微博点赞突然“放飞自我”,是因为账号密码遭黑客“撞库”攻击。 /晨报记者 张佳琪
见习记者 吴艺璇
[身边案例]
网银被破,钱款被盗
2015年9月16日清晨,丁小姐起床后发现手机上有两条短信,提示称其已开通短信过滤和短信保管业务。为保险起见,丁小姐查询了自己的银行账户,发现账户里原有的10.4万余元余额已不翼而飞。
丁小姐遂向警方报案。公安机关经全力侦查,于2015年11月27日,在海南将童某等4名电信诈骗团伙成员抓获。
随着该团伙的落网,这种新型的电信诈骗模式也浮出水面。原来,从2015年9月起,童某使用从非法渠道获得的公民个人信息,与唐某一起对这些数据进行切割、整理,保留其中的移动电话号码、身份证号、密码等内容。随后,童某租用,使用专门的扫号软件,用整理出的个人信息作为网银登录名和密码进行自动匹配,用俗称的“撞库”方式,选取登录名和密码正确的信息,登录被害人网银账户。
但要实现网银转账仍需短信验证码,为此,童某等人使用变号软件用被害人的电话号码拨打通信运营公司客服电话,以被害人名义为其开通短信助手业务,增设短信过滤、短信保管、短信转移等功能。最终,银行发来的短信验证码被童某等人截获。突破最后的防线后,童某等人登录到被害人网上银行主页,输入截取的转账验证码,轻而易举将被害人银行卡账户中的存款被转账到他们所控制的账户内。
法院经审理查明,2015年8月29日至9月21日期间,童某和唐某从7名被害人的账户中转账或消费人民币172万余元。
日前,上海市黄浦区人民法院对这起新型电信诈骗案作出一审判决,童某等三名被告人构成侵犯公民个人信息罪及信用卡诈骗罪,数罪并罚,被判处有期徒刑九年至十六年不等,并处罚金10万元至26万元不等;辛某构成侵犯公民个人信息罪,被判处有期徒刑四年,并处罚金4万元。
微博账号莫名点赞
“朋友问我最近在微博上是不是‘放飞自我’了,我才赶紧打开自己的点赞列表,惊吓到了。”一个月前,苏琪(化名)发现自己的微博账号在莫名地给别人点赞,“我赞的微博,我自己却没见过。”看过自己赞过的内容后,苏琪只想用“令人作呕”来形容……
充斥在点赞列表里的,是满屏的服饰类广告、性病广告、淫秽色情资源广告。
起初苏琪怀疑是自己“手滑”赞到了,但平时不追星的她,连明星的名字都对不上号,更没有关注他们,怎么可能不小心点到赞呢?
然而,苏琪微博上无故点赞的数量有增无减,频率越来越高。“一小时几十条,多的时候几百条都有。”她很确定这些赞都不是自己点的。
为此,苏琪更换过几次密码,可乱点赞的频率却有增无减。她只好每隔一小时就登录微博,手动将点赞列表里赞过的微博逐一取消。
苏琪去网上搜索“微博乱点赞”这一话题,搜出了一堆“同病相怜”的网友。她从网友那里得知,成为微博会员可能会有好转,可她尝试过后并不奏效。
几天后,她又从网友那学来一招,利用微博的“微盾保护”功能将账号锁定。可账号一旦锁定,除浏览微博之外,不能使用发表、评论、转发等功能。点赞虽消停了,但麻烦仍然在,“要登录了,就要解锁一次,退出再锁定,而且一天内的锁定次数有限定。”
“我决定弃号了,蛮可惜的。”苏琪的耐心终于被磨光了,她删掉了记录了好几年的微博。
微博回应:用户遭黑客“撞库”攻击
那么,到底是谁操控了我们点赞的拇指?
记者从微博市场渠道部了解到,这些用户们遭到了黑客的攻击,黑客利用“撞库”的手段盗取用户的账号信息,再用这些盗来的账号进行点赞、关注等行为,或将用户信息卖给负责刷赞涨粉一类业务的公司。
“用户经常会遇到一个提示,您的微博账号在某段时间在某地被登录,建议您修改密码。”微博相关负责人表示,这意味着该账户存在安全隐患,如果该用户基本上不使用微博,那么此账号基本上可以说是被盗了。
对于为什么用户多次更改密码问题仍未解决,该负责人则表示:“会有避免不了的问题。当前网络安全形势非常严峻,微博也会根据网友的反馈和意见不断优化提升我们的用户体验。”
记者看到,微博管理员官方账号每月都会发布“违规涨粉账户处理公告”,经过技术分析发现部分用户利用微博及第三方平台涨粉,盗取用户授权进行而已强制加关注等违规行为。在5月23日公布出的公告上显示,四月份违规涨粉账户共涉及9196个,涉及关系链超过3.9亿。这些被处理的账号中,有1561个账号被清理了所有的垃圾粉丝和违规粉丝,而这些“粉丝”部分来自那些账户被盗的用户们。
安全专家:切忌所有平台设置同一密码
有20年从业经验的网络安全专家刘嵩称,“撞库”是黑客惯用的盗取信息的手段,黑客通过互联网已泄露的用户和密码信息,试探性地利用该密码信息在其他网站登录,从而得到一系列可以登录的用户。
刘嵩表示,被攻击的往往都是那些安全性能比较差的账户,而用户在不同网站使用相同密码,账户被盗对于新浪这种安全性能较高的平台来说,也无能为力。
刘嵩提醒,用户之所以被盗,首先是用户注册的平台多了,往往会设置相同的密码,这给黑客的“撞库”手段提供了便利。
目前,许多用户名可以直接采用用户的邮箱、手机号,刘嵩认为,这给黑客提供了“渗透攻击”的机会。黑客一旦登录了用户的邮箱,用户的身份证、银行卡信息都会被泄漏。
“其他账号丢了,损失不是很大,还可以找回密码。钱包密码丢了,就玩大了。”另一位业内人士表示,后续的问题更令人头痛:“比如黑客在京东白条借钱不还,会影响信誉,影响贷款。”
刘嵩提醒用户,尽量避免在不同互联网平台使用同样的账户密码。此外,为自己的电脑装上杀毒软件,防止黑客入侵盗取用户信息。而最为关键的是,要做到密码足够复杂,并且妥善保管,不能向任何人泄露。而为防范“撞库”可能带来的风险,对于不同的网站,应使用不同的密码,尤其是不能与网银密码相同。
关于银行账号,刘嵩特别提醒一旦发现手机出现异常情况,应及时查明原因,必要时挂失银行卡。其次,电信运营商在为客户办理业务,应加强对用户身份的验证,并梳理短信过滤、保管等增值业务存在的潜在风险,不给犯罪分子可乘之机。同时,银行应推广使用更为安全的U盾、动态密码器等验证方式。