ZKIZ Archives


銀行卡余額“不翼而飛”的背後:“撞庫”早已不是電影橋段了

如果你銀行卡里的存款余額一夜之間被“搬空”,那失竊的不止是存款,還有你的手機銀行、手機掌上營業廳甚至其他常用網站所有的登錄用戶名和密碼。是的,你被“撞庫”了。這並不是《諜影重重》、《007》等系列電影中的橋段,恰恰就發生在我們每個人的真實生活里。

江蘇省常州市新北區人民法院近期剛剛連發五紙判決書,判決何文龍等六名犯罪分子犯非法獲取計算機信息系統數據罪。經查明,該六人曾在兩個多月的時間內,“撞破”微信賬號及登陸密碼12000余組。

隨著案件的偵破,作案手法也隨之浮出水面。首先,犯罪分子從網上購買含有大量用戶名及密碼的微信登陸數據,然後導入“小兵軟件”、“逍遙安卓”、“直登小號”等非法微信掃描軟件後,通過運行上述軟件,采用對微信數據庫實施“撞庫”等手段,便可獲取可以直接登陸的微信用戶名和密碼。

此外,這些“撞庫”軟件同時還會自動記錄嘗試登陸成功的手機號和密碼,方便犯罪分子下一步行動。由於是機器自動運行,因此“撞庫”的效率非常高,每分鐘能驗證1000個左右。

某些情況下,犯罪分子還會將這些數據轉賣給他人,賺取費用,價格在每條1元-1.5元不等。

銀行卡里的錢是如何消失的?

近日,上海某白領張小姐銀行卡內10萬余額一夜之間歸零,另一位國企高管也被瞬間轉走28萬元,警方在偵查中發現,余額被轉走的主要原因,是因為此二人的銀行卡和手機運營商處的賬號密碼雙雙被“撞庫”。

那麽,什麽是“撞庫”呢?是不是一種新出現的高超的黑客技術呢?專業人士的答案是“撞庫”技術早就出現了,並且也並不是特別高明的黑客技術,倒是更像“摸彩票”、“撞運氣”。

“撞庫”,是指拿互聯網上已經泄露的賬號和密碼,批量嘗試登錄另一個網站,驗證後登陸賬戶並進行各類違法犯罪活動,最嚴重的當屬盜取銀行賬戶密碼並進行轉賬,在持卡人毫不知情的情況下造成慘重的損失。

第一步,犯罪分子從網上購買含有大量用戶名及密碼的網上銀行登陸數據,然後導入非法撞庫軟件後,通過運行上述軟件,對銀行數據庫實施“撞庫”,即嘗試用黑客破解的賬號密碼登陸網銀。

登陸網銀後,想要轉賬成功,還需要成功輸入短信驗證碼。因此第二步便是再次通過“撞庫”成功登陸手機網上營業廳。隨後,假借持卡人的名義開通短信過濾和短信保管,並關掉相關的業務通知功能。這樣的話,不但持卡人收不到銀行短信提示,動態驗證碼也被犯罪分子在電腦端輕松獲取了。

在警方的提示下,手機運營商目前已關閉了有漏洞的短信過濾和保管功能。

然而,犯罪分子立即升級了詐騙手段——換卡。利用網上營業廳4G換卡的功能,接受持卡人的手機短信驗證碼,以及各種網站的動態驗證碼。

犯罪分子利用受害者的手機號和密碼登陸營業廳,並以其名義申請升級更換4G卡業務。當營業廳無法識別是否是本人申請時,只要在填寫隨機動態驗證碼後,即可以跳過身份驗證環節,還可以把卡快遞到犯罪分子填寫的地址。

至此,新卡在持卡人毫不知情的情況下就會被寄到不法分子的手上,當新卡一旦被激活,真正的持卡人手上的這張卡就自動失效,各種動態驗證碼都會被犯罪分子所接收。最終,持卡人卡中的余額便會“不翼而飛”。

使用相同密碼造成撞庫頻發

除了盜取銀行卡和手機卡的賬戶密碼,“撞庫”適用於所有網絡客戶端的賬號密碼盜取。而用戶為了方便記憶,習慣於在各種場合設置相同的密碼,為“撞庫”提供了極大的便利。

“現在很多用戶會把自己的銀行卡、手機網銀、手機網上營業廳的密碼和自己常用的其他網站論壇登陸密碼設成一樣的,這也大大降低了犯罪分子“撞庫”的難度,還提高了他們的成功率,” 一位征信業內人士對記者表示。

據騰訊發布的《2016移動支付網絡黑色產業鏈研究報告》顯示,目前手機用戶往往都擁有多個網絡帳號,有7成以上用戶所有帳號都使用同樣的用戶名與密碼,65%的用戶很少更換密碼,僅有不足20%的用戶會定期更換密碼。一旦不法分子盜取一組帳號信息,就很有可能成功盜用該用戶的其他帳號,包括移動支付帳號。

上述業內人士同時表示,“現在很多網站都可以使用手機號來註冊登陸,如果這些網站安全防護措施不夠完備,一旦被黑客攻入後臺,那麽很多手機號和密碼信息就會泄露”。

因此,對於用戶來說,切勿一個密碼用很多年,並且同時在網上支付和常用網站使用同樣的登陸密碼,同時在有條件的情況下設置保密措施或開通二次驗證。如果發現手機異常不能正常使用時,需註意立即將銀行卡凍結或者掛失。

而對於金融機構來說,則可使用大數據風控技術多維度認證用戶身份,比如定位信息、設備指紋、行為規律等。根據不同的應用場景,建立分層次、多維度的身份識別體系,從而精準地實現客戶身份識別和認證。

PermaLink: https://articles.zkiz.com/?id=247606

Next Page

ZKIZ Archives @ 2019