網上設同一密碼易遭黑客「撞庫」盜號

自己的微博賬號無故給人點贊；　從未與犯罪分子有過任何接觸，可銀行卡里的存款仍被轉入犯罪分子的銀行賬戶……這都不是聳人聽聞，而是發生在我們身邊的真實案例。 因為我們的賬號遭到了黑客的「撞庫」攻擊。「撞庫」是什麼意思？黑客又是如何操控？我們又該如何防範？

微博點贊突然「放飛自我」，是因為賬號密碼遭黑客「撞庫」攻擊。　/晨報記者　張佳琪

見習記者　吳藝璇

[身邊案例]

網銀被破，錢款被盜

2015年9月16日清晨，丁小姐起床後發現手機上有兩條簡訊，提示稱其已開通簡訊過濾和簡訊保管業務。為保險起見，丁小姐查詢了自己的銀行賬戶，發現賬戶里原有的10.4萬餘元餘額已不翼而飛。

丁小姐遂向警方報案。公安機關經全力偵查，於2015年11月27日，在海南將童某等4名電信詐騙團伙成員抓獲。

隨著該團伙的落網，這種新型的電信詐騙模式也浮出水面。原來，從2015年9月起，童某使用從非法渠道獲得的公民個人信息，與唐某一起對這些數據進行切割、整理，保留其中的行動電話號碼、身份證號、密碼等內容。隨後，童某租用伺服器，使用專門的掃號軟體，用整理出的個人信息作為網銀登錄名和密碼進行自動匹配，用俗稱的「撞庫」方式，選取登錄名和密碼正確的信息，登錄被害人網銀賬戶。

但要實現網銀轉賬仍需簡訊驗證碼，為此，童某等人使用變號軟體用被害人的電話號碼撥打通信運營公司客服電話，以被害人名義為其開通簡訊助手業務，增設簡訊過濾、簡訊保管、簡訊轉移等功能。最終，銀行發來的簡訊驗證碼被童某等人截獲。突破最後的防線後，童某等人登錄到被害人網上銀行主頁，輸入截取的轉賬驗證碼，輕而易舉將被害人銀行卡賬戶中的存款被轉賬到他們所控制的賬戶內。

法院經審理查明，2015年8月29日至9月21日期間，童某和唐某從7名被害人的賬戶中轉賬或消費人民幣172萬餘元。

日前，上海市黃浦區人民法院對這起新型電信詐騙案作出一審判決，童某等三名被告人構成侵犯公民個人信息罪及信用卡詐騙罪，數罪併罰，被判處有期徒刑九年至十六年不等，並處罰金10萬元至26萬元不等；辛某構成侵犯公民個人信息罪，被判處有期徒刑四年，並處罰金4萬元。

微博賬號莫名點贊

「朋友問我最近在微博上是不是『放飛自我』了，我才趕緊打開自己的點贊列表，驚嚇到了。」一個月前，蘇琪（化名）發現自己的微博賬號在莫名地給別人點贊，「我贊的微博，我自己卻沒見過。」看過自己贊過的內容後，蘇琪只想用「令人作嘔」來形容……

充斥在點贊列表裡的，是滿屏的服飾類廣告、性病廣告、淫穢色情資源廣告。

起初蘇琪懷疑是自己「手滑」贊到了，但平時不追星的她，連明星的名字都對不上號，更沒有關注他們，怎麼可能不小心點到贊呢？

然而，蘇琪微博上無故點贊的數量有增無減，頻率越來越高。「一小時幾十條，多的時候幾百條都有。」她很確定這些贊都不是自己點的。

為此，蘇琪更換過幾次密碼，可亂點贊的頻率卻有增無減。她只好每隔一小時就登錄微博，手動將點贊列表裡贊過的微博逐一取消。

蘇琪去網上搜索「微博亂點贊」這一話題，搜出了一堆「同病相憐」的網友。她從網友那裡得知，成為微博會員可能會有好轉，可她嘗試過後並不奏效。

幾天後，她又從網友那學來一招，利用微博的「微盾保護」功能將賬號鎖定。可賬號一旦鎖定，除瀏覽微博之外，不能使用發表、評論、轉發等功能。點贊雖消停了，但麻煩仍然在，「要登錄了，就要解鎖一次，退出再鎖定，而且一天內的鎖定次數有限定。」

「我決定棄號了，蠻可惜的。」蘇琪的耐心終於被磨光了，她刪掉了記錄了好幾年的微博。

微博回應：用戶遭黑客「撞庫」攻擊

那麼，到底是誰操控了我們點贊的拇指？

記者從微博市場渠道部了解到，這些用戶們遭到了黑客的攻擊，黑客利用「撞庫」的手段盜取用戶的賬號信息，再用這些盜來的賬號進行點贊、關注等行為，或將用戶信息賣給負責刷贊漲粉一類業務的公司。

「用戶經常會遇到一個提示，您的微博賬號在某段時間在某地被登錄，建議您修改密碼。」微博相關負責人表示，這意味著該賬戶存在安全隱患，如果該用戶基本上不使用微博，那麼此賬號基本上可以說是被盜了。

對於為什麼用戶多次更改密碼問題仍未解決，該負責人則表示：「會有避免不了的問題。當前網路安全形勢非常嚴峻，微博也會根據網友的反饋和意見不斷優化提升我們的用戶體驗。」

記者看到，微博管理員官方賬號每月都會發布「違規漲粉賬戶處理公告」，經過技術分析發現部分用戶利用微博及第三方平台漲粉，盜取用戶授權進行而已強制加關注等違規行為。在5月23日公布出的公告上顯示，四月份違規漲粉賬戶共涉及9196個，涉及關係鏈超過3.9億。這些被處理的賬號中，有1561個賬號被清理了所有的垃圾粉絲和違規粉絲，而這些「粉絲」部分來自那些賬戶被盜的用戶們。

安全專家：切忌所有平台設置同一密碼

有20年從業經驗的網路安全專家劉嵩稱，「撞庫」是黑客慣用的盜取信息的手段，黑客通過互聯網已泄露的用戶和密碼信息，試探性地利用該密碼信息在其他網站登錄，從而得到一系列可以登錄的用戶。

劉嵩表示，被攻擊的往往都是那些安全性能比較差的賬戶，而用戶在不同網站使用相同密碼，賬戶被盜對於新浪這種安全性能較高的平台來說，也無能為力。

劉嵩提醒，用戶之所以被盜，首先是用戶註冊的平台多了，往往會設置相同的密碼，這給黑客的「撞庫」手段提供了便利。

目前，許多用戶名可以直接採用用戶的郵箱、手機號，劉嵩認為，這給黑客提供了「滲透攻擊」的機會。黑客一旦登錄了用戶的郵箱，用戶的身份證、銀行卡信息都會被泄漏。

「其他賬號丟了，損失不是很大，還可以找回密碼。錢包密碼丟了，就玩大了。」另一位業內人士表示，後續的問題更令人頭痛：「比如黑客在京東白條借錢不還，會影響信譽，影響貸款。」

劉嵩提醒用戶，盡量避免在不同互聯網平台使用同樣的賬戶密碼。此外，為自己的電腦裝上殺毒軟體，防止黑客入侵盜取用戶信息。而最為關鍵的是，要做到密碼足夠複雜，並且妥善保管，不能向任何人泄露。而為防範「撞庫」可能帶來的風險，對於不同的網站，應使用不同的密碼，尤其是不能與網銀密碼相同。

關於銀行賬號，劉嵩特別提醒一旦發現手機出現異常情況，應及時查明原因，必要時掛失銀行卡。其次，電信運營商在為客戶辦理業務，應加強對用戶身份的驗證，並梳理簡訊過濾、保管等增值業務存在的潛在風險，不給犯罪分子可乘之機。同時，銀行應推廣使用更為安全的U盾、動態密碼器等驗證方式。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！