丢号又丢钱?网警蜀黍教你如何防范“撞库”风险

2017年03月30日 11:52 新浪综合
微博 微信 空间 分享 添加喜爱

  来源:财经网

  最近,央视曝光了一起离奇的电信诈骗案件。受害者既没有接到不明电话或短信,手机也没有中毒,账户里的钱莫名其妙地就被人全部盗刷。

  据了解,受害人丁小姐既没有收到诈骗电话,也没有点击带有钓鱼链接的短信。案发当天,受害人丁小姐接收到两条短信,一条显示她在银行预留的手机号被更改,另一条是运营商发来的短信过滤和短信保管业务提示,随后丁小姐查询自己银行账户发现卡内的十万多元分成三次被转走。

  随着调查的深入,民警发现这是违法分子使用“撞库”手段扫描用户登录服务型网站时的登录密码所造成的案件。在获得相匹配的手机号码和密码之后,犯罪嫌疑人会去登录各大银行的网银账户,一旦登录成功,离转账只差输入动态密码一个环节了。然后,犯罪嫌疑人使用改号器拨打运营商的客服电话,客服端就会显示被害人的手机号码,之后就能成功申请短信过滤和保险箱功能,此时被害人就无法收到银行发来的动态密码短信。然后,犯罪嫌疑人就能提取动态密码,实施转账。

  但互联网的发展,也给社会带来不必要的麻烦。网络诈骗花样翻新、层出不穷。比如,日前,最高检、公安部联合挂牌督办的21起电信网络诈骗犯罪案件,除1起仍处于侦查阶段外,其余20起案件已批准逮捕7件481人,移送审查起诉9件564人,判决4件53人,就是最明显的例证。

  毫无疑问,网络管理仍需要继续加强,网络技术需要不断完善与提高。如果有一天你发现,从网站买到的视频网站VIP账号竟然就是自己丢失的VIP账号,或者自己的网盘资料被清空还塞满了别人的资料,或许就是被“撞库”了。

  所谓撞库,就是以人们此前被盗各类账户信息建立字典表,尝试批量登录,就能得到正确的用户名与密码。据专家介绍,“撞库”利用的正是人们会使用相同的用户名和密码注册账号的习惯。黑客在互联网上搜集人们已经泄露的邮箱密码、QQ密码、各类网站账户密码等个人信息数据,建立包含用户名和密码在内的“社工库”。然后运用软件的自动登录功能,将“社工库”中的用户名和密码在微信上不停地尝试登录。每起撞库事件,可能包含有上千次的登录尝试。只要有一次匹配成功,就可以进入系统。

  在次之前,很多类似事件就在互联网上发生过。2014年12月25日,12306网站用户信息在互联网上疯传。随后,12306官方网站称,网上泄露的用户信息系经其他网站或渠道流出。该批数据基本确认为黑客通过“撞库攻击”所获得。

  2015年6月,嘉兴平湖某犯罪团伙利用手中已有的非淘宝用户帐号,对淘宝进行了9900多万次比对尝试,其中2059万个账号被发现同时还是淘宝账户。网络黑产比对成功后,曾尝试利用其他平台密码登录,即为“撞库”。

  此外,曾有多名百度云用户也现自己的账号被盗,一夜之间网盘内所存的大量文件消失,有的甚至被塞满黄片。事后发现是嫌疑人兼职做“黑客”,一年间购买和免费获取账户密码信息近3000万条,网购撞库软件将这些信息批量登录百度账户,筛出正确账号密码50余万条,并将有现金的账号在网上出售,获利5万余元。 

  另外魅族手机也发生过此类事件。此前大量魅族手机用户反映,Flyme系统账号被无故锁定,通过魅族官网召回被提示账号不存在,想要解锁只能联系锁屏下方的联系人,显然是恶意敲诈。魅族发布公告表示,监控数据显示,在这段期间内,在某固定IP地址下,有人使用已经匹配好的用户名和密码组合频繁在Flyme系统中尝试登录,经技术人员确认,这是一次恶意撞库行为,即违法分子通过收集互联网中已泄露的用户和密码信息,尝试登录系统以达到盗号目的。

  电商购物、社交、邮箱等等账户都成为黑客黑产的眼中肉,而更加令人震惊的是,目前在社工库网站收录显示,已公开的泄漏的帐号密码至少20亿组!

  专家提醒,随着技术的发展,网络犯罪形态也在不断发生变化,个人信息在黑色产业链里可以迅速转变成金钱。黑客“撞库”获得财产类账号账户及密码,经过身份证信息和手机号码“撞库”匹配之后,极有可能通过伪造用户身份证办理手机号码补卡后,利用补办的用户手机号码,修改用户财产账户安全设置,盗取用户账户内的财产。黑客也会将一些“撞库”匹配出的账户、密码、使用人身份信息、手机号码、QQ及密码等信息出售给诈骗集团,诈骗集团利用这些信息对受害人实施诈骗,往往使得受害人信以为真,造成财产损失。

  因此,网络用户一定要加强个人信息的自我保护意识,身份证号等隐私信息尽量不要随便填写,对于银行卡、电子邮箱、微信等不同账户,尽量不要设置相同的密码,以免因为注册习惯的问题,给黑客利用撞库技术盗取账号留下可乘之机。

  网络上一名网警蜀黍也给出了一些警示,教用户如何防范“撞库”:

  1、别一样:随着使用的账号越来越多,为了方便,大家往往会使用相同密码,其实这是一个隐患。建议:

  如果做不到一号一码的情况下,起码为财产类账号和娱乐类账号各设置一个密码,财产类的要复杂点,安全级别高级点;

  发挥自己的聪明才智,设计自己密码,如:选择自己生活中最常用的数字和字母,在方便自己记忆的情况下,打乱顺序编制密码;

  不要轻易在网上暴露自己的常用密保邮箱、手机号码、身份信息,不要轻信一些来路不明的网站,为了注册账号提供自己的个人信息;

  2、别乱插:财产类账号千万不要在网吧等公用电脑登陆,U盾也别乱插,万一染上病毒就惨了。

  3、别乱连:登录有财产类账号的手持设备,如手机、平板电脑等,不要连接公共WIFI,黑客有可能利用公共WIFI实施“钓鱼”,窃取用户的账户信息;

  4、别乱点:现在微信公众号以及各种稀奇古怪的APP应用中,经常有人以“集赞”、“送礼”“发红包”等形式搞活动,切记,凡是要你输入常用账号、密码的,千万不要轻信,不要扫描陌生的二维码,避免被黑客植入木马程序;

  5、别乱给:从公布信息看,12306用户信息泄露还有一关也被黑客突破了,就是验证码。关于这个验证码大家千万要保存好,特别是手机动态验证码,无论如何别给其他人。你别不信,这东西在网上也能卖钱;

  6、别出台:不管你在哪个官方平台消费,事后有人以各种借口要你点击非官方链接重新操作的,要万分小心。“出台”交易是很危险的!

  7、升级账号安全等级: 每个平台在账号安全设置上都有相关安全提醒,也要省出时间把账号的安全等级设置到最高。

  8、别怕麻烦: 安全和便捷是博弈的。安全级别越高,用户体验感就会变差。好比你希望你家不进小偷,装5扇防盗门肯定保险,但是你高兴每次回家都掏出5把钥匙一扇扇开门?所以,不要怕麻烦,比如支付宝用自己安装安全证书的电脑、手机登陆,只要输入密码,可是用别人的登陆就要短信验证等一系列升级要求,不要怕麻烦四处安装自己的安全证书。

  9、及时报案,留存证据:一旦遭遇网络诈骗,一定要及时报案,清楚反映自己受骗的过程,保存自己受骗时的QQ、微信、手机短信等记录,便于网警蜀黍及时分析罪犯的犯案手法,追踪罪犯轨迹;

推荐阅读
聚焦
关闭评论