 掃號軟件可能威脅淘寶、支付寶用戶安全 /晨報記者 肖允 晨報記者 王亦菲 實習生 裴小絗 “掃號”三步走 1 “黑客”盜取數據包 掃號群里叫賣的數據包括淘寶、支付寶、郵箱、百度貼吧、微博、游戲等的賬號密碼。一名賣家透露,自己數據的終極來源是黑客。 2 “掃”數據獲取賬密 打開掃號軟件,點擊 “導入賬號”,打開買來的數據包后,軟件自動進行匹配。運行過程中,賬號、密碼明文顯示。 “過濾登錄狀態”欄顯示“淘寶登錄成功”,則表示通過了掃號器的驗證,是正確的賬號密碼。 3 登錄賬戶盜取資金 掃號結束,用獲取的賬號、密碼登錄淘寶賬戶。如果被入侵用戶還有其他個人信息遭泄露,其賬戶資金安全可能受到威脅。 “雙11”剛走,“雙12”又來,在一個接一個的促銷誘惑下,網民們不斷向支付寶賬戶充值。而里面大量的資金,正成為不法分子最渴望的獵物。晨報記者經數周調查發現,有一些不法分子通過黑客買來用戶數據,再將其輸入專門設計的“掃號軟件”,便能輕而易舉入侵用戶的支付寶賬戶,進而轉移資金,或者進行其他類型的犯罪。 支付寶綁定銀行卡被盜刷 家住寶山的周先生就是“掃號軟件”的受害者。11月10日23時40分到23時44分,短短4分鐘內,他的工商銀行(601398,股吧)儲蓄卡被人通過支付寶盜刷3萬元。經查,周先生的支付寶賬號和密碼被不法分子盜取,此后不法分子又通過定向快捷支付方式,將周先生支付寶綁定的工行卡內資金盜刷。 支付寶調查發現,不僅用戶的支付寶密碼被盜,所綁定的銀行卡卡號、戶名等相關信息也被盜。而支付寶賬戶被盜的原因,很可能是周先生在其他網站、論壇使用了同樣的賬戶密碼,被不法分子利用了,進行了“掃號”。 與一般點對點的“盜號”直接獲取目標賬戶密碼不同,“掃號”是通過曲折迂回方式獲得賬戶密碼。打個比方,一個人的賬戶、密碼就好比家里的大門和鑰匙,“盜號”就是不法分子盯上了你,一心一意竊取你家的鑰匙從而實施盜竊。而“掃號”則不同,不法分子批量竊取成百上千戶居民家中的各類鑰匙,一旦你家某扇門與批量鑰匙中的一把匹配,那么不法分子就能從批量鑰匙中試探出開啟你家大門的那一把。 實為自動批量登錄工具 掃號軟件究竟是一個怎么樣的軟件?360資深安全專家安揚向記者揭開其真實面目。 “說白了,掃號軟件其實就是個自動批量登錄工具。”安揚解釋,“由于很多網站被黑客盜取用戶密碼庫,如此前的CSDN、天涯等多網站用戶數據泄露事件,而且有不少網友習慣在不同網站設置相同的注冊郵箱和密碼,掃號軟件就是利用網站泄露的數據庫,針對QQ、微博、電商、游戲等平臺進行自動批量登錄操作,找到能夠成功登錄的賬號。” 舉例來說,CSDN網站數據庫泄露了600余萬個注冊郵箱和密碼,其中包括很多QQ郵箱注冊用戶。黑客想知道這些QQ號是否使用了和CSDN相同的密碼,逐個手工驗證是非常麻煩的,于是就會使用掃號軟件自動嘗試登錄,把能夠成功登錄的QQ號全部掃出來。 “一般來說,掃號器都是針對某個網站或程序制作的,比如對QQ的掃號器,對微博的掃號器,對淘寶、京東等電商網站的掃號器。”而根據網站防范措施的不同,掃號器的技術含量和制作成本也有很大差別。 [專家建議] 網銀、電商賬戶應單獨設密碼 360安全專家安揚呼吁,用戶應保持個人電腦系統安全,清除木馬等潛在風險。“網銀、電商、證券交易、常用郵箱、聊天賬戶等涉及財產和隱私安全的賬戶,應單獨設置密碼,可以避免被掃號軟件登錄賬號。盡量使用"字母+數字+特殊符號"形式的高強度密碼,字母可區分大小寫,特殊符號可使用電腦鍵盤數字鍵上的那些字符。” 他建議,網友可以按照賬戶重要程度對密碼進行分級管理,密碼越重要,強度也要越高,且重要賬戶應定期更換密碼。“避免用生日、姓名拼音、手機號碼等與身份相關的信息作為密碼,因為黑客針對特定目標破解密碼時,往往首先試探此類信息。” [記者體驗] 通過掃號軟件真能成功登錄他人賬戶 數據正確但無法登錄 為了一窺“掃號軟件”的真面目,記者進入名為“掃號器數據互換交流群”的QQ群中,并聯系到了賣家“小何”,提出要購買淘寶主題的掃號器,對方開價500元,并附贈一個數據包。 付款后,對方很快通過QQ發來一個近9000個賬密的數據包文本文檔和“阿里和淘寶曬密1.03”掃號器。按照賣家示范的操作步驟,記者開始親自“掃號”。幾分鐘后操作完畢,8971個賬號中有183個顯示“淘寶登錄成功”,并明文顯示賬戶密碼。不過記者發現用其中的一些賬號并不能成功登錄淘寶,而是出現了“您的賬戶可能被盜用,暫時限制使用,請按步驟自助開通”的頁面提示,頁面跳轉后顯示需要手機接收并通過驗證碼。 購“一手數據”后成功登錄 當記者質疑為什么掃號軟件顯示“淘寶登錄成功”的號卻不能在淘寶網上順利登錄時,賣家說因為這些數據都是二手數據,“都是我昨天掃過的,淘寶大概是檢測到了風險所以被寫了保護。”記者于是又以300元的價格從賣家“小何”手中買了1萬個“一手數據”。 還是同樣的掃號器,同樣的方式。這一次,10131個號全部經由掃號器“掃號”,其中112個號顯示“淘寶登錄成功”并被記錄在自動生成的“綜合結果”文本文檔。 粗覽這些數據,記者發現密碼大多比較簡單,疑似生日密碼或是姓名拼音的結合占據了大多數,還有的竟然和登錄名相差無幾。 記者通過各種方式與其中的一些用戶取得聯系,在征得對方同意后,當面嘗試用賬號和密碼登錄淘寶,結果發現能夠成功登錄并能查看所有信息,包括個人資料、交易記錄、收貨地址等。 綁定郵箱、手機都能改 在一位用戶的淘寶頁面中,記者通過“綁定支付寶設置”選項直接進入其支付寶賬號。0元支付寶和數千元的余額寶余額都在主頁顯眼位置顯示,余額數字后面就是“轉賬”選項。 記者試圖點擊“轉賬”,選擇轉出至其綁定的銀行卡,又在“到賬時間”的兩個選項—“次日到賬(使用電腦轉出)”和“2小時到賬(使用手機轉出)”中勾選了前者。頁面繼而提示“您是數字證書用戶,但本臺電腦尚未安裝證書”。 按提示,記者開始了安裝數字證書的第一步操作:需要輸入綁定手機上發送的驗證碼,因為綁定的還是用戶自己的手機,記者點擊了手機號碼后的“更換號碼”選項。此時頁面跳轉到“人工處理”,填寫修改手機號碼申請單:“我們會將申請單發送至您的郵箱”,并附有該用戶綁定的郵箱。 記者修改綁定郵箱。而這次,沒有任何驗證要求就彈出“修改郵箱地址”對話框,附加提醒“此郵箱僅作為本次聯系使用”。當記者填寫完自己的郵箱并點擊“發送郵件”后,順利收到發來的驗證郵件,點擊郵件中的鏈接便跳轉到修改手機號的頁面,頁面顯示“輸入新手機號碼”。至此,記者只需要輸入新的手機號,就能替換掉原本綁定的手機號。 支付寶解釋 “掃號”+其他信息泄露才可能轉賬成功 通過掃號軟件,是否就能成功修改綁定的手機和郵箱,繼而轉走賬戶內的資金呢?記者就此聯系了支付寶公關部經理朱健。 朱健表示,支付寶被“掃號”的情況確實存在,自己也有所耳聞。他解釋:“可能是用戶在一些有風險的小網站上泄露了賬號密碼,并且用同樣的賬號密碼綁定了支付寶,從而被不法分子試驗到并企圖利用。”他說:“我們的支付寶是雙密碼設置(登錄密碼和支付密碼),還有層層數字證書、手機校驗等關卡,不法分子想要通過"掃號"轉移資金沒那么容易。 ” 對于用戶被“掃號”的情況,朱健解釋,不法分子雖然能夠替換掉用戶的綁定手機和郵箱,但在轉賬時,還需要輸入支付寶支付密碼,“支付寶是雙密碼設置,而一些用戶被破解的是登錄密碼,因此支付密碼還是相對安全的。除非他其他的個人信息也被騙子掌握了,進一步替換掉了他的個人身份信息及支付密碼,才有可能轉賬成功。 ” 朱健表示,“我們有一個實時風險監控系統,每天進行1.2億次行為監控,能夠偵測絕大多數非正常行為并予以實時處理,一旦發現異常,會通過發送校驗碼或凍結賬戶方式進行確認。 ” |
|
|
來自: sc009 > 《■■網購安全■■》
