风险预警|​大型票务网站用户密码遭泄露,导致用户被骗超百万!

“撞库”密码泄露???看完文章,你或许知道该怎么做

“撞库“风波,数十用户被骗超百万!

”撞库“这里就不科普了,知道通过本次事件广大网民需安全意识增强,厂商需提高安全门槛即可。知名票务网站被“撞库”,用户密码遭泄露,导致用户被骗超百万,今天被京华时报、法制晚报、新京报等各媒体连续刷屏:网友微博爆料称遭自称“某票务网工作人员”的电话诈骗,被骗走7.6万元。记者采访获悉,据此票务网站统计,目前已有39名用户被骗,损失达147.42万元……

其实类似这样的事情不是第一次了,为什么还会有这么多民众屡遭骗局呢?莫非骗术更了得?还是逆天的技术手段?先来看看这次的网上案例

被骗故事再现,风险预警

“客服”准确说出订单,声称误升级了VIP

某票务网站用户一位女士反映,3日晚9点半,她接到此票务网客服4006103721打来的电话,“电话里对方准确地说出了我订单的详细信息,我就没怀疑”,随后对方称此网站后台误给此女士升级了“VIP”服务,将会在当日扣除该女士部分会员费,该女士表明要取消该服务。对方表示,稍后将会有银行职员致电她,“指导”她进行相关操作。

5分钟后,一个显示为“+95599”的电话打了进来,对方自称某银行职员,要求该女士前往ATM机进行操作。通过一令一步的操作,对方分两次转走了该女士三张银行卡内的7.6万元,“没想到让我输入的验证码数字就是转账金额”。

该女士称,对方又以解冻账户为由,要求她再存入5万元。该女士给家人打电话拿钱,经家人提醒发现自己被骗,该女士立即到当地派出所报警。该女士说,目前她已在微博上与28名在近期被骗的此票务网用户取得了联系,获悉诈骗者均能准确说出受害人订单及身份证号等信息,由此怀疑此票务网泄露了用户信息。

“父亲的丧葬费都被骗走了”

另据新京报报道,一位成都受骗者表示,“此票务网员工”打过两次电话。第一次因自己在日本度假,未理睬。第二次适逢回国,诸事繁杂,无心思考,被骗6287元。

另一位成都受骗者则将父亲的丧葬费赔了进去,“本来想给父亲买个好一点的墓地,现在被骗了,也不敢让家人知道。”她表示,此案目前也由成都公安锦江分局受理。

故事摘自:南方都市报公众号

解疑释惑

仔细看故事,不难发现,骗术并非想象中逆天,技术手段也只是障眼法,上面段落两处我用酒红色标出来了。这年头伪造110的都有,伪造银行来电对于一些行业并不成技术难点,就算厂商与系统做得再完美,也总有薄弱环节(何况没有绝对的安全),而这次的薄弱环节则是大众的安全意识问题,才让诈骗师们趁虚而入。

针对本次事件,安小妹找腾讯云安全的资深技术研究者做了个简单粗暴的采访:

小安

数十用户被骗超百万,作为腾讯资深技术研究者对广大网民有什么好的建议呢?

技术GG

核心问题在于大家的安全警觉性,当然不是指被害妄想症,然后就是,在不同地方设置不同的密码,一个弱密行天下很有可能下一个故事主角就是你了。

小安

好的安小妹明白了,那这是针对广大网民,那厂商方面呢?能支些什么招吗?

技术GG

像这次的问题网上说的是”撞库“,那主要也就是需要针对登录场景做一定保护,像腾讯云安全推出的「天御」,在这一方面能做的是:通过在登录页面接入 JS,对登录环节进行实时监测,对用户登录行为、帐号、IP 等综合判定登录风险程度,实时打击撞库等恶意登录行为。

小安

噢噢,也就是就算密码被泄露,也可以对用户与厂商做一个双向保护,对吧?那么防患于未然,除了本次事件,面对不太平的互联网如果厂商提升安全门槛后,还将面临哪些常见的问题呢?

技术GG

解决用户帐户安全问题之后,如何识别注册的用户中那些是正常人注册,也是很关键的,那些自动机水军注册对网站的长期运营非常重要,而上边提到的「天御」能打击自动机注册帐号行为,抵御水军注册能够有效的保证网站内容的整洁,活动不被刷等一系列问题。

小安

是呀是呀,不说厂商有多困恼,就连我们普通网民每次想去活动网站买票,票若被刷走,买张 Bigbang 的票都超级贵超级困难呢 :(

So? 怎么做    

从来都没有绝对的安全,面对薄弱环节,到底如何对待,才能不让他人趁虚而入?

厂商:从根本上重视安全问题,不断提高被入侵以及被破坏的门槛。

网民:加强密码管理,养成勤改密码、杜绝弱密码、不同地方不同密码的习惯。

知乎上有很多密码管理、保护相关的文章,还有一些密码管理的软件,安小妹就不一一推荐了,毕竟认识的一些技术人员对于这些软件也不信任,直接自己写个加密程序。

或者你有什么有趣的密码小窍门想分享给大家,也可以直接留言,当然,悄悄告诉我也可以~

这是一篇乐于助人的文章 :)

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2016-07-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

纽约时报称其网站故障与黑客无关

纽约时报的网站在本周三早晨至少有一个小时不能正常显示,但是该报称此事件与外界担心的恶意攻击无关。 纽约时报的网站在美国东部时间11点半第一...

2556
来自专栏腾讯数据中心

SuperNAP数据中心揭秘——上

SuperNAP数据中心于2009年首次亮相,让Switch通信公司名声大震。在前所未有的规模其近100万平方英尺的数据中心内,SuperNAP支持极端的功率密...

2614
来自专栏企鹅号快讯

请善待你身边的“人工智能”

请善待你身边的 “人工智能” 提起人工智能,绝大多数人想到的无非就是AlphaGo或者智能机器人。再不济也是QQ小冰或是自动回复。 电脑在线的时候,可以设置自动...

1735
来自专栏程序员宝库

网贷平台老板跑路,程序员这波操作很溜;微软开源TextWorld;刘强东回应比阿里优势:我们只买真货

16 日,网贷平台“永利宝”通过旗下 APP 发布消息称:“平台老板余刚、张玉丰现已失联!请大家速速报警进行维权!”

1062
来自专栏FreeBuf

疯狂的身份证 | 一张身份证如何攻破人脸识别技术

央视“315”晚会曝光了人脸识别领域的安全风险之后,一时间引起广泛关注。其实,绕过人脸识别策略的黑产自去年就开始出现。 2016年12月,腾讯守护者计划安全团队...

2339
来自专栏程序员宝库

Python强势霸榜,彻底甩掉Java!2018 IEEE热门编程语言排行榜;苹果官方代码又泄密了;RxJava 2.2.0

0、Python 强势霸榜,四项第一,2018 IEEE 热门编程语言排行榜出炉

1501
来自专栏罗超频道

围攻360:控制、裁判和看门狗

9月下旬互联网安全大会上周鸿祎提出“泛安全”,已透露要管预装这事的意向。但人们没想到360会这么快出手,而且输得这么惨。360手机助手建议用户卸载一些应...

2829
来自专栏小程序

App行业发展趋势如何?小程序是否正在“控制”我们的生活?

正如张小龙所言,小程序要成为一种新的形状。尽管他也不确定究竟应该是什么样,只能探索。不过从小程序近期的更新以及实践案例,它的价值越来越大了。

952
来自专栏程序员宝库

产品经理遭程序员暴打,当事人回应了!8月数据库排行榜;18岁少年发现量子推荐算法的经典替代

昨天朋友圈被刷屏了。据说,事情是这样的:一个产品经理给研发提出一个产品需求:要求 app 的主题颜色可以随着用户手机壳颜色改变而变化,然后就干起来了。

792
来自专栏阮一峰的网络日志

每周分享第 26 期

Basecamp 是 IT 行业很有名的一家公司,提供团队协作工具,同时也是 Rails on Ruby 框架的创造者。这家公司的特别之处在于,它不仅写软件,还...

821

扫码关注云+社区