📖 ZKIZ Archives

大麥網遭撞庫39名用戶被騙百余萬 警方已經介入調查

近日，有網友微博爆料稱遭自稱“大麥網工作人員”的電話詐騙，被騙走7.6萬元。記者采訪獲悉，據大麥網統計，目前已有39名用戶被騙，損失達147.42萬元。多數用戶已在轄區派出所報案，部分已被受理。大麥網表示，將會先行向用戶墊付被騙資金。

大麥網用戶楊女士反映，3日晚9點半，她接到大麥網客服4006103721打來的電話，“電話里對方準確地說出了我訂單的詳細信息，我就沒懷疑”，隨後對方稱大麥網後臺誤給楊女士升級了“VIP”服務，將會在當日扣除楊女士部分會員費，楊女士表明要取消該服務。對方表示，稍後將會有銀行職員致電楊女士，“指導”她進行相關操作。5分鐘後，一個顯示為“+95599”的電話打了進來，對方自稱某銀行職員，要求楊女士前往ATM機進行操作。通過一令一步的操作，對方分兩次轉走了楊女士三張銀行卡內的7.6萬元，“沒想到讓我輸入的驗證碼數字就是轉賬金額”。

楊女士稱，對方又以解凍賬戶為由，要求她再存入5萬元。楊女士給家人打電話拿錢，經家人提醒發現自己被騙，楊女士立即到當地派出所報警。楊女士說，目前她已在微博上與28名在近期被騙的大麥網用戶取得了聯系，獲悉詐騙者均能準確說出受害人訂單及身份證號等信息，由此懷疑大麥網泄露了用戶信息。

7月15日0點16分，大麥網發布聲明：“絕不會對外泄露任何用戶信息。有些用戶在不同網站使用相同的註冊信息(用戶名和密碼)，因此被不法分子利用，使用撞庫的方法在大麥網嘗試登錄並獲取用戶購買商品的信息，進而冒充客服人員實施詐騙，導致部分用戶遭受了經濟損失。雖然近期這種作案手段在各網絡服務平臺有一定的普遍性，但對此大麥網也絕不推責，並承諾妥善處理此事。”

大麥網公關部接受記者采訪時表示，大麥網沒有“VIP”升級服務，用戶付款通過第三方，不需要綁定銀行卡。大麥網否認泄露用戶信息，稱可能是不法分子利用用戶使用相同用戶名和密碼的習慣，嘗試登錄後盜取信息實施詐騙。

昨天8點22分，大麥網發布後續聲明：“經核實，在此次事件中，造成經濟損失的用戶數量為39人，總金額達147.42萬元。為了盡快緩解此次事件對用戶造成的經濟壓力，大麥網董事會決定對所有造成實際經濟損失的用戶實行‘先行承擔用戶損失’的措施，由大麥網向用戶墊付被騙資金。”

記者從昌平警方獲悉，已接到報警，目前正在調查。

一財網綜合京華時報、大麥網官方微博報道

銀行卡余額“不翼而飛”的背後：“撞庫”早已不是電影橋段了

如果你銀行卡里的存款余額一夜之間被“搬空”，那失竊的不止是存款，還有你的手機銀行、手機掌上營業廳甚至其他常用網站所有的登錄用戶名和密碼。是的，你被“撞庫”了。這並不是《諜影重重》、《007》等系列電影中的橋段，恰恰就發生在我們每個人的真實生活里。

江蘇省常州市新北區人民法院近期剛剛連發五紙判決書，判決何文龍等六名犯罪分子犯非法獲取計算機信息系統數據罪。經查明，該六人曾在兩個多月的時間內，“撞破”微信賬號及登陸密碼12000余組。

隨著案件的偵破，作案手法也隨之浮出水面。首先，犯罪分子從網上購買含有大量用戶名及密碼的微信登陸數據，然後導入“小兵軟件”、“逍遙安卓”、“直登小號”等非法微信掃描軟件後，通過運行上述軟件，采用對微信數據庫實施“撞庫”等手段，便可獲取可以直接登陸的微信用戶名和密碼。

此外，這些“撞庫”軟件同時還會自動記錄嘗試登陸成功的手機號和密碼，方便犯罪分子下一步行動。由於是機器自動運行，因此“撞庫”的效率非常高，每分鐘能驗證1000個左右。

某些情況下，犯罪分子還會將這些數據轉賣給他人，賺取費用，價格在每條1元-1.5元不等。

銀行卡里的錢是如何消失的？

近日，上海某白領張小姐銀行卡內10萬余額一夜之間歸零，另一位國企高管也被瞬間轉走28萬元，警方在偵查中發現，余額被轉走的主要原因，是因為此二人的銀行卡和手機運營商處的賬號密碼雙雙被“撞庫”。

那麽，什麽是“撞庫”呢?是不是一種新出現的高超的黑客技術呢?專業人士的答案是“撞庫”技術早就出現了，並且也並不是特別高明的黑客技術，倒是更像“摸彩票”、“撞運氣”。

“撞庫”，是指拿互聯網上已經泄露的賬號和密碼，批量嘗試登錄另一個網站，驗證後登陸賬戶並進行各類違法犯罪活動，最嚴重的當屬盜取銀行賬戶密碼並進行轉賬，在持卡人毫不知情的情況下造成慘重的損失。

第一步，犯罪分子從網上購買含有大量用戶名及密碼的網上銀行登陸數據，然後導入非法撞庫軟件後，通過運行上述軟件，對銀行數據庫實施“撞庫”，即嘗試用黑客破解的賬號密碼登陸網銀。

登陸網銀後，想要轉賬成功，還需要成功輸入短信驗證碼。因此第二步便是再次通過“撞庫”成功登陸手機網上營業廳。隨後，假借持卡人的名義開通短信過濾和短信保管，並關掉相關的業務通知功能。這樣的話，不但持卡人收不到銀行短信提示，動態驗證碼也被犯罪分子在電腦端輕松獲取了。

在警方的提示下，手機運營商目前已關閉了有漏洞的短信過濾和保管功能。

然而，犯罪分子立即升級了詐騙手段——換卡。利用網上營業廳4G換卡的功能，接受持卡人的手機短信驗證碼，以及各種網站的動態驗證碼。

犯罪分子利用受害者的手機號和密碼登陸營業廳，並以其名義申請升級更換4G卡業務。當營業廳無法識別是否是本人申請時，只要在填寫隨機動態驗證碼後，即可以跳過身份驗證環節，還可以把卡快遞到犯罪分子填寫的地址。

至此，新卡在持卡人毫不知情的情況下就會被寄到不法分子的手上，當新卡一旦被激活，真正的持卡人手上的這張卡就自動失效，各種動態驗證碼都會被犯罪分子所接收。最終，持卡人卡中的余額便會“不翼而飛”。

使用相同密碼造成撞庫頻發

除了盜取銀行卡和手機卡的賬戶密碼，“撞庫”適用於所有網絡客戶端的賬號密碼盜取。而用戶為了方便記憶，習慣於在各種場合設置相同的密碼，為“撞庫”提供了極大的便利。

“現在很多用戶會把自己的銀行卡、手機網銀、手機網上營業廳的密碼和自己常用的其他網站論壇登陸密碼設成一樣的，這也大大降低了犯罪分子“撞庫”的難度，還提高了他們的成功率，” 一位征信業內人士對記者表示。

據騰訊發布的《2016移動支付網絡黑色產業鏈研究報告》顯示，目前手機用戶往往都擁有多個網絡帳號，有7成以上用戶所有帳號都使用同樣的用戶名與密碼，65%的用戶很少更換密碼，僅有不足20%的用戶會定期更換密碼。一旦不法分子盜取一組帳號信息，就很有可能成功盜用該用戶的其他帳號，包括移動支付帳號。

上述業內人士同時表示，“現在很多網站都可以使用手機號來註冊登陸，如果這些網站安全防護措施不夠完備，一旦被黑客攻入後臺，那麽很多手機號和密碼信息就會泄露”。

因此，對於用戶來說，切勿一個密碼用很多年，並且同時在網上支付和常用網站使用同樣的登陸密碼，同時在有條件的情況下設置保密措施或開通二次驗證。如果發現手機異常不能正常使用時，需註意立即將銀行卡凍結或者掛失。

而對於金融機構來說，則可使用大數據風控技術多維度認證用戶身份，比如定位信息、設備指紋、行為規律等。根據不同的應用場景，建立分層次、多維度的身份識別體系，從而精準地實現客戶身份識別和認證。