元支付寶和數千元的餘額寶餘額都在主頁顯眼位置顯示,餘額數字後面就是“轉賬”選項。記者試圖點擊“轉賬”,選擇轉出至其綁定的銀行卡,又在“到賬時間”的兩個選項——“次日到賬(使用電腦轉出)”和“2小時到賬(使用手機轉出)”中勾選了前者。頁面繼而提示“您是數字證書用戶,但本台電腦尚未安裝證書”。按提示,記者開始了安裝數字證書的第一步操作:需要輸入綁定手機上發送的驗證碼,因為綁定的還是用戶自己的手機,記者點擊了手機號碼後的“更換號碼”選項。此時頁面跳轉到“人工處理”,填寫修改手機號碼申請單:“我們會將申請單發送至您的郵箱”,並附有該用戶綁定的郵箱。記者修改綁定郵箱。而這次,沒有任何驗證要求就彈出“修改郵箱地址”對話框,附加提醒“此郵箱僅作為本次聯繫使用”。當記者填寫完自己的郵箱並點擊“發送郵件”後,順利收到發來的驗證郵件,點擊郵件中的鏈接便跳轉到修改手機號的頁面,頁面顯示“輸入新手機號碼”。至此,記者只需要輸入新的手機號,就能替換掉原本綁定的手機號。■支付寶解釋“掃號”+其他信息泄露才可能轉賬成功通過掃號軟件,是否就能成功修改綁定的手機和郵箱,繼而轉走賬戶內的資金呢?記者就此聯繫了支付寶公關部經理朱健。朱健表示,支付寶被“掃號”的情況確實存在,自己也有所耳聞。他解釋:“可能是用戶在一些有風險的小網站上泄露了賬號密碼,並且用同樣的賬號密碼綁定了支付寶,從而被不法分子試驗到並企圖利用。”他說:“我們的支付寶是雙密碼設置(登錄密碼和支付密碼),還有層層數字證書、手機校驗等關卡,不法分子想要通過‘掃號’轉移資金沒那麼容易。 ”對於用戶被“掃號”的情況,朱健解釋,不法分子雖然能夠替換掉用戶的綁定手機和郵箱,但在轉賬時,還需要輸入支付寶支付密碼,“支付寶是雙密碼設置,而一些用戶被破解的是登錄密碼,因此支付密碼還是相對安全的。除非他其他的個人信息也被騙子掌握了,進一步替換掉了他的個人身份信息及支付密碼,才有可能轉賬成功。 ”朱健表示,“我們有一個實時風險監控系統,每天進行1.2億次行為監控,能夠偵測絕大多數非正常行為並予以實時處理,一旦發現異常,會通過發送校驗碼或凍結賬戶方式進行確認。 ”存倉
創作者介紹
創作者 sgusers4的部落格 的頭像
sgusers4

sgusers4的部落格

sgusers4 發表在 痞客邦 留言(0) 人氣( 3 )