当前位置:新闻 > 社会新闻 > 正文

亚马逊等电商用户信息遭售卖:黑客“撞库”获得(5)

2017-05-17 04:28:19  新京报    参与评论()人

猎网平台反网络诈骗专家裴智勇介绍,即便是手法最简单的网络诈骗,也至少需要10人的犯罪团伙:从开发制作、批发零售到诈骗实施、分赃销赃,网络诈骗可划分出多达盗库黑客、电话诈骗经理、短信群发商等多个不同工种,其分工明确,协同作案,形成了完整的网络诈骗地下产业链,其中盗库黑客是这条产业链的源头。

有“漏洞”平台更易被“撞库”

“说白了,撞库攻击就是不断地尝试错误的密码。”张百川表示,“对于大型平台来说,往往可以利用技术手段限制这一‘撞库攻击’。比如登录错误几次后直接封掉登录者的IP地址,一个账户一天之内只允许输入三次,一个IP地址如果输入了两个账户或者输错了5次以上,24小时内就不允许再登录等。”

5月10日,新京报记者在某互联网平台多次以错误密码登录同一账号后,登录界面出现了“您今日只能再输入三次”的提示。

新京报记者同日在1号店网站上多次试验登录同一账号,多次输错账号密码后,1号店要求输入验证码,但除此之外并无其他防范手段。

5月16日,新京报记者尝试以错误密码登录苏宁易购,发现输错3次密码后,苏宁易购开启了移动滑块的防护措施,并在输错10次后锁死了账户信息,显示只有1小时之后才可以再次尝试。而在以错误密码登录小红书的试验时,小红书方面表示需要以接收手机验证码的方式登录。

“1号店的验证码模式并不算是防御撞库攻击的有效方式,现在在网上搜索验证码识别、验证码绕过,可以得到相应的破解软件。移动滑块相应高端一些,但目前市场上也出现了破解移动滑块的软件。”张百川表示。而对于手机验证码,万涛表示,现在有专门的打码平台可以帮忙快速破解验证码。

有业内人士称,当盗号者取得了一家网站的数据并通过撞库攻击“撞出”其他网站的用户名和密码后,被“撞出”的用户名和密码也会成为新的“数据库”再用以“撞”其他的网站。

5月10日,新京报记者致电一位信息已遭泄露的电商用户时,该用户告诉新京报记者,她接到了冒充1号店客服打来的诈骗电话。这名用户在两家电商平台上的登录名为同一个手机号。

“事实上,对撞库攻击进行防御的成本并不高,但除支付宝等大型平台外,小平台对这一攻击手段进行防范的驱动力不太大。”张百川直言。

关闭