支付宝32万不翼而飞 你的信息被“撞库”了吗?
密码是16位英文数字混合的一段话,而且除了事主没有别人知道,使用的电脑手机也没有中毒,可是支付宝账号中的32万元却不翼而飞!罪魁祸首是撞库。撞库是黑客最常用的窃取个人信息的手法,近年来,大规模的个人身份泄漏已经发生多起,个人信息安全问题已经刻不容缓。
“撞库”撞出13万个人信息 个人信息泄漏问题愈演愈烈
这就是网上流传的被泄露的个人信息,这份用户资料有131653个,包含用户的姓名、手机号码、注册用的邮箱,甚至连身份证号码也一应俱全。
在一家大型网络安全公司里,互联网安全工程师万仁国告诉记者,这次泄露的数据很大的可能是撞库。那么,什么是撞库呢?所谓的撞库是黑客最常用的窃取个人信息的手法,也就是黑客通过收集网络上已泄露的用户名及密码信息到其他网站尝试批量登录,得到一批可以登录的用户账号及密码,并由此盗取更多的个人信息。
网上流传的被泄露的个人信息,这份用户资料有131653个,包含用户的姓名、手机号码、注册用的邮箱,甚至连身份证号码也一应俱全
果然,在网络安全工程师的演示中,轻而易举地就登录了12306网站上的用户账户。这是序号排在30220到30222之间的三个人名,张某某、李某、刘某,记者注意到,技术人员尝试用他们已经泄露出来的账号和密码,非常容易地就成功登录12306网站,并且还可以进一步看到他们的其他隐私信息。让人感到震惊的是这一份数据库其实已经泄露了很长时间。
图片说明:工程师尝试用撞库的办法 轻而易举地就登陆了泄漏信息中的用户账户
互联网安全工程师万仁国:比如说陈鹤的这个姓名、身份证号所购买的车次,以及手机号这些信息都是可以通过这个账号登录获取到的,那么在获取到之后,这个信息在地下二次转卖,转卖之后他们就可以拿着这些信息去做欺诈。
如此大量的个人详细资料外泄,显然会造成严重后果,不仅用户的火车票会被退票,还可能会被犯罪分子利用来进行诈骗。
万仁国:所以我们就看到有很多人在买完这个,比如说高铁的火车票之后,他们收到高铁出票失败,需要退款的这样一个短信通知,会要求去联系一个所谓的400电话号码,如果轻信了这条短信,去拨打这个客服电话,就会陷入它这个陷阱的。而且在这个短信里面,它能够很清楚的把你的购买的车次、姓名、身份证号全都说出来,会很容易上人觉得这是一个来自12306官方的这么一个短信通知。
万仁国告诉记者,像这样大规模的个人信息泄露,在2014年已经发生了很多起。一旦这些信息被黑客盗取,在网络上盗刷银行卡消费都将易如反掌。2014年3月携程网系统出现技术漏洞,导致用户个人信息,银行卡CVV安全码信息泄露,2014年5月小米论坛被报损失用户资料泄露,涉及800万小米论坛注册用户,随后小米公司相关负责人确认,数据泄露事件确有发生。到了2014年下半年信息泄露事件愈演愈烈,8月多家快递网站因存在漏洞遭黑客入侵,有1400万条个人信息在网络上被层层转卖。到了12月更是接连出现智联招聘86万用户简历信息泄露,东方航空大量用户订单信息泄露和12306火车订票网站被人撞库等等事件。
支付宝内32万元不翼而飞!论坛漏洞成帮凶
2014年4月23日,一名男子行色匆匆地走进苏州市公安局娄葑派出所报案。报案人讲,他的支付宝账户被窃贼盯上了,在连续10天的时间里,钱款不断被人转走,损失巨大。
苏州工业园区公安分局网络警察大队民警李榛:他这个公司没有收到任何的信息,也不知道为什么这里面的钱就被人转走了,一共32万。
报案人称自己公司的支付宝账户被人盗取了32万元
办案民警首先询问是不是这个账户密码被周围人知道了。据报案人透露,平日里他的警惕性很高,不光账户使用人只有他一个,而且设定的密码等级也非常高,是非常复杂的16个字符很难被别人猜到。
李榛:按他负责人的话来说,这个密码是非常复杂的,而且没有明显特征的一个密码,用英文和数字写的一段话。这个密码他从来没有告诉过任何人,连他的财务,公司的员工都不知道。
如果账户不是被周围人获知的密码,那钱又是怎么被偷走的呢?警方怀疑是不是报案人的手机或电话中的病毒,如果真是这样,窃贼在后台是有可能做到不声不响地把钱转走的。在警方的电子政务勘验鉴定中心,办案人员对报案人的手机、电脑硬盘以及曾经使用过的笔记本电脑做了检查。结果却发现里面并没有木马病毒。
李榛:我们把他的这个使用支付宝账户的电脑拿过来做了一下技术分析,排除了在电脑里面被植入木马或者病毒的可能性,那么也排除了他的支付宝账户密码,因为他个人使用的原因被盗的可能。
然而通过技术分析 办案人员在报案人的手机和电脑内却没有发现木马病毒排除了因为他个人使用的原因被盗的可能。
手机、电脑里没有密码病毒,账户名和密码也只有报案人一个人知道,但却发生了数十万钱款被盗,这究竟是怎么回事,窃贼是用什么方法做到的呢?这时警方开始调整侦查方向,向支付宝公司提出协助调查要求,追查资金流向。
根据要求,支付宝公司向警方提供了受害人账户的详细资料。这是一份受害人资金被转走的部分记录,从中能够看到,仅4月15日18点30分,到16日16点48分,一天时间里就有10笔转出记录,有的还发生在凌晨4、5点钟,从每笔转账金额来看,转出的钱很零散,好几笔还是1999元,显然是在有意规避风险,而接收方的账户更是奇怪,竟然不是一个人。
支付宝公司向警方提供了受害人账户的详细资料
支付宝公司风险管理部安全人员朱健:根据支付宝公司给我们提供的资料,我们发现支付宝账户的钱,从4月13日到4月23日一共11天的时间,那么是分230笔向69个支付宝账户进行转账。
经过细致的排查,警方锁定了嫌疑人取款地点在湖南省永州的道县,在调取了银行监控录像后警方发现,一名男子使用好几张银行卡频繁提取现金,而这些银行卡正是被警方列为重点怀疑的对象。经过大量账号比对,警方锁定住了这名男子的身份,并确定这名男子有重大作案嫌疑。随后湖南永州道县警方找到了嫌疑人何某某,并开始了调查。在警方出示的大量证据面前,何某某心理防线被突破了,意识到已经隐瞒不住开始交待作案过程。
在调取了银行监控录像后警方发现 一名男子使用好几张银行卡频繁提取现金而这些银行卡正是被警方列为重点怀疑的对象
犯罪嫌疑人何某某:看着支付的公司,支付宝上的钱有6万多左右,那钱每次来,过一会就有钱来过一会就有钱来。
犯罪嫌疑人何某某是一名吸毒人员,因为吸毒需要大量钱财,于是他通过非法手段,以两角钱一个的价格向别人购买了上百个账号和密码,在永州道县网吧及宾馆里偷偷进入到别人的支付宝账户。当进入到这家苏州的公司账户时,何某某发现里面的欠款正不断进出,于是他就用自己和亲友的身份证号,银行卡号,以及一个郑某某的假身份信息注册了大量支付宝账户,在10天时间里转走了32万元钱。
何某某:两角钱一个,一次买了100个。
警方工作人员:100个什么东西呢?
何某某:全是那个账号。全是支付宝的账号密码。
李榛:他一共向他的上家购买了一百张支付宝的账户,那么他一个一个去试,一个一个去盗,最终在我们这个账户上找到了很多的钱,所以他就停下来其他账户盗取的工作,一门心思在这个账户上盗钱。
民航业成个人信息安全重灾区 遇到退票改签短信需警惕!
2014年1月中旬,家住深圳市宝安区的李女士,通过深圳航空公司的官网给自己的妈妈订了一张1月19日从郑州到深圳的机票,就在起飞的前一天李女士收到了一条提示短信:您预定的航班因飞机故障已经被取消,收到短信后与本公司联系,为您办理退票或改签。短信还特别注明,退票的话是全额退款,并多退200元,如果改签就要收取20元工本费。短信的结尾还留下了一个400\u2014852\u2014XXXX的联系电话。
原本定好的机票在出发前却发生了变故李女士收到提示短信称她预定的航班取消 需要她联系退票改签
航班取消,着急前往目的地的李女士选择了改签机票,于是,李女士按照短信里留下的号码,拨打了这个以400开头的客服电话,对方告诉他,改签需要支付20元的工本费,但必须得去ATM机转账,这个要求让李女士感到有些蹊跷。
李女士:我说那我到柜员机可以吗?就是到他们人工帮我转一下,他说不行,他说你必须到ATM机。
因为着急改签机票李女士也没多想,赶紧去了家附近的ATM机。他说你先输入密码进去,进去以后,你点那个转账,点了转账以后,他就报了一个他们的账户。
要转账当然要输入对方的银行账号这不奇怪,不过接下来,电话那头的要求让李女士再次感觉到了蹊跷,对方要求李女士报一下自己银行卡里的余额。
李女士:我说你问这个余额是干什么的,他说我这个余额是要录音,保证我们顾客所谓的信用度还是什么的。
查询信用度李女士相信了这个理由,如实告诉对方自己卡里有30460元的余额,随后对方让李女士在转账金额一栏里输入一个6位数字代码028980。
李女士:我就说那个零我输入不进去,他说那你就直接把那个零先去掉,直接输28980就行了,就这样的数,我说你这个是转账金额啊。他说不是的,你输吧,我们这边已经收到你所谓的什么信号了,我们系统已经有回执了,你现在点了以后,我这边扣费成功了,然后我就点了确认,发现是转账金额转过去。
点完确认,李女士才发现自己上当了。
李女士:这个时候我听见骗子那边电话里把我的银行卡密码报出来了,我就知道被骗了,我就赶紧报警。
原来骗子先是问清楚了李女士银行卡里的余额,然后编造了一个数字代码的词,目的就是骗取李女士卡里的余额,为了迷惑李女士,骗子要求的这个数额28980故意低于李女士的30460的余额数,而且还让她在这个数额前面加个0,变成028980,猛一眼看起来还真像是个什么代码。就这样李女士眼睁睁的看着自己的28980元被骗走了。
李女士:气啊,火大啊,就是肺都要气炸了。
“涉嫌毒品交易”需转款至“安全账户”?这是骗局!
2013年3月3日,建设银行来了一位女客户。
中国建设银南京晓山路储蓄所柜员张荻:遇到汇款的时候,我们要进行三问两看一核对,然后呢当时她过来的时候,所以我就正常问她认不认识对方,然后她当时一开始是不愿意回答我任何问题的。
张荻:你是她什么人?跟你讲,你不要被诈骗了,这个钱是做什么用的?这个钱给她是做什么用的?
女客户:我转给她用的。
张荻:我知道你转给他,这个钱是做什么用的?
张荻:是远房的表妹,然后说,然后她金额比较大,5万8。但是她跟我讲说是汇给她是随便用的。我觉得这样的话就是,不太符合正常人的逻辑,所以我就留意了。然后我再问她多的问题的时候,她就不愿意跟我交流了。
张荻:你小心被诈骗,我帮你转过去了,你自己要确定要转的话我就转了。
这位客户终于说,公安局给她打电话,说她的账号涉嫌贩毒了,她必须把钱汇到指定的账户上洗刷清白。
女客户:她让我转给她的。
张荻:她让你转给她的,她说是什么钱?
女客户:她说让打到她账户上的。
张荻:你确不确认她就是这个人,你认识这个人。
女客户:不认识。
张荻:你不认识。然后骗你说是不是你卡被盗用,被盗用然后说有什么运费,有毒品什么东西还是?
女客户:恩。
张荻:骗人的。骗子。
银行的工作人员在努力劝阻,但是这女客户就是不听。
张荻:这是骗子知道吧,没关系不要理他。5万7呢。
女客户:他怎么知道我们家所有信息。
张荻:他当然知道你们家所有信息,他不知道你们家所有信息他怎么骗你呢。
银行工作人员正在努力劝阻客户向骗子转款
在此期间,骗子不停打电话,女客户不知如何是好。
女客户:他又来电话了。
张荻:他骗你有毒品,就是这种骗子特别多,我跟你讲。
女客户:什么毒品,我没有整毒品。他叫我在银行里面有欠款,说被盗用了3万块钱。
张荻:你接,你接说是派出所。你说你就是公安,本地的公安,你问他什么事。
银行人员在电话里警告了骗子说,他的骗局已经被识破了,骗子就挂断电话,再也没打了。
女客户:谢谢啊。
张荻:没事,没事,没关系。没关系。没被骗走就行了。
银行的内保部门的负责人告诉记者,电信诈骗案件近几年呈上升的势头,这些骗子骗人的理由也越来越多。
中国建设银行南京大厂支行安全保卫部经理林国忠:中奖了。
央视财经《经济半小时》记者:中大奖了。
林国忠:中奖了,要让他交税,然后再给他返回更多的现金,这个钱。第二个就是冒充朋友借用,有什么急用,给我汇点钱。
记者:我看除此之外还有冒充法院冻结账户的,还有冒充。
林国忠:公安机关。
记者:说可能你的账户涉嫌洗钱的。
林国忠:对。
半小时观察:个人信息泄露亟待立法“亮剑”
骗子盯上个人信息,就是要利用掌握的这些个人信息,或盗取、或诈骗,来达到侵害财产的不法目的。从刚才的几个具体案例中可以发现,巨大的经济利益是我国个人信息安全面临风险的直接原因。在网络经济的大背景下,用户的个人信息是电子商务、网络游戏、网络支付、网络营销等各类网络活动的基本要素,同时也成为商家竞相开发的“金矿”和非法分子牟利的工具。数据显示,我国每年因信息诈骗带来的损失数以亿元计,有个别受害者的损失甚至高达数千万元,且损失数额还有逐年递增的趋势。因此,当务之急,是要忙从立法上进行完善,无论是私营企业还是政府部门,只要泄露个人信息就要为此担责。从制度层面进行防堵,保护好个人信息的安全。