你的資訊被撞庫了嗎? 小心洩露致傾家蕩産
- 發佈時間:2015-06-02 09:00:08 來源:新華網 責任編輯:羅伯特
密碼是16位英文數字混合的一段話,而且除了事主沒有別人知道,使用的電腦手機也沒有中毒,可是支付寶賬號中的32萬元卻不翼而飛!罪魁禍首是撞庫。撞庫是駭客最常用的竊取個人資訊的手法,近年來,大規模的個人身份泄漏已經發生多起,個人資訊安全問題已經刻不容緩。
“撞庫”撞出13萬個人資訊 個人資訊泄漏問題愈演愈烈
這就是網上流傳的被洩露的個人資訊,這份用戶資料有131653個,包含用戶的姓名、手機號碼、註冊用的郵箱,甚至連身份證號碼也一應俱全。
在一家大型網路安全公司裏,網際網路安全工程師萬仁國告訴記者,這次洩露的數據很大的可能是撞庫。那麼,什麼是撞庫呢?所謂的撞庫是駭客最常用的竊取個人資訊的手法,也就是駭客通過收集網路上已洩露的用戶名及密碼資訊到其他網站嘗試批量登錄,得到一批可以登錄的用戶賬號及密碼,並由此盜取更多的個人資訊。
你的資訊被撞庫了嗎? 小心洩露致傾家蕩産
網上流傳的被洩露的個人資訊,這份用戶資料有131653個,包含用戶的姓名、手機號碼、註冊用的郵箱,甚至連身份證號碼也一應俱全
果然,在網路安全工程師的演示中,輕而易舉地就登錄了12306網站上的用戶賬戶。這是序號排在30220到30222之間的三個人名,張某某、李某、劉某,記者注意到,技術人員嘗試用他們已經洩露出來的賬號和密碼,非常容易地就成功登錄12306網站,並且還可以進一步看到他們的其他隱私資訊。讓人感到震驚的是這一份數據庫其實已經洩露了很長時間。
你的資訊被撞庫了嗎? 小心洩露致傾家蕩産
圖片説明:工程師嘗試用撞庫的辦法 輕而易舉地就登陸了泄漏資訊中的用戶賬戶
網際網路安全工程師萬仁國:比如説陳鶴的這個姓名、身份證號所購買的車次,以及手機號這些資訊都是可以通過這個賬號登錄獲取到的,那麼在獲取到之後,這個資訊在地下二次轉賣,轉賣之後他們就可以拿著這些資訊去做欺詐。
如此大量的個人詳細資料外泄,顯然會造成嚴重後果,不僅用戶的火車票會被退票,還可能會被犯罪分子利用來進行詐騙。
萬仁國:所以我們就看到有很多人在買完這個,比如説高鐵的火車票之後,他們收到高鐵出票失敗,需要退款的這樣一個短信通知,會要求去聯繫一個所謂的400電話號碼,如果輕信了這條短信,去撥打這個客服電話,就會陷入它這個陷阱的。而且在這個短信裏面,它能夠很清楚的把你的購買的車次、姓名、身份證號全都説出來,會很容易上人覺得這是一個來自12306官方的這麼一個短信通知。
萬仁國告訴記者,像這樣大規模的個人資訊洩露,在2014年已經發生了很多起。一旦這些資訊被駭客盜取,在網路上盜刷銀行卡消費都將易如反掌。2014年3月攜程網系統出現技術漏洞,導致用戶個人資訊,銀行卡CVV安全碼資訊洩露,2014年5月小米論壇被報損失用戶資料洩露,涉及800萬小米論壇註冊用戶,隨後小米公司相關負責人確認,數據洩露事件確有發生。到了2014年下半年資訊洩露事件愈演愈烈,8月多家快遞網站因存在漏洞遭駭客入侵,有1400萬條個人資訊在網路上被層層轉賣。到了12月更是接連出現智聯招聘86萬用戶簡歷資訊洩露,東方航空大量用戶訂單資訊洩露和12306火車訂票網站被人撞庫等等事件。
支付寶內32萬元不翼而飛!論壇漏洞成幫兇
2014年4月23日,一名男子行色匆匆地走進蘇州市公安局婁葑派出所報案。報案人講,他的支付寶賬戶被竊賊盯上了,在連續10天的時間裏,錢款不斷被人轉走,損失巨大。
蘇州工業園區公安分局網路警察大隊民警李榛:他這個公司沒有收到任何的資訊,也不知道為什麼這裡面的錢就被人轉走了,一共32萬。
你的資訊被撞庫了嗎? 小心洩露致傾家蕩産
報案人稱自己公司的支付寶賬戶被人盜取了32萬元
辦案民警首先詢問是不是這個賬戶密碼被周圍人知道了。據報案人透露,平日裏他的警惕性很高,不光賬戶使用人只有他一個,而且設定的密碼等級也非常高,是非常複雜的16個字符很難被別人猜到。
李榛:按他負責人的話來説,這個密碼是非常複雜的,而且沒有明顯特徵的一個密碼,用英文和數字寫的一段話。這個密碼他從來沒有告訴過任何人,連他的財務,公司的員工都不知道。
如果賬戶不是被周圍人獲知的密碼,那錢又是怎麼被偷走的呢?警方懷疑是不是報案人的手機或電話中的病毒,如果真是這樣,竊賊在後臺是有可能做到不聲不響地把錢轉走的。在警方的電子政務勘驗鑒定中心,辦案人員對報案人的手機、電腦硬碟以及曾經使用過的筆記型電腦做了檢查。結果卻發現裏面並沒有木馬病毒。
李榛:我們把他的這個使用支付寶賬戶的電腦拿過來做了一下技術分析,排除了在電腦裏面被植入木馬或者病毒的可能性,那麼也排除了他的支付寶賬戶密碼,因為他個人使用的原因被盜的可能。
你的資訊被撞庫了嗎? 小心洩露致傾家蕩産
然而通過技術分析 辦案人員在報案人的手機和電腦內卻沒有發現木馬病毒排除了因為他個人使用的原因被盜的可能。
手機、電腦裏沒有密碼病毒,賬戶名和密碼也只有報案人一個人知道,但卻發生了數十萬錢款被盜,這究竟是怎麼回事,竊賊是用什麼方法做到的呢?這時警方開始調整偵查方向,向支付寶公司提出協助調查要求,追查資金流向。
根據要求,支付寶公司向警方提供了受害人賬戶的詳細資料。這是一份受害人資金被轉走的部分記錄,從中能夠看到,僅4月15日18點30分,到16日16點48分,一天時間裏就有10筆轉出記錄,有的還發生在淩晨4、5點鐘,從每筆轉賬金額來看,轉出的錢很零散,好幾筆還是1999元,顯然是在有意規避風險,而接收方的賬戶更是奇怪,竟然不是一個人。
你的資訊被撞庫了嗎? 小心洩露致傾家蕩産
支付寶公司向警方提供了受害人賬戶的詳細資料
支付寶公司風險管理部安全人員朱健:根據支付寶公司給我們提供的資料,我們發現支付寶賬戶的錢,從4月13日到4月23日一共11天的時間,那麼是分230筆向69個支付寶賬戶進行轉賬。
經過細緻的排查,警方鎖定了嫌疑人取款地點在湖南省永州的道縣,在調取了銀行監控錄影後警方發現,一名男子使用好幾張銀行卡頻繁提取現金,而這些銀行卡正是被警方列為重點懷疑的對象。經過大量賬號比對,警方鎖定住了這名男子的身份,並確定這名男子有重大作案嫌疑。隨後湖南永州道縣警方找到了嫌疑人何某某,並開始了調查。在警方出示的大量證據面前,何某某心理防線被突破了,意識到已經隱瞞不住開始交待作案過程。
你的資訊被撞庫了嗎? 小心洩露致傾家蕩産
在調取了銀行監控錄影後警方發現 一名男子使用好幾張銀行卡頻繁提取現金而這些銀行卡正是被警方列為重點懷疑的對象
犯罪嫌疑人何某某:看著支付的公司,支付寶上的錢有6萬多左右,那錢每次來,過一會就有錢來過一會就有錢來。
犯罪嫌疑人何某某是一名吸毒人員,因為吸毒需要大量錢財,於是他通過非法手段,以兩角錢一個的價格向別人購買了上百個賬號和密碼,在永州道縣網吧及賓館裏偷偷進入到別人的支付寶賬戶。當進入到這家蘇州的公司賬戶時,何某某發現裏面的欠款正不斷進出,於是他就用自己和親友的身份證號,銀行卡號,以及一個鄭某某的假身份資訊註冊了大量支付寶賬戶,在10天時間裏轉走了32萬元錢。
何某某:兩角錢一個,一次買了100個。
警方工作人員:100個什麼東西呢?
何某某:全是那個賬號。全是支付寶的賬號密碼。
李榛:他一共向他的上家購買了一百張支付寶的賬戶,那麼他一個一個去試,一個一個去盜,最終在我們這個賬戶上找到了很多的錢,所以他就停下來其他賬戶盜取的工作,一門心思在這個賬戶上盜錢。
民航業成個人資訊安全重災區 遇到退票改簽短信需警惕!
2014年1月中旬,家住深圳市寶安區的李女士,通過深圳航空公司的官網給自己的媽媽訂了一張1月19日從鄭州到深圳的機票,就在起飛的前一天李女士收到了一條提示短信:您預定的航班因飛機故障已經被取消,收到短信後與本公司聯繫,為您辦理退票或改簽。短信還特別註明,退票的話是全額退款,並多退200元,如果改簽就要收取20元工本費。短信的結尾還留下了一個400—852—XXXX的聯繫電話。
你的資訊被撞庫了嗎? 小心洩露致傾家蕩産
原本定好的機票在出發前卻發生了變故李女士收到提示短信稱她預定的航班取消 需要她聯繫退票改簽
航班取消,著急前往目的地的李女士選擇了改簽機票,於是,李女士按照短信裏留下的號碼,撥打了這個以400開頭的客服電話,對方告訴他,改簽需要支付20元的工本費,但必須得去ATM機轉賬,這個要求讓李女士感到有些蹊蹺。
李女士:我説那我到櫃員機可以嗎?就是到他們人工幫我轉一下,他説不行,他説你必須到ATM機。
因為著急改簽機票李女士也沒多想,趕緊去了家附近的ATM機。他説你先輸入密碼進去,進去以後,你點那個轉賬,點了轉賬以後,他就報了一個他們的賬戶。
要轉賬當然要輸入對方的銀行賬號這不奇怪,不過接下來,電話那頭的要求讓李女士再次感覺到了蹊蹺,對方要求李女士報一下自己銀行卡裏的餘額。
李女士:我説你問這個餘額是幹什麼的,他説我這個餘額是要錄音,保證我們顧客所謂的信用度還是什麼的。
查詢信用度李女士相信了這個理由,如實告訴對方自己卡裏有30460元的餘額,隨後對方讓李女士在轉賬金額一欄裏輸入一個6位數字代碼028980。
李女士:我就説那個零我輸入不進去,他説那你就直接把那個零先去掉,直接輸28980就行了,就這樣的數,我説你這個是轉賬金額啊。他説不是的,你輸吧,我們這邊已經收到你所謂的什麼信號了,我們系統已經有回執了,你現在點了以後,我這邊扣費成功了,然後我就點了確認,發現是轉賬金額轉過去。
點完確認,李女士才發現自己上當了。
李女士:這個時候我聽見騙子那邊電話裏把我的銀行卡密碼報出來了,我就知道被騙了,我就趕緊報警。
原來騙子先是問清楚了李女士銀行卡裏的餘額,然後編造了一個數字代碼的詞,目的就是騙取李女士卡裏的餘額,為了迷惑李女士,騙子要求的這個數額28980故意低於李女士的30460的餘額數,而且還讓她在這個數額前面加個0,變成028980,猛一眼看起來還真像是個什麼代碼。就這樣李女士眼睜睜的看著自己的28980元被騙走了。
李女士:氣啊,火大啊,就是肺都要氣炸了。
“涉嫌毒品交易”需轉款至“安全賬戶”?這是騙局!
2013年3月3日,建設銀行來了一位女客戶。
中國建設銀南京曉山路儲蓄所櫃員張荻:遇到匯款的時候,我們要進行三問兩看一核對,然後呢當時她過來的時候,所以我就正常問她認不認識對方,然後她當時一開始是不願意回答我任何問題的。
張荻:你是她什麼人?跟你講,你不要被詐騙了,這個錢是做什麼用的?這個錢給她是做什麼用的?
女客戶:我轉給她用的。
張荻:我知道你轉給他,這個錢是做什麼用的?
張荻:是遠房的表妹,然後説,然後她金額比較大,5萬8。但是她跟我講説是匯給她是隨便用的。我覺得這樣的話就是,不太符合正常人的邏輯,所以我就留意了。然後我再問她多的問題的時候,她就不願意跟我交流了。
張荻:你小心被詐騙,我幫你轉過去了,你自己要確定要轉的話我就轉了。
這位客戶終於説,公安局給她打電話,説她的賬號涉嫌販毒了,她必須把錢匯到指定的賬戶上洗刷清白。
女客戶:她讓我轉給她的。
張荻:她讓你轉給她的,她説是什麼錢?
女客戶:她説讓打到她賬戶上的。
張荻:你確不確認她就是這個人,你認識這個人。
女客戶:不認識。
張荻:你不認識。然後騙你説是不是你卡被盜用,被盜用然後説有什麼運費,有毒品什麼東西還是?
女客戶:恩。
張荻:騙人的。騙子。
銀行的工作人員在努力勸阻,但是這女客戶就是不聽。
張荻:這是騙子知道吧,沒關係不要理他。5萬7呢。
女客戶:他怎麼知道我們家所有資訊。
張荻:他當然知道你們家所有資訊,他不知道你們家所有資訊他怎麼騙你呢。
你的資訊被撞庫了嗎? 小心洩露致傾家蕩産
銀行工作人員正在努力勸阻客戶向騙子轉款
在此期間,騙子不停打電話,女客戶不知如何是好。
女客戶:他又來電話了。
張荻:他騙你有毒品,就是這種騙子特別多,我跟你講。
女客戶:什麼毒品,我沒有整毒品。他叫我在銀行裏面有欠款,説被盜用了3萬塊錢。
張荻:你接,你接説是派出所。你説你就是公安,本地的公安,你問他什麼事。
銀行人員在電話裏警告了騙子説,他的騙局已經被識破了,騙子就挂斷電話,再也沒打了。
女客戶:謝謝啊。
張荻:沒事,沒事,沒關係。沒關係。沒被騙走就行了。
銀行的內保部門的負責人告訴記者,電信詐騙案件近幾年呈上升的勢頭,這些騙子騙人的理由也越來越多。
中國建設銀行南京大廠支行安全保衛部經理林國忠:中獎了。
央視財經《經濟半小時》記者:中大獎了。
林國忠:中獎了,要讓他交稅,然後再給他返回更多的現金,這個錢。第二個就是冒充朋友借用,有什麼急用,給我匯點錢。
記者:我看除此之外還有冒充法院凍結賬戶的,還有冒充。
林國忠:公安機關。
記者:説可能你的賬戶涉嫌洗錢的。
林國忠:對。
半小時觀察:個人資訊洩露亟待立法“亮劍”
騙子盯上個人資訊,就是要利用掌握的這些個人資訊,或盜取、或詐騙,來達到侵害財産的不法目的。從剛才的幾個具體案例中可以發現,巨大的經濟利益是我國個人資訊安全面臨風險的直接原因。在網路經濟的大背景下,用戶的個人資訊是電子商務、網路遊戲、網路支付、網路行銷等各類網路活動的基本要素,同時也成為商家競相開發的“金礦”和非法分子牟利的工具。數據顯示,我國每年因資訊詐騙帶來的損失數以億元計,有個別受害者的損失甚至高達數千萬元,且損失數額還有逐年遞增的趨勢。因此,當務之急,是要忙從立法上進行完善,無論是私營企業還是政府部門,只要洩露個人資訊就要為此擔責。從制度層面進行防堵,保護好個人資訊的安全。
(新華網)