风险预警|​大型票务网站用户密码遭泄露,导致用户被骗超百万!

“撞库”密码泄露???看完文章,你或许知道该怎么做

“撞库“风波,数十用户被骗超百万!

”撞库“这里就不科普了,知道通过本次事件广大网民需安全意识增强,厂商需提高安全门槛即可。知名票务网站被“撞库”,用户密码遭泄露,导致用户被骗超百万,今天被京华时报、法制晚报、新京报等各媒体连续刷屏:网友微博爆料称遭自称“某票务网工作人员”的电话诈骗,被骗走7.6万元。记者采访获悉,据此票务网站统计,目前已有39名用户被骗,损失达147.42万元……

其实类似这样的事情不是第一次了,为什么还会有这么多民众屡遭骗局呢?莫非骗术更了得?还是逆天的技术手段?先来看看这次的网上案例

被骗故事再现,风险预警

“客服”准确说出订单,声称误升级了VIP

某票务网站用户一位女士反映,3日晚9点半,她接到此票务网客服4006103721打来的电话,“电话里对方准确地说出了我订单的详细信息,我就没怀疑”,随后对方称此网站后台误给此女士升级了“VIP”服务,将会在当日扣除该女士部分会员费,该女士表明要取消该服务。对方表示,稍后将会有银行职员致电她,“指导”她进行相关操作。

5分钟后,一个显示为“+95599”的电话打了进来,对方自称某银行职员,要求该女士前往ATM机进行操作。通过一令一步的操作,对方分两次转走了该女士三张银行卡内的7.6万元,“没想到让我输入的验证码数字就是转账金额”。

该女士称,对方又以解冻账户为由,要求她再存入5万元。该女士给家人打电话拿钱,经家人提醒发现自己被骗,该女士立即到当地派出所报警。该女士说,目前她已在微博上与28名在近期被骗的此票务网用户取得了联系,获悉诈骗者均能准确说出受害人订单及身份证号等信息,由此怀疑此票务网泄露了用户信息。

“父亲的丧葬费都被骗走了”

另据新京报报道,一位成都受骗者表示,“此票务网员工”打过两次电话。第一次因自己在日本度假,未理睬。第二次适逢回国,诸事繁杂,无心思考,被骗6287元。

另一位成都受骗者则将父亲的丧葬费赔了进去,“本来想给父亲买个好一点的墓地,现在被骗了,也不敢让家人知道。”她表示,此案目前也由成都公安锦江分局受理。

故事摘自:南方都市报公众号

解疑释惑

仔细看故事,不难发现,骗术并非想象中逆天,技术手段也只是障眼法,上面段落两处我用酒红色标出来了。这年头伪造110的都有,伪造银行来电对于一些行业并不成技术难点,就算厂商与系统做得再完美,也总有薄弱环节(何况没有绝对的安全),而这次的薄弱环节则是大众的安全意识问题,才让诈骗师们趁虚而入。

针对本次事件,安小妹找腾讯云安全的资深技术研究者做了个简单粗暴的采访:

小安

数十用户被骗超百万,作为腾讯资深技术研究者对广大网民有什么好的建议呢?

技术GG

核心问题在于大家的安全警觉性,当然不是指被害妄想症,然后就是,在不同地方设置不同的密码,一个弱密行天下很有可能下一个故事主角就是你了。

小安

好的安小妹明白了,那这是针对广大网民,那厂商方面呢?能支些什么招吗?

技术GG

像这次的问题网上说的是”撞库“,那主要也就是需要针对登录场景做一定保护,像腾讯云安全推出的「天御」,在这一方面能做的是:通过在登录页面接入 JS,对登录环节进行实时监测,对用户登录行为、帐号、IP 等综合判定登录风险程度,实时打击撞库等恶意登录行为。

小安

噢噢,也就是就算密码被泄露,也可以对用户与厂商做一个双向保护,对吧?那么防患于未然,除了本次事件,面对不太平的互联网如果厂商提升安全门槛后,还将面临哪些常见的问题呢?

技术GG

解决用户帐户安全问题之后,如何识别注册的用户中那些是正常人注册,也是很关键的,那些自动机水军注册对网站的长期运营非常重要,而上边提到的「天御」能打击自动机注册帐号行为,抵御水军注册能够有效的保证网站内容的整洁,活动不被刷等一系列问题。

小安

是呀是呀,不说厂商有多困恼,就连我们普通网民每次想去活动网站买票,票若被刷走,买张 Bigbang 的票都超级贵超级困难呢 :(

So? 怎么做    

从来都没有绝对的安全,面对薄弱环节,到底如何对待,才能不让他人趁虚而入?

厂商:从根本上重视安全问题,不断提高被入侵以及被破坏的门槛。

网民:加强密码管理,养成勤改密码、杜绝弱密码、不同地方不同密码的习惯。

知乎上有很多密码管理、保护相关的文章,还有一些密码管理的软件,安小妹就不一一推荐了,毕竟认识的一些技术人员对于这些软件也不信任,直接自己写个加密程序。

或者你有什么有趣的密码小窍门想分享给大家,也可以直接留言,当然,悄悄告诉我也可以~

这是一篇乐于助人的文章 :)

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2016-07-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏技术小黑屋

关于改善强迫症的一些方法

一直以来我都有强迫症,尤其是毕业工作后,明显地感觉更加严重了。经常反复确认水龙头有没有关,锁门后下楼梯,往往又要上来检查一下是否真的锁上。总是担心天然气气有没有...

1574
来自专栏申龙斌的程序人生

后悔,4年前就该玩这个现金流游戏

2014年就读过《富爸爸、穷爸爸》这本书,还认真做过笔记(https://www.cnblogs.com/speeding/p/3961725.html),当时...

1262
来自专栏程序员的知识天地

程序员幽默:66条让你笑爆肚皮的程序员段子

1、程序猿最烦两件事,第一件事是别人要他给自己的代码写文档,第二件呢?是别人的程序没有留下文档。

1122
来自专栏吉浦迅科技

【应用篇】原来Jetson TX2还能干这个....

加拿大公司Connect Tech开发了一款产品,在一个1U的机架里放置了24片Jetson TX2模组,这些模组通过其 1-Gbit 以太网连接,这些与带有两...

72810
来自专栏知晓程序

好看又好玩!这些优质小程序,让你的周末绝不无聊 | 晓榜 #26

如何能够快速地提取这些信息?这款智能的文字识别小程序,可以帮你识别图片中的文字,解放你的双手。

912
来自专栏服务端技术杂谈

网络渗透那些事儿

本杰明是一个这样的人:三次元现实世界中,他是一个十足的屌丝&Loser,难以找到存在感,没有时尚感、没有朋友,也没有女朋友。

1193
来自专栏PPV课数据科学社区

身为码农,为12306说两句公道话

我曾在淘宝写过一段时间代码,2012年在一家百强民企做电商副总,当时在极为艰苦的条件下带队开发了一个B2C网站,走支付宝和银联支付通道,年营业额千万级(当然实在...

4068
来自专栏GopherCoder

『简书API:jianshu 基于golang -- 用法介绍 (2)』

1922
来自专栏编程坑太多

踢球有球感,其实码农做开发有种感觉叫码感!

PS:┋◆冃.狌.交.伖,释.鲂.压.劦、棑.解.漃.瘼◆ 真 人】视||频. █网.址:wWw. GitHub 。Com◆┋

1072
来自专栏阮一峰的网络日志

每周分享第 25 期

十年前的2008年9月23日,HTC 发布了世界上第一台安卓手机 G1,3.2英寸屏幕,320x480分辨率,256MB内存, 1150mAh电池,并带有一个实...

1173

扫码关注云+社区