国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

掃號(hào)軟件可能威脅淘寶、支付寶用戶安全 /晨報(bào)記者 肖允

　　晨報(bào)記者 王亦菲 實(shí)習(xí)生 裴小絗

　　“掃號(hào)”三步走

　　1 “黑客”盜取數(shù)據(jù)包

　　掃號(hào)群里叫賣的數(shù)據(jù)包括淘寶、支付寶、郵箱、百度貼吧、微博、游戲等的賬號(hào)密碼。一名賣家透露，自己數(shù)據(jù)的終極來源是黑客。

　　2 “掃”數(shù)據(jù)獲取賬密

　　打開掃號(hào)軟件，點(diǎn)擊 “導(dǎo)入賬號(hào)”，打開買來的數(shù)據(jù)包后，軟件自動(dòng)進(jìn)行匹配。運(yùn)行過程中，賬號(hào)、密碼明文顯示。 “過濾登錄狀態(tài)”欄顯示“淘寶登錄成功”，則表示通過了掃號(hào)器的驗(yàn)證，是正確的賬號(hào)密碼。

　　3 登錄賬戶盜取資金

　　掃號(hào)結(jié)束，用獲取的賬號(hào)、密碼登錄淘寶賬戶。如果被入侵用戶還有其他個(gè)人信息遭泄露，其賬戶資金安全可能受到威脅。

　　“雙11”剛走，“雙12”又來，在一個(gè)接一個(gè)的促銷誘惑下，網(wǎng)民們不斷向支付寶賬戶充值。而里面大量的資金，正成為不法分子最渴望的獵物。晨報(bào)記者經(jīng)數(shù)周調(diào)查發(fā)現(xiàn)，有一些不法分子通過黑客買來用戶數(shù)據(jù)，再將其輸入專門設(shè)計(jì)的“掃號(hào)軟件”，便能輕而易舉入侵用戶的支付寶賬戶，進(jìn)而轉(zhuǎn)移資金，或者進(jìn)行其他類型的犯罪。

　　支付寶綁定銀行卡被盜刷

　　家住寶山的周先生就是“掃號(hào)軟件”的受害者。11月10日23時(shí)40分到23時(shí)44分，短短4分鐘內(nèi)，他的工商銀行(601398,股吧)儲(chǔ)蓄卡被人通過支付寶盜刷3萬元。經(jīng)查，周先生的支付寶賬號(hào)和密碼被不法分子盜取，此后不法分子又通過定向快捷支付方式，將周先生支付寶綁定的工行卡內(nèi)資金盜刷。

　　支付寶調(diào)查發(fā)現(xiàn)，不僅用戶的支付寶密碼被盜，所綁定的銀行卡卡號(hào)、戶名等相關(guān)信息也被盜。而支付寶賬戶被盜的原因，很可能是周先生在其他網(wǎng)站、論壇使用了同樣的賬戶密碼，被不法分子利用了，進(jìn)行了“掃號(hào)”。

　　與一般點(diǎn)對(duì)點(diǎn)的“盜號(hào)”直接獲取目標(biāo)賬戶密碼不同，“掃號(hào)”是通過曲折迂回方式獲得賬戶密碼。打個(gè)比方，一個(gè)人的賬戶、密碼就好比家里的大門和鑰匙，“盜號(hào)”就是不法分子盯上了你，一心一意竊取你家的鑰匙從而實(shí)施盜竊。而“掃號(hào)”則不同，不法分子批量竊取成百上千戶居民家中的各類鑰匙，一旦你家某扇門與批量鑰匙中的一把匹配，那么不法分子就能從批量鑰匙中試探出開啟你家大門的那一把。

　　實(shí)為自動(dòng)批量登錄工具

　　掃號(hào)軟件究竟是一個(gè)怎么樣的軟件？360資深安全專家安揚(yáng)向記者揭開其真實(shí)面目。

　　“說白了，掃號(hào)軟件其實(shí)就是個(gè)自動(dòng)批量登錄工具?！卑矒P(yáng)解釋，“由于很多網(wǎng)站被黑客盜取用戶密碼庫，如此前的CSDN、天涯等多網(wǎng)站用戶數(shù)據(jù)泄露事件，而且有不少網(wǎng)友習(xí)慣在不同網(wǎng)站設(shè)置相同的注冊(cè)郵箱和密碼，掃號(hào)軟件就是利用網(wǎng)站泄露的數(shù)據(jù)庫，針對(duì)QQ、微博、電商、游戲等平臺(tái)進(jìn)行自動(dòng)批量登錄操作，找到能夠成功登錄的賬號(hào)?！?/p>

　　舉例來說，CSDN網(wǎng)站數(shù)據(jù)庫泄露了600余萬個(gè)注冊(cè)郵箱和密碼，其中包括很多QQ郵箱注冊(cè)用戶。黑客想知道這些QQ號(hào)是否使用了和CSDN相同的密碼，逐個(gè)手工驗(yàn)證是非常麻煩的，于是就會(huì)使用掃號(hào)軟件自動(dòng)嘗試登錄，把能夠成功登錄的QQ號(hào)全部掃出來。

　　“一般來說，掃號(hào)器都是針對(duì)某個(gè)網(wǎng)站或程序制作的，比如對(duì)QQ的掃號(hào)器,對(duì)微博的掃號(hào)器,對(duì)淘寶、京東等電商網(wǎng)站的掃號(hào)器?！倍鶕?jù)網(wǎng)站防范措施的不同，掃號(hào)器的技術(shù)含量和制作成本也有很大差別。

　　[專家建議]

　　網(wǎng)銀、電商賬戶應(yīng)單獨(dú)設(shè)密碼

　　360安全專家安揚(yáng)呼吁，用戶應(yīng)保持個(gè)人電腦系統(tǒng)安全，清除木馬等潛在風(fēng)險(xiǎn)。“網(wǎng)銀、電商、證券交易、常用郵箱、聊天賬戶等涉及財(cái)產(chǎn)和隱私安全的賬戶，應(yīng)單獨(dú)設(shè)置密碼，可以避免被掃號(hào)軟件登錄賬號(hào)。盡量使用"字母+數(shù)字+特殊符號(hào)"形式的高強(qiáng)度密碼，字母可區(qū)分大小寫，特殊符號(hào)可使用電腦鍵盤數(shù)字鍵上的那些字符?！?/p>

　　他建議，網(wǎng)友可以按照賬戶重要程度對(duì)密碼進(jìn)行分級(jí)管理，密碼越重要，強(qiáng)度也要越高，且重要賬戶應(yīng)定期更換密碼?！氨苊庥蒙?、姓名拼音、手機(jī)號(hào)碼等與身份相關(guān)的信息作為密碼，因?yàn)楹诳歪槍?duì)特定目標(biāo)破解密碼時(shí)，往往首先試探此類信息?！?/p>

　　[記者體驗(yàn)]

　　通過掃號(hào)軟件真能成功登錄他人賬戶

　　數(shù)據(jù)正確但無法登錄

　　為了一窺“掃號(hào)軟件”的真面目，記者進(jìn)入名為“掃號(hào)器數(shù)據(jù)互換交流群”的QQ群中，并聯(lián)系到了賣家“小何”，提出要購(gòu)買淘寶主題的掃號(hào)器，對(duì)方開價(jià)500元，并附贈(zèng)一個(gè)數(shù)據(jù)包。

　　付款后，對(duì)方很快通過QQ發(fā)來一個(gè)近9000個(gè)賬密的數(shù)據(jù)包文本文檔和“阿里和淘寶曬密1.03”掃號(hào)器。按照賣家示范的操作步驟，記者開始親自“掃號(hào)”。幾分鐘后操作完畢，8971個(gè)賬號(hào)中有183個(gè)顯示“淘寶登錄成功”，并明文顯示賬戶密碼。不過記者發(fā)現(xiàn)用其中的一些賬號(hào)并不能成功登錄淘寶，而是出現(xiàn)了“您的賬戶可能被盜用，暫時(shí)限制使用，請(qǐng)按步驟自助開通”的頁面提示，頁面跳轉(zhuǎn)后顯示需要手機(jī)接收并通過驗(yàn)證碼。

　　購(gòu)“一手?jǐn)?shù)據(jù)”后成功登錄

　　當(dāng)記者質(zhì)疑為什么掃號(hào)軟件顯示“淘寶登錄成功”的號(hào)卻不能在淘寶網(wǎng)上順利登錄時(shí)，賣家說因?yàn)檫@些數(shù)據(jù)都是二手?jǐn)?shù)據(jù)，“都是我昨天掃過的，淘寶大概是檢測(cè)到了風(fēng)險(xiǎn)所以被寫了保護(hù)。”記者于是又以300元的價(jià)格從賣家“小何”手中買了1萬個(gè)“一手?jǐn)?shù)據(jù)”。

　　還是同樣的掃號(hào)器，同樣的方式。這一次，10131個(gè)號(hào)全部經(jīng)由掃號(hào)器“掃號(hào)”，其中112個(gè)號(hào)顯示“淘寶登錄成功”并被記錄在自動(dòng)生成的“綜合結(jié)果”文本文檔。

　　粗覽這些數(shù)據(jù)，記者發(fā)現(xiàn)密碼大多比較簡(jiǎn)單，疑似生日密碼或是姓名拼音的結(jié)合占據(jù)了大多數(shù)，還有的竟然和登錄名相差無幾。

　　記者通過各種方式與其中的一些用戶取得聯(lián)系，在征得對(duì)方同意后，當(dāng)面嘗試用賬號(hào)和密碼登錄淘寶，結(jié)果發(fā)現(xiàn)能夠成功登錄并能查看所有信息，包括個(gè)人資料、交易記錄、收貨地址等。

　　綁定郵箱、手機(jī)都能改

　　在一位用戶的淘寶頁面中，記者通過“綁定支付寶設(shè)置”選項(xiàng)直接進(jìn)入其支付寶賬號(hào)。0元支付寶和數(shù)千元的余額寶余額都在主頁顯眼位置顯示，余額數(shù)字后面就是“轉(zhuǎn)賬”選項(xiàng)。

　　記者試圖點(diǎn)擊“轉(zhuǎn)賬”，選擇轉(zhuǎn)出至其綁定的銀行卡，又在“到賬時(shí)間”的兩個(gè)選項(xiàng)—“次日到賬（使用電腦轉(zhuǎn)出）”和“2小時(shí)到賬（使用手機(jī)轉(zhuǎn)出）”中勾選了前者。頁面繼而提示“您是數(shù)字證書用戶，但本臺(tái)電腦尚未安裝證書”。

　　按提示，記者開始了安裝數(shù)字證書的第一步操作：需要輸入綁定手機(jī)上發(fā)送的驗(yàn)證碼，因?yàn)榻壎ǖ倪€是用戶自己的手機(jī)，記者點(diǎn)擊了手機(jī)號(hào)碼后的“更換號(hào)碼”選項(xiàng)。此時(shí)頁面跳轉(zhuǎn)到“人工處理”，填寫修改手機(jī)號(hào)碼申請(qǐng)單：“我們會(huì)將申請(qǐng)單發(fā)送至您的郵箱”，并附有該用戶綁定的郵箱。

　　記者修改綁定郵箱。而這次，沒有任何驗(yàn)證要求就彈出“修改郵箱地址”對(duì)話框，附加提醒“此郵箱僅作為本次聯(lián)系使用”。當(dāng)記者填寫完自己的郵箱并點(diǎn)擊“發(fā)送郵件”后，順利收到發(fā)來的驗(yàn)證郵件，點(diǎn)擊郵件中的鏈接便跳轉(zhuǎn)到修改手機(jī)號(hào)的頁面，頁面顯示“輸入新手機(jī)號(hào)碼”。至此，記者只需要輸入新的手機(jī)號(hào)，就能替換掉原本綁定的手機(jī)號(hào)。

　　支付寶解釋

　　“掃號(hào)”+其他信息泄露才可能轉(zhuǎn)賬成功

　　通過掃號(hào)軟件，是否就能成功修改綁定的手機(jī)和郵箱，繼而轉(zhuǎn)走賬戶內(nèi)的資金呢？記者就此聯(lián)系了支付寶公關(guān)部經(jīng)理朱健。

　　朱健表示，支付寶被“掃號(hào)”的情況確實(shí)存在，自己也有所耳聞。他解釋：“可能是用戶在一些有風(fēng)險(xiǎn)的小網(wǎng)站上泄露了賬號(hào)密碼，并且用同樣的賬號(hào)密碼綁定了支付寶，從而被不法分子試驗(yàn)到并企圖利用?！彼f：“我們的支付寶是雙密碼設(shè)置（登錄密碼和支付密碼），還有層層數(shù)字證書、手機(jī)校驗(yàn)等關(guān)卡，不法分子想要通過"掃號(hào)"轉(zhuǎn)移資金沒那么容易。 ”

　　對(duì)于用戶被“掃號(hào)”的情況，朱健解釋，不法分子雖然能夠替換掉用戶的綁定手機(jī)和郵箱，但在轉(zhuǎn)賬時(shí)，還需要輸入支付寶支付密碼，“支付寶是雙密碼設(shè)置，而一些用戶被破解的是登錄密碼，因此支付密碼還是相對(duì)安全的。除非他其他的個(gè)人信息也被騙子掌握了，進(jìn)一步替換掉了他的個(gè)人身份信息及支付密碼，才有可能轉(zhuǎn)賬成功。 ”

　　朱健表示，“我們有一個(gè)實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)控系統(tǒng)，每天進(jìn)行1.2億次行為監(jiān)控，能夠偵測(cè)絕大多數(shù)非正常行為并予以實(shí)時(shí)處理，一旦發(fā)現(xiàn)異常，會(huì)通過發(fā)送校驗(yàn)碼或凍結(jié)賬戶方式進(jìn)行確認(rèn)。 ”