“撞库”密码泄露???看完文章,你或许知道该怎么做
“撞库“风波,数十用户被骗超百万!
”撞库“这里就不科普了,知道通过本次事件广大网民需安全意识增强,厂商需提高安全门槛即可。知名票务网站被“撞库”,用户密码遭泄露,导致用户被骗超百万,今天被京华时报、法制晚报、新京报等各媒体连续刷屏:网友微博爆料称遭自称“某票务网工作人员”的电话诈骗,被骗走7.6万元。记者采访获悉,据此票务网站统计,目前已有39名用户被骗,损失达147.42万元……
其实类似这样的事情不是第一次了,为什么还会有这么多民众屡遭骗局呢?莫非骗术更了得?还是逆天的技术手段?先来看看这次的网上案例
被骗故事再现,风险预警
“客服”准确说出订单,声称误升级了VIP
某票务网站用户一位女士反映,3日晚9点半,她接到此票务网客服4006103721打来的电话,“电话里对方准确地说出了我订单的详细信息,我就没怀疑”,随后对方称此网站后台误给此女士升级了“VIP”服务,将会在当日扣除该女士部分会员费,该女士表明要取消该服务。对方表示,稍后将会有银行职员致电她,“指导”她进行相关操作。
5分钟后,一个显示为“+95599”的电话打了进来,对方自称某银行职员,要求该女士前往ATM机进行操作。通过一令一步的操作,对方分两次转走了该女士三张银行卡内的7.6万元,“没想到让我输入的验证码数字就是转账金额”。
该女士称,对方又以解冻账户为由,要求她再存入5万元。该女士给家人打电话拿钱,经家人提醒发现自己被骗,该女士立即到当地派出所报警。该女士说,目前她已在微博上与28名在近期被骗的此票务网用户取得了联系,获悉诈骗者均能准确说出受害人订单及身份证号等信息,由此怀疑此票务网泄露了用户信息。
“父亲的丧葬费都被骗走了”
另据新京报报道,一位成都受骗者表示,“此票务网员工”打过两次电话。第一次因自己在日本度假,未理睬。第二次适逢回国,诸事繁杂,无心思考,被骗6287元。
另一位成都受骗者则将父亲的丧葬费赔了进去,“本来想给父亲买个好一点的墓地,现在被骗了,也不敢让家人知道。”她表示,此案目前也由成都公安锦江分局受理。
故事摘自:南方都市报公众号
解疑释惑
仔细看故事,不难发现,骗术并非想象中逆天,技术手段也只是障眼法,上面段落两处我用酒红色标出来了。这年头伪造110的都有,伪造银行来电对于一些行业并不成技术难点,就算厂商与系统做得再完美,也总有薄弱环节(何况没有绝对的安全),而这次的薄弱环节则是大众的安全意识问题,才让诈骗师们趁虚而入。
针对本次事件,安小妹找腾讯云安全的资深技术研究者做了个简单粗暴的采访:
小安
数十用户被骗超百万,作为腾讯资深技术研究者对广大网民有什么好的建议呢?
技术GG
核心问题在于大家的安全警觉性,当然不是指被害妄想症,然后就是,在不同地方设置不同的密码,一个弱密行天下很有可能下一个故事主角就是你了。
小安
好的安小妹明白了,那这是针对广大网民,那厂商方面呢?能支些什么招吗?
技术GG
像这次的问题网上说的是”撞库“,那主要也就是需要针对登录场景做一定保护,像腾讯云安全推出的「天御」,在这一方面能做的是:通过在登录页面接入 JS,对登录环节进行实时监测,对用户登录行为、帐号、IP 等综合判定登录风险程度,实时打击撞库等恶意登录行为。
小安
噢噢,也就是就算密码被泄露,也可以对用户与厂商做一个双向保护,对吧?那么防患于未然,除了本次事件,面对不太平的互联网如果厂商提升安全门槛后,还将面临哪些常见的问题呢?
技术GG
解决用户帐户安全问题之后,如何识别注册的用户中那些是正常人注册,也是很关键的,那些自动机水军注册对网站的长期运营非常重要,而上边提到的「天御」能打击自动机注册帐号行为,抵御水军注册能够有效的保证网站内容的整洁,活动不被刷等一系列问题。
小安
是呀是呀,不说厂商有多困恼,就连我们普通网民每次想去活动网站买票,票若被刷走,买张 Bigbang 的票都超级贵超级困难呢 :(
So? 怎么做
从来都没有绝对的安全,面对薄弱环节,到底如何对待,才能不让他人趁虚而入?
厂商:从根本上重视安全问题,不断提高被入侵以及被破坏的门槛。
网民:加强密码管理,养成勤改密码、杜绝弱密码、不同地方不同密码的习惯。
知乎上有很多密码管理、保护相关的文章,还有一些密码管理的软件,安小妹就不一一推荐了,毕竟认识的一些技术人员对于这些软件也不信任,直接自己写个加密程序。
或者你有什么有趣的密码小窍门想分享给大家,也可以直接留言,当然,悄悄告诉我也可以~
这是一篇乐于助人的文章 :)