中文字幕理论片,69视频免费在线观看,亚洲成人app,国产1级毛片,刘涛最大尺度戏视频,欧美亚洲美女视频,2021韩国美女仙女屋vip视频

掃號軟件可能威脅淘寶、支付寶用戶安全 /晨報記者 肖允

　　晨報記者 王亦菲 實習生 裴小絗

　　“掃號”三步走

　　1 “黑客”盜取數據包

　　掃號群里叫賣的數據包括淘寶、支付寶、郵箱、百度貼吧、微博、游戲等的賬號密碼。一名賣家透露，自己數據的終極來源是黑客。

　　2 “掃”數據獲取賬密

　　打開掃號軟件，點擊 “導入賬號”，打開買來的數據包后，軟件自動進行匹配。運行過程中，賬號、密碼明文顯示。 “過濾登錄狀態(tài)”欄顯示“淘寶登錄成功”，則表示通過了掃號器的驗證，是正確的賬號密碼。

　　3 登錄賬戶盜取資金

　　掃號結束，用獲取的賬號、密碼登錄淘寶賬戶。如果被入侵用戶還有其他個人信息遭泄露，其賬戶資金安全可能受到威脅。

　　“雙11”剛走，“雙12”又來，在一個接一個的促銷誘惑下，網民們不斷向支付寶賬戶充值。而里面大量的資金，正成為不法分子最渴望的獵物。晨報記者經數周調查發(fā)現，有一些不法分子通過黑客買來用戶數據，再將其輸入專門設計的“掃號軟件”，便能輕而易舉入侵用戶的支付寶賬戶，進而轉移資金，或者進行其他類型的犯罪。

　　支付寶綁定銀行卡被盜刷

　　家住寶山的周先生就是“掃號軟件”的受害者。11月10日23時40分到23時44分，短短4分鐘內，他的工商銀行(601398,股吧)儲蓄卡被人通過支付寶盜刷3萬元。經查，周先生的支付寶賬號和密碼被不法分子盜取，此后不法分子又通過定向快捷支付方式，將周先生支付寶綁定的工行卡內資金盜刷。

　　支付寶調查發(fā)現，不僅用戶的支付寶密碼被盜，所綁定的銀行卡卡號、戶名等相關信息也被盜。而支付寶賬戶被盜的原因，很可能是周先生在其他網站、論壇使用了同樣的賬戶密碼，被不法分子利用了，進行了“掃號”。

　　與一般點對點的“盜號”直接獲取目標賬戶密碼不同，“掃號”是通過曲折迂回方式獲得賬戶密碼。打個比方，一個人的賬戶、密碼就好比家里的大門和鑰匙，“盜號”就是不法分子盯上了你，一心一意竊取你家的鑰匙從而實施盜竊。而“掃號”則不同，不法分子批量竊取成百上千戶居民家中的各類鑰匙，一旦你家某扇門與批量鑰匙中的一把匹配，那么不法分子就能從批量鑰匙中試探出開啟你家大門的那一把。

　　實為自動批量登錄工具

　　掃號軟件究竟是一個怎么樣的軟件？360資深安全專家安揚向記者揭開其真實面目。

　　“說白了，掃號軟件其實就是個自動批量登錄工具?！卑矒P解釋，“由于很多網站被黑客盜取用戶密碼庫，如此前的CSDN、天涯等多網站用戶數據泄露事件，而且有不少網友習慣在不同網站設置相同的注冊郵箱和密碼，掃號軟件就是利用網站泄露的數據庫，針對QQ、微博、電商、游戲等平臺進行自動批量登錄操作，找到能夠成功登錄的賬號?！?/p>

　　舉例來說，CSDN網站數據庫泄露了600余萬個注冊郵箱和密碼，其中包括很多QQ郵箱注冊用戶。黑客想知道這些QQ號是否使用了和CSDN相同的密碼，逐個手工驗證是非常麻煩的，于是就會使用掃號軟件自動嘗試登錄，把能夠成功登錄的QQ號全部掃出來。

　　“一般來說，掃號器都是針對某個網站或程序制作的，比如對QQ的掃號器,對微博的掃號器,對淘寶、京東等電商網站的掃號器。”而根據網站防范措施的不同，掃號器的技術含量和制作成本也有很大差別。

　　[專家建議]

　　網銀、電商賬戶應單獨設密碼

　　360安全專家安揚呼吁，用戶應保持個人電腦系統(tǒng)安全，清除木馬等潛在風險?！熬W銀、電商、證券交易、常用郵箱、聊天賬戶等涉及財產和隱私安全的賬戶，應單獨設置密碼，可以避免被掃號軟件登錄賬號。盡量使用"字母+數字+特殊符號"形式的高強度密碼，字母可區(qū)分大小寫，特殊符號可使用電腦鍵盤數字鍵上的那些字符?！?/p>

　　他建議，網友可以按照賬戶重要程度對密碼進行分級管理，密碼越重要，強度也要越高，且重要賬戶應定期更換密碼。“避免用生日、姓名拼音、手機號碼等與身份相關的信息作為密碼，因為黑客針對特定目標破解密碼時，往往首先試探此類信息?！?/p>

　　[記者體驗]

　　通過掃號軟件真能成功登錄他人賬戶

　　數據正確但無法登錄

　　為了一窺“掃號軟件”的真面目，記者進入名為“掃號器數據互換交流群”的QQ群中，并聯系到了賣家“小何”，提出要購買淘寶主題的掃號器，對方開價500元，并附贈一個數據包。

　　付款后，對方很快通過QQ發(fā)來一個近9000個賬密的數據包文本文檔和“阿里和淘寶曬密1.03”掃號器。按照賣家示范的操作步驟，記者開始親自“掃號”。幾分鐘后操作完畢，8971個賬號中有183個顯示“淘寶登錄成功”，并明文顯示賬戶密碼。不過記者發(fā)現用其中的一些賬號并不能成功登錄淘寶，而是出現了“您的賬戶可能被盜用，暫時限制使用，請按步驟自助開通”的頁面提示，頁面跳轉后顯示需要手機接收并通過驗證碼。

　　購“一手數據”后成功登錄

　　當記者質疑為什么掃號軟件顯示“淘寶登錄成功”的號卻不能在淘寶網上順利登錄時，賣家說因為這些數據都是二手數據，“都是我昨天掃過的，淘寶大概是檢測到了風險所以被寫了保護。”記者于是又以300元的價格從賣家“小何”手中買了1萬個“一手數據”。

　　還是同樣的掃號器，同樣的方式。這一次，10131個號全部經由掃號器“掃號”，其中112個號顯示“淘寶登錄成功”并被記錄在自動生成的“綜合結果”文本文檔。

　　粗覽這些數據，記者發(fā)現密碼大多比較簡單，疑似生日密碼或是姓名拼音的結合占據了大多數，還有的竟然和登錄名相差無幾。

　　記者通過各種方式與其中的一些用戶取得聯系，在征得對方同意后，當面嘗試用賬號和密碼登錄淘寶，結果發(fā)現能夠成功登錄并能查看所有信息，包括個人資料、交易記錄、收貨地址等。

　　綁定郵箱、手機都能改

　　在一位用戶的淘寶頁面中，記者通過“綁定支付寶設置”選項直接進入其支付寶賬號。0元支付寶和數千元的余額寶余額都在主頁顯眼位置顯示，余額數字后面就是“轉賬”選項。

　　記者試圖點擊“轉賬”，選擇轉出至其綁定的銀行卡，又在“到賬時間”的兩個選項—“次日到賬（使用電腦轉出）”和“2小時到賬（使用手機轉出）”中勾選了前者。頁面繼而提示“您是數字證書用戶，但本臺電腦尚未安裝證書”。

　　按提示，記者開始了安裝數字證書的第一步操作：需要輸入綁定手機上發(fā)送的驗證碼，因為綁定的還是用戶自己的手機，記者點擊了手機號碼后的“更換號碼”選項。此時頁面跳轉到“人工處理”，填寫修改手機號碼申請單：“我們會將申請單發(fā)送至您的郵箱”，并附有該用戶綁定的郵箱。

　　記者修改綁定郵箱。而這次，沒有任何驗證要求就彈出“修改郵箱地址”對話框，附加提醒“此郵箱僅作為本次聯系使用”。當記者填寫完自己的郵箱并點擊“發(fā)送郵件”后，順利收到發(fā)來的驗證郵件，點擊郵件中的鏈接便跳轉到修改手機號的頁面，頁面顯示“輸入新手機號碼”。至此，記者只需要輸入新的手機號，就能替換掉原本綁定的手機號。

　　支付寶解釋

　　“掃號”+其他信息泄露才可能轉賬成功

　　通過掃號軟件，是否就能成功修改綁定的手機和郵箱，繼而轉走賬戶內的資金呢？記者就此聯系了支付寶公關部經理朱健。

　　朱健表示，支付寶被“掃號”的情況確實存在，自己也有所耳聞。他解釋：“可能是用戶在一些有風險的小網站上泄露了賬號密碼，并且用同樣的賬號密碼綁定了支付寶，從而被不法分子試驗到并企圖利用?！彼f：“我們的支付寶是雙密碼設置（登錄密碼和支付密碼），還有層層數字證書、手機校驗等關卡，不法分子想要通過"掃號"轉移資金沒那么容易。 ”

　　對于用戶被“掃號”的情況，朱健解釋，不法分子雖然能夠替換掉用戶的綁定手機和郵箱，但在轉賬時，還需要輸入支付寶支付密碼，“支付寶是雙密碼設置，而一些用戶被破解的是登錄密碼，因此支付密碼還是相對安全的。除非他其他的個人信息也被騙子掌握了，進一步替換掉了他的個人身份信息及支付密碼，才有可能轉賬成功。 ”

　　朱健表示，“我們有一個實時風險監(jiān)控系統(tǒng)，每天進行1.2億次行為監(jiān)控，能夠偵測絕大多數非正常行為并予以實時處理，一旦發(fā)現異常，會通過發(fā)送校驗碼或凍結賬戶方式進行確認。 ”