免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

掃號軟件可能威脅淘寶、支付寶用戶安全 /晨報記者 肖允

　　晨報記者 王亦菲 實習生 裴小絗

　　“掃號”三步走

　　1 “黑客”盜取數(shù)據(jù)包

　　掃號群里叫賣的數(shù)據(jù)包括淘寶、支付寶、郵箱、百度貼吧、微博、游戲等的賬號密碼。一名賣家透露，自己數(shù)據(jù)的終極來源是黑客。

　　2 “掃”數(shù)據(jù)獲取賬密

　　打開掃號軟件，點擊 “導入賬號”，打開買來的數(shù)據(jù)包后，軟件自動進行匹配。運行過程中，賬號、密碼明文顯示。 “過濾登錄狀態(tài)”欄顯示“淘寶登錄成功”，則表示通過了掃號器的驗證，是正確的賬號密碼。

　　3 登錄賬戶盜取資金

　　掃號結(jié)束，用獲取的賬號、密碼登錄淘寶賬戶。如果被入侵用戶還有其他個人信息遭泄露，其賬戶資金安全可能受到威脅。

　　“雙11”剛走，“雙12”又來，在一個接一個的促銷誘惑下，網(wǎng)民們不斷向支付寶賬戶充值。而里面大量的資金，正成為不法分子最渴望的獵物。晨報記者經(jīng)數(shù)周調(diào)查發(fā)現(xiàn)，有一些不法分子通過黑客買來用戶數(shù)據(jù)，再將其輸入專門設(shè)計的“掃號軟件”，便能輕而易舉入侵用戶的支付寶賬戶，進而轉(zhuǎn)移資金，或者進行其他類型的犯罪。

　　支付寶綁定銀行卡被盜刷

　　家住寶山的周先生就是“掃號軟件”的受害者。11月10日23時40分到23時44分，短短4分鐘內(nèi)，他的工商銀行(601398,股吧)儲蓄卡被人通過支付寶盜刷3萬元。經(jīng)查，周先生的支付寶賬號和密碼被不法分子盜取，此后不法分子又通過定向快捷支付方式，將周先生支付寶綁定的工行卡內(nèi)資金盜刷。

　　支付寶調(diào)查發(fā)現(xiàn)，不僅用戶的支付寶密碼被盜，所綁定的銀行卡卡號、戶名等相關(guān)信息也被盜。而支付寶賬戶被盜的原因，很可能是周先生在其他網(wǎng)站、論壇使用了同樣的賬戶密碼，被不法分子利用了，進行了“掃號”。

　　與一般點對點的“盜號”直接獲取目標賬戶密碼不同，“掃號”是通過曲折迂回方式獲得賬戶密碼。打個比方，一個人的賬戶、密碼就好比家里的大門和鑰匙，“盜號”就是不法分子盯上了你，一心一意竊取你家的鑰匙從而實施盜竊。而“掃號”則不同，不法分子批量竊取成百上千戶居民家中的各類鑰匙，一旦你家某扇門與批量鑰匙中的一把匹配，那么不法分子就能從批量鑰匙中試探出開啟你家大門的那一把。

　　實為自動批量登錄工具

　　掃號軟件究竟是一個怎么樣的軟件？360資深安全專家安揚向記者揭開其真實面目。

　　“說白了，掃號軟件其實就是個自動批量登錄工具?！卑矒P解釋，“由于很多網(wǎng)站被黑客盜取用戶密碼庫，如此前的CSDN、天涯等多網(wǎng)站用戶數(shù)據(jù)泄露事件，而且有不少網(wǎng)友習慣在不同網(wǎng)站設(shè)置相同的注冊郵箱和密碼，掃號軟件就是利用網(wǎng)站泄露的數(shù)據(jù)庫，針對QQ、微博、電商、游戲等平臺進行自動批量登錄操作，找到能夠成功登錄的賬號。”

　　舉例來說，CSDN網(wǎng)站數(shù)據(jù)庫泄露了600余萬個注冊郵箱和密碼，其中包括很多QQ郵箱注冊用戶。黑客想知道這些QQ號是否使用了和CSDN相同的密碼，逐個手工驗證是非常麻煩的，于是就會使用掃號軟件自動嘗試登錄，把能夠成功登錄的QQ號全部掃出來。

　　“一般來說，掃號器都是針對某個網(wǎng)站或程序制作的，比如對QQ的掃號器,對微博的掃號器,對淘寶、京東等電商網(wǎng)站的掃號器?！倍鶕?jù)網(wǎng)站防范措施的不同，掃號器的技術(shù)含量和制作成本也有很大差別。

　　[專家建議]

　　網(wǎng)銀、電商賬戶應單獨設(shè)密碼

　　360安全專家安揚呼吁，用戶應保持個人電腦系統(tǒng)安全，清除木馬等潛在風險?！熬W(wǎng)銀、電商、證券交易、常用郵箱、聊天賬戶等涉及財產(chǎn)和隱私安全的賬戶，應單獨設(shè)置密碼，可以避免被掃號軟件登錄賬號。盡量使用"字母+數(shù)字+特殊符號"形式的高強度密碼，字母可區(qū)分大小寫，特殊符號可使用電腦鍵盤數(shù)字鍵上的那些字符?！?/p>

　　他建議，網(wǎng)友可以按照賬戶重要程度對密碼進行分級管理，密碼越重要，強度也要越高，且重要賬戶應定期更換密碼?！氨苊庥蒙?、姓名拼音、手機號碼等與身份相關(guān)的信息作為密碼，因為黑客針對特定目標破解密碼時，往往首先試探此類信息?！?/p>

　　[記者體驗]

　　通過掃號軟件真能成功登錄他人賬戶

　　數(shù)據(jù)正確但無法登錄

　　為了一窺“掃號軟件”的真面目，記者進入名為“掃號器數(shù)據(jù)互換交流群”的QQ群中，并聯(lián)系到了賣家“小何”，提出要購買淘寶主題的掃號器，對方開價500元，并附贈一個數(shù)據(jù)包。

　　付款后，對方很快通過QQ發(fā)來一個近9000個賬密的數(shù)據(jù)包文本文檔和“阿里和淘寶曬密1.03”掃號器。按照賣家示范的操作步驟，記者開始親自“掃號”。幾分鐘后操作完畢，8971個賬號中有183個顯示“淘寶登錄成功”，并明文顯示賬戶密碼。不過記者發(fā)現(xiàn)用其中的一些賬號并不能成功登錄淘寶，而是出現(xiàn)了“您的賬戶可能被盜用，暫時限制使用，請按步驟自助開通”的頁面提示，頁面跳轉(zhuǎn)后顯示需要手機接收并通過驗證碼。

　　購“一手數(shù)據(jù)”后成功登錄

　　當記者質(zhì)疑為什么掃號軟件顯示“淘寶登錄成功”的號卻不能在淘寶網(wǎng)上順利登錄時，賣家說因為這些數(shù)據(jù)都是二手數(shù)據(jù)，“都是我昨天掃過的，淘寶大概是檢測到了風險所以被寫了保護?！庇浾哂谑怯忠?00元的價格從賣家“小何”手中買了1萬個“一手數(shù)據(jù)”。

　　還是同樣的掃號器，同樣的方式。這一次，10131個號全部經(jīng)由掃號器“掃號”，其中112個號顯示“淘寶登錄成功”并被記錄在自動生成的“綜合結(jié)果”文本文檔。

　　粗覽這些數(shù)據(jù)，記者發(fā)現(xiàn)密碼大多比較簡單，疑似生日密碼或是姓名拼音的結(jié)合占據(jù)了大多數(shù)，還有的竟然和登錄名相差無幾。

　　記者通過各種方式與其中的一些用戶取得聯(lián)系，在征得對方同意后，當面嘗試用賬號和密碼登錄淘寶，結(jié)果發(fā)現(xiàn)能夠成功登錄并能查看所有信息，包括個人資料、交易記錄、收貨地址等。

　　綁定郵箱、手機都能改

　　在一位用戶的淘寶頁面中，記者通過“綁定支付寶設(shè)置”選項直接進入其支付寶賬號。0元支付寶和數(shù)千元的余額寶余額都在主頁顯眼位置顯示，余額數(shù)字后面就是“轉(zhuǎn)賬”選項。

　　記者試圖點擊“轉(zhuǎn)賬”，選擇轉(zhuǎn)出至其綁定的銀行卡，又在“到賬時間”的兩個選項—“次日到賬（使用電腦轉(zhuǎn)出）”和“2小時到賬（使用手機轉(zhuǎn)出）”中勾選了前者。頁面繼而提示“您是數(shù)字證書用戶，但本臺電腦尚未安裝證書”。

　　按提示，記者開始了安裝數(shù)字證書的第一步操作：需要輸入綁定手機上發(fā)送的驗證碼，因為綁定的還是用戶自己的手機，記者點擊了手機號碼后的“更換號碼”選項。此時頁面跳轉(zhuǎn)到“人工處理”，填寫修改手機號碼申請單：“我們會將申請單發(fā)送至您的郵箱”，并附有該用戶綁定的郵箱。

　　記者修改綁定郵箱。而這次，沒有任何驗證要求就彈出“修改郵箱地址”對話框，附加提醒“此郵箱僅作為本次聯(lián)系使用”。當記者填寫完自己的郵箱并點擊“發(fā)送郵件”后，順利收到發(fā)來的驗證郵件，點擊郵件中的鏈接便跳轉(zhuǎn)到修改手機號的頁面，頁面顯示“輸入新手機號碼”。至此，記者只需要輸入新的手機號，就能替換掉原本綁定的手機號。

　　支付寶解釋

　　“掃號”+其他信息泄露才可能轉(zhuǎn)賬成功

　　通過掃號軟件，是否就能成功修改綁定的手機和郵箱，繼而轉(zhuǎn)走賬戶內(nèi)的資金呢？記者就此聯(lián)系了支付寶公關(guān)部經(jīng)理朱健。

　　朱健表示，支付寶被“掃號”的情況確實存在，自己也有所耳聞。他解釋：“可能是用戶在一些有風險的小網(wǎng)站上泄露了賬號密碼，并且用同樣的賬號密碼綁定了支付寶，從而被不法分子試驗到并企圖利用?！彼f：“我們的支付寶是雙密碼設(shè)置（登錄密碼和支付密碼），還有層層數(shù)字證書、手機校驗等關(guān)卡，不法分子想要通過"掃號"轉(zhuǎn)移資金沒那么容易。 ”

　　對于用戶被“掃號”的情況，朱健解釋，不法分子雖然能夠替換掉用戶的綁定手機和郵箱，但在轉(zhuǎn)賬時，還需要輸入支付寶支付密碼，“支付寶是雙密碼設(shè)置，而一些用戶被破解的是登錄密碼，因此支付密碼還是相對安全的。除非他其他的個人信息也被騙子掌握了，進一步替換掉了他的個人身份信息及支付密碼，才有可能轉(zhuǎn)賬成功。 ”

　　朱健表示，“我們有一個實時風險監(jiān)控系統(tǒng)，每天進行1.2億次行為監(jiān)控，能夠偵測絕大多數(shù)非正常行為并予以實時處理，一旦發(fā)現(xiàn)異常，會通過發(fā)送校驗碼或凍結(jié)賬戶方式進行確認。 ”