风险预警｜​大型票务网站用户密码遭泄露，导致用户被骗超百万！

“撞库”密码泄露？？？看完文章，你或许知道该怎么做

“撞库“风波，数十用户被骗超百万！

”撞库“这里就不科普了，知道通过本次事件广大网民需安全意识增强，厂商需提高安全门槛即可。知名票务网站被“撞库”，用户密码遭泄露，导致用户被骗超百万，今天被京华时报、法制晚报、新京报等各媒体连续刷屏：网友微博爆料称遭自称“某票务网工作人员”的电话诈骗，被骗走7.6万元。记者采访获悉，据此票务网站统计，目前已有39名用户被骗，损失达147.42万元……

其实类似这样的事情不是第一次了，为什么还会有这么多民众屡遭骗局呢？莫非骗术更了得？还是逆天的技术手段？先来看看这次的网上案例

被骗故事再现，风险预警

“客服”准确说出订单，声称误升级了VIP

某票务网站用户一位女士反映，3日晚9点半，她接到此票务网客服4006103721打来的电话，“电话里对方准确地说出了我订单的详细信息，我就没怀疑”，随后对方称此网站后台误给此女士升级了“VIP”服务，将会在当日扣除该女士部分会员费，该女士表明要取消该服务。对方表示，稍后将会有银行职员致电她，“指导”她进行相关操作。

5分钟后，一个显示为“+95599”的电话打了进来，对方自称某银行职员，要求该女士前往ATM机进行操作。通过一令一步的操作，对方分两次转走了该女士三张银行卡内的7.6万元，“没想到让我输入的验证码数字就是转账金额”。

该女士称，对方又以解冻账户为由，要求她再存入5万元。该女士给家人打电话拿钱，经家人提醒发现自己被骗，该女士立即到当地派出所报警。该女士说，目前她已在微博上与28名在近期被骗的此票务网用户取得了联系，获悉诈骗者均能准确说出受害人订单及身份证号等信息，由此怀疑此票务网泄露了用户信息。

“父亲的丧葬费都被骗走了”

另据新京报报道，一位成都受骗者表示，“此票务网员工”打过两次电话。第一次因自己在日本度假，未理睬。第二次适逢回国，诸事繁杂，无心思考，被骗6287元。

另一位成都受骗者则将父亲的丧葬费赔了进去，“本来想给父亲买个好一点的墓地，现在被骗了，也不敢让家人知道。”她表示，此案目前也由成都公安锦江分局受理。

故事摘自：南方都市报公众号

解疑释惑

仔细看故事，不难发现，骗术并非想象中逆天，技术手段也只是障眼法，上面段落两处我用酒红色标出来了。这年头伪造110的都有，伪造银行来电对于一些行业并不成技术难点，就算厂商与系统做得再完美，也总有薄弱环节（何况没有绝对的安全），而这次的薄弱环节则是大众的安全意识问题，才让诈骗师们趁虚而入。

针对本次事件，安小妹找腾讯云安全的资深技术研究者做了个简单粗暴的采访：

小安

数十用户被骗超百万，作为腾讯资深技术研究者对广大网民有什么好的建议呢？

技术GG

核心问题在于大家的安全警觉性，当然不是指被害妄想症，然后就是，在不同地方设置不同的密码，一个弱密行天下很有可能下一个故事主角就是你了。

小安

好的安小妹明白了，那这是针对广大网民，那厂商方面呢？能支些什么招吗？

技术GG

像这次的问题网上说的是”撞库“，那主要也就是需要针对登录场景做一定保护，像腾讯云安全推出的「天御」，在这一方面能做的是：通过在登录页面接入 JS，对登录环节进行实时监测，对用户登录行为、帐号、IP 等综合判定登录风险程度，实时打击撞库等恶意登录行为。

小安

噢噢，也就是就算密码被泄露，也可以对用户与厂商做一个双向保护，对吧？那么防患于未然，除了本次事件，面对不太平的互联网如果厂商提升安全门槛后，还将面临哪些常见的问题呢？

技术GG

解决用户帐户安全问题之后，如何识别注册的用户中那些是正常人注册，也是很关键的，那些自动机水军注册对网站的长期运营非常重要，而上边提到的「天御」能打击自动机注册帐号行为，抵御水军注册能够有效的保证网站内容的整洁，活动不被刷等一系列问题。

小安

是呀是呀，不说厂商有多困恼，就连我们普通网民每次想去活动网站买票，票若被刷走，买张 Bigbang 的票都超级贵超级困难呢 :(

So？ 怎么做    

从来都没有绝对的安全，面对薄弱环节，到底如何对待，才能不让他人趁虚而入？

厂商：从根本上重视安全问题，不断提高被入侵以及被破坏的门槛。

网民：加强密码管理，养成勤改密码、杜绝弱密码、不同地方不同密码的习惯。

知乎上有很多密码管理、保护相关的文章，还有一些密码管理的软件，安小妹就不一一推荐了，毕竟认识的一些技术人员对于这些软件也不信任，直接自己写个加密程序。

或者你有什么有趣的密码小窍门想分享给大家，也可以直接留言，当然，悄悄告诉我也可以~

这是一篇乐于助人的文章 :)