?
如果你銀行卡里的存款余額一夜之間被“搬空”����,那失竊的不止是存款�,還有你的手機銀行����、手機掌上營業(yè)廳甚至其他常用網(wǎng)站所有的登錄用戶名和密碼�����。是的���,你被“撞庫”了����。這并不是《諜影重重》��、《007》等系列電影中的橋段�,恰恰就發(fā)生在我們每個人的真實生活里。
江蘇省常州市新北區(qū)人民法院近期剛剛連發(fā)五紙判決書�����,判決何文龍等六名犯罪分子犯非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪��。經(jīng)查明��,該六人曾在兩個多月的時間內(nèi)�,“撞破”微信賬號及登錄密碼12000余組。
隨著案件的偵破��,作案手法也隨之浮出水面�����。首先���,犯罪分子從網(wǎng)上購買含有大量用戶名及密碼的微信登錄數(shù)據(jù)�����,然后導(dǎo)入“小兵軟件”���、“逍遙安卓”、“直登小號”等非法微信掃描軟件后��,通過運行上述軟件���,采用對微信數(shù)據(jù)庫實施“撞庫”等手段�����,便可獲取可以直接登錄的微信用戶名和密碼����。
此外,這些“撞庫”軟件同時還會自動記錄嘗試登錄成功的手機號和密碼���,方便犯罪分子下一步行動����。由于是機器自動運行��,因此“撞庫”的效率非常高�,每分鐘能驗證1000個左右。
某些情況下����,犯罪分子還會將這些數(shù)據(jù)轉(zhuǎn)賣給他人,賺取費用�����,價格在每條1元-1.5元不等��。
銀行卡里的錢是如何消失的��?
近日�,上海某白領(lǐng)張小姐銀行卡內(nèi)10萬余額一夜之間歸零,另一位國企高管也被瞬間轉(zhuǎn)走28萬元�����,警方在偵查中發(fā)現(xiàn)���,余額被轉(zhuǎn)走的主要原因����,是因為此二人的銀行卡和手機運營商處的賬號密碼雙雙被“撞庫”�����。
那么��,什么是“撞庫”呢���?是不是一種新出現(xiàn)的高超的黑客技術(shù)呢?專業(yè)人士的答案是“撞庫”技術(shù)早就出現(xiàn)了����,并且也并不是特別高明的黑客技術(shù)���,倒是更像“摸彩票”�、“撞運氣”。
“撞庫”����,是指拿互聯(lián)網(wǎng)上已經(jīng)泄露的賬號和密碼,批量嘗試登錄另一個網(wǎng)站�����,驗證后登陸賬戶并進行各類違法犯罪活動�����,最嚴重的當(dāng)數(shù)盜取銀行賬戶密碼并進行轉(zhuǎn)賬,在持卡人毫不知情的情況下造成慘重的損失。
第一步����,犯罪分子從網(wǎng)上購買含有大量用戶名及密碼的網(wǎng)上銀行登錄數(shù)據(jù)���,然后導(dǎo)入非法撞庫軟件后,通過運行上述軟件�,對銀行數(shù)據(jù)庫實施“撞庫”,即嘗試用黑客破解的賬號密碼登錄網(wǎng)銀���。
登陸網(wǎng)銀后���,想要轉(zhuǎn)賬成功,還需要成功輸入短信驗證碼�。因此第二步便是再次通過“撞庫”成功登錄手機網(wǎng)上營業(yè)廳。隨后���,假借持卡人的名義開通短信過濾和短信保管�,并關(guān)掉相關(guān)的業(yè)務(wù)通知功能�。這樣的話,不但持卡人收不到銀行短信提示�,動態(tài)驗證碼也被犯罪分子在電腦端輕松獲取了。
在警方的提示下�����,手機運營商目前已關(guān)閉了有漏洞的短信過濾和保管功能����。
然而,犯罪分子立即升級了詐騙手段——換卡����。利用網(wǎng)上營業(yè)廳4G換卡的功能���,接收持卡人的手機短信驗證碼,以及各種網(wǎng)站的動態(tài)驗證碼���。
犯罪分子利用受害者的手機號和密碼登錄營業(yè)廳����,并以其名義申請升級更換4G卡業(yè)務(wù)�����。當(dāng)營業(yè)廳無法識別是否是本人申請時����,只要在填寫隨機動態(tài)驗證碼后,即可以跳過身份驗證環(huán)節(jié)�,還可以把卡快遞到犯罪分子填寫的地址。
至此�,新卡在持卡人毫不知情的情況下就會被寄到不法分子的手上,當(dāng)新卡一旦被激活����,真正的持卡人手上的這張卡就自動失效,各種動態(tài)驗證碼都會被犯罪分子所接收。最終�,持卡人卡中的余額便會“不翼而飛”。
使用相同密碼造成撞庫頻發(fā)
除了盜取銀行卡和手機卡的賬戶密碼��,“撞庫”適用于所有網(wǎng)絡(luò)客戶端的賬號密碼盜取�����。而用戶為了方便記憶�,習(xí)慣于在各種場合設(shè)置相同的密碼���,為“撞庫”提供了極大的便利��。
“現(xiàn)在很多用戶會把自己的銀行卡�、手機網(wǎng)銀����、手機網(wǎng)上營業(yè)廳的密碼和自己常用的其他網(wǎng)站論壇登錄密碼設(shè)成一樣的,這也大大降低了犯罪分子“撞庫”的難度�����,還提高了他們的成功率�����,”一位征信業(yè)內(nèi)人士對記者表示。
據(jù)騰訊發(fā)布的《2016移動支付網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈研究報告》顯示��,目前手機用戶往往都擁有多個網(wǎng)絡(luò)帳號��,有7成以上用戶所有帳號都使用同樣的用戶名與密碼���,65%的用戶很少更換密碼���,僅有不足20%的用戶會定期更換密碼。一旦不法分子盜取一組帳號信息���,就很有可能成功盜用該用戶的其他帳號�,包括移動支付賬號���。
上述業(yè)內(nèi)人士同時表示�,“現(xiàn)在很多網(wǎng)站都可以使用手機號來注冊登陸����,如果這些網(wǎng)站安全防護措施不夠完備,一旦被黑客攻入后臺�����,那么很多手機號和密碼信息就會泄露”。
因此��,對于用戶來說����,切勿一個密碼用很多年,并且同時在網(wǎng)上支付和常用網(wǎng)站使用同樣的登錄密碼�,同時在有條件的情況下設(shè)置保密措施或開通二次驗證。如果發(fā)現(xiàn)手機異常不能正常使用時�����,需注意立即將銀行卡凍結(jié)或者掛失����。
而對于金融機構(gòu)來說����,則可使用大數(shù)據(jù)風(fēng)控技術(shù)多維度認證用戶身份,比如定位信息����、設(shè)備指紋、行為規(guī)律等。根據(jù)不同的應(yīng)用場景�����,建立分層次��、多維度的身份識別體系����,從而精準地實現(xiàn)客戶身份識別和認證。
