“掃號(hào)”三步走

　　1 “黑客”盜取數(shù)據(jù)包

　　掃號(hào)群里叫賣的數(shù)據(jù)包括淘寶、支付寶、郵箱、百度貼吧、微博、游戲等的賬號(hào)密碼。一名賣家透露，自己數(shù)據(jù)的終極來(lái)源是黑客。

　　2“掃”數(shù)據(jù)獲取賬密

　　打開(kāi)掃號(hào)軟件，點(diǎn)擊 “導(dǎo)入賬號(hào)”，打開(kāi)買來(lái)的數(shù)據(jù)包后，軟件自動(dòng)進(jìn)行匹配。運(yùn)行過(guò)程中，賬號(hào)、密碼明文顯示。 “過(guò)濾登錄狀態(tài)”欄顯示“淘寶登錄成功”，則表示通過(guò)了掃號(hào)器的驗(yàn)證，是正確的賬號(hào)密碼。

　　3登錄賬戶盜取資金

　　掃號(hào)結(jié)束，用獲取的賬號(hào)、密碼登錄淘寶賬戶。如果被入侵用戶還有其他個(gè)人信息遭泄露，其賬戶資金安全可能受到威脅。

　　“雙11”剛走，“雙12”又來(lái)，在一個(gè)接一個(gè)的促銷誘惑下，網(wǎng)民們不斷向支付寶賬戶充值。而里面大量的資金，正成為不法分子最渴望的獵物。晨報(bào)記者經(jīng)數(shù)周調(diào)查發(fā)現(xiàn)，有一些不法分子通過(guò)黑客買來(lái)用戶數(shù)據(jù)，再將其輸入專門(mén)設(shè)計(jì)的“掃號(hào)軟件”，便能輕而易舉入侵用戶的支付寶賬戶，進(jìn)而轉(zhuǎn)移資金，或者進(jìn)行其他類型的犯罪。

　　支付寶綁定銀行卡被盜刷

　　家住寶山的周先生就是“掃號(hào)軟件”的受害者。11月10日23時(shí)40分到23時(shí)44分，短短4分鐘內(nèi)，他的工商銀行儲(chǔ)蓄卡被人通過(guò)支付寶盜刷3萬(wàn)元。經(jīng)查，周先生的支付寶賬號(hào)和密碼被不法分子盜取，此后不法分子又通過(guò)定向快捷支付方式，將周先生支付寶綁定的工行卡內(nèi)資金盜刷。

　　支付寶調(diào)查發(fā)現(xiàn)，不僅用戶的支付寶密碼被盜，所綁定的銀行卡卡號(hào)、戶名等相關(guān)信息也被盜。而支付寶賬戶被盜的原因，很可能是周先生在其他網(wǎng)站、論壇使用了同樣的賬戶密碼，被不法分子利用了，進(jìn)行了“掃號(hào)”。

　　與一般點(diǎn)對(duì)點(diǎn)的“盜號(hào)”直接獲取目標(biāo)賬戶密碼不同，“掃號(hào)”是通過(guò)曲折迂回方式獲得賬戶密碼。打個(gè)比方，一個(gè)人的賬戶、密碼就好比家里的大門(mén)和鑰匙，“盜號(hào)”就是不法分子盯上了你，一心一意竊取你家的鑰匙從而實(shí)施盜竊。而“掃號(hào)”則不同，不法分子批量竊取成百上千戶居民家中的各類鑰匙，一旦你家某扇門(mén)與批量鑰匙中的一把匹配，那么不法分子就能從批量鑰匙中試探出開(kāi)啟你家大門(mén)的那一把。

　　實(shí)為自動(dòng)批量登錄工具

　　掃號(hào)軟件究竟是一個(gè)怎么樣的軟件？360資深安全專家安揚(yáng)向記者揭開(kāi)其真實(shí)面目。

　　“說(shuō)白了，掃號(hào)軟件其實(shí)就是個(gè)自動(dòng)批量登錄工具。”安揚(yáng)解釋，“由于很多網(wǎng)站被黑客盜取用戶密碼庫(kù)，如此前的CSDN、天涯等多網(wǎng)站用戶數(shù)據(jù)泄露事件，而且有不少網(wǎng)友習(xí)慣在不同網(wǎng)站設(shè)置相同的注冊(cè)郵箱和密碼，掃號(hào)軟件就是利用網(wǎng)站泄露的數(shù)據(jù)庫(kù)，針對(duì)QQ、微博、電商、游戲等平臺(tái)進(jìn)行自動(dòng)批量登錄操作，找到能夠成功登錄的賬號(hào)?！?br />
　　舉例來(lái)說(shuō)，CSDN網(wǎng)站數(shù)據(jù)庫(kù)泄露了600余萬(wàn)個(gè)注冊(cè)郵箱和密碼，其中包括很多QQ郵箱注冊(cè)用戶。黑客想知道這些QQ號(hào)是否使用了和CSDN相同的密碼，逐個(gè)手工驗(yàn)證是非常麻煩的，于是就會(huì)使用掃號(hào)軟件自動(dòng)嘗試登錄，把能夠成功登錄的QQ號(hào)全部掃出來(lái)。

　　“一般來(lái)說(shuō)，掃號(hào)器都是針對(duì)某個(gè)網(wǎng)站或程序制作的，比如對(duì)QQ的掃號(hào)器，對(duì)微博的掃號(hào)器，對(duì)淘寶、京東等電商網(wǎng)站的掃號(hào)器。”而根據(jù)網(wǎng)站防范措施的不同，掃號(hào)器的技術(shù)含量和制作成本也有很大差別。

　　[專家建議]

　　網(wǎng)銀、電商賬戶應(yīng)單獨(dú)設(shè)密碼

　　360安全專家安揚(yáng)呼吁，用戶應(yīng)保持個(gè)人電腦系統(tǒng)安全，清除木馬等潛在風(fēng)險(xiǎn)。“網(wǎng)銀、電商、證券交易、常用郵箱、聊天賬戶等涉及財(cái)產(chǎn)和隱私安全的賬戶，應(yīng)單獨(dú)設(shè)置密碼，可以避免被掃號(hào)軟件登錄賬號(hào)。盡量使用‘字母+數(shù)字+特殊符號(hào)’形式的高強(qiáng)度密碼，字母可區(qū)分大小寫(xiě)，特殊符號(hào)可使用電腦鍵盤(pán)數(shù)字鍵上的那些字符?！?br />
　　他建議，網(wǎng)友可以按照賬戶重要程度對(duì)密碼進(jìn)行分級(jí)管理，密碼越重要，強(qiáng)度也要越高，且重要賬戶應(yīng)定期更換密碼?！氨苊庥蒙?、姓名拼音、手機(jī)號(hào)碼等與身份相關(guān)的信息作為密碼，因?yàn)楹诳歪槍?duì)特定目標(biāo)破解密碼時(shí)，往往首先試探此類信息?！?br />
    [記者體驗(yàn)]

　　通過(guò)掃號(hào)軟件真能成功登錄他人賬戶

　　數(shù)據(jù)正確但無(wú)法登錄

　　為了一窺“掃號(hào)軟件”的真面目，記者進(jìn)入名為“掃號(hào)器數(shù)據(jù)互換交流群”的QQ群中，并聯(lián)系到了賣家“小何”，提出要購(gòu)買淘寶主題的掃號(hào)器，對(duì)方開(kāi)價(jià)500元，并附贈(zèng)一個(gè)數(shù)據(jù)包。

　　付款后，對(duì)方很快通過(guò)QQ發(fā)來(lái)一個(gè)近9000個(gè)賬密的數(shù)據(jù)包文本文檔和“阿里和淘寶曬密1.03”掃號(hào)器。按照賣家示范的操作步驟，記者開(kāi)始親自“掃號(hào)”。幾分鐘后操作完畢，8971個(gè)賬號(hào)中有183個(gè)顯示“淘寶登錄成功”，并明文顯示賬戶密碼。不過(guò)記者發(fā)現(xiàn)用其中的一些賬號(hào)并不能成功登錄淘寶，而是出現(xiàn)了“您的賬戶可能被盜用，暫時(shí)限制使用，請(qǐng)按步驟自助開(kāi)通”的頁(yè)面提示，頁(yè)面跳轉(zhuǎn)后顯示需要手機(jī)接收并通過(guò)驗(yàn)證碼。

　　購(gòu)“一手?jǐn)?shù)據(jù)”后成功登錄

　　當(dāng)記者質(zhì)疑為什么掃號(hào)軟件顯示“淘寶登錄成功”的號(hào)卻不能在淘寶網(wǎng)上順利登錄時(shí)，賣家說(shuō)因?yàn)檫@些數(shù)據(jù)都是二手?jǐn)?shù)據(jù)，“都是我昨天掃過(guò)的，淘寶大概是檢測(cè)到了風(fēng)險(xiǎn)所以被寫(xiě)了保護(hù)?！庇浾哂谑怯忠?00元的價(jià)格從賣家“小何”手中買了1萬(wàn)個(gè)“一手?jǐn)?shù)據(jù)”。

　　還是同樣的掃號(hào)器，同樣的方式。這一次，10131個(gè)號(hào)全部經(jīng)由掃號(hào)器“掃號(hào)”，其中112個(gè)號(hào)顯示“淘寶登錄成功”并被記錄在自動(dòng)生成的“綜合結(jié)果”文本文檔。

　　粗覽這些數(shù)據(jù)，記者發(fā)現(xiàn)密碼大多比較簡(jiǎn)單，疑似生日密碼或是姓名拼音的結(jié)合占據(jù)了大多數(shù)，還有的竟然和登錄名相差無(wú)幾。

　　記者通過(guò)各種方式與其中的一些用戶取得聯(lián)系，在征得對(duì)方同意后，當(dāng)面嘗試用賬號(hào)和密碼登錄淘寶，結(jié)果發(fā)現(xiàn)能夠成功登錄并能查看所有信息，包括個(gè)人資料、交易記錄、收貨地址等。

　　綁定郵箱、手機(jī)都能改

　　在一位用戶的淘寶頁(yè)面中，記者通過(guò)“綁定支付寶設(shè)置”選項(xiàng)直接進(jìn)入其支付寶賬號(hào)。0元支付寶和數(shù)千元的余額寶余額都在主頁(yè)顯眼位置顯示，余額數(shù)字后面就是“轉(zhuǎn)賬”選項(xiàng)。

　　記者試圖點(diǎn)擊“轉(zhuǎn)賬”，選擇轉(zhuǎn)出至其綁定的銀行卡，又在“到賬時(shí)間”的兩個(gè)選項(xiàng)——“次日到賬（使用電腦轉(zhuǎn)出）”和“2小時(shí)到賬（使用手機(jī)轉(zhuǎn)出）”中勾選了前者。頁(yè)面繼而提示“您是數(shù)字證書(shū)用戶，但本臺(tái)電腦尚未安裝證書(shū)”。

　　按提示，記者開(kāi)始了安裝數(shù)字證書(shū)的第一步操作：需要輸入綁定手機(jī)上發(fā)送的驗(yàn)證碼，因?yàn)榻壎ǖ倪€是用戶自己的手機(jī)，記者點(diǎn)擊了手機(jī)號(hào)碼后的“更換號(hào)碼”選項(xiàng)。此時(shí)頁(yè)面跳轉(zhuǎn)到“人工處理”，填寫(xiě)修改手機(jī)號(hào)碼申請(qǐng)單：“我們會(huì)將申請(qǐng)單發(fā)送至您的郵箱”，并附有該用戶綁定的郵箱。

　　記者修改綁定郵箱。而這次，沒(méi)有任何驗(yàn)證要求就彈出“修改郵箱地址”對(duì)話框，附加提醒“此郵箱僅作為本次聯(lián)系使用”。當(dāng)記者填寫(xiě)完自己的郵箱并點(diǎn)擊“發(fā)送郵件”后，順利收到發(fā)來(lái)的驗(yàn)證郵件，點(diǎn)擊郵件中的鏈接便跳轉(zhuǎn)到修改手機(jī)號(hào)的頁(yè)面，頁(yè)面顯示“輸入新手機(jī)號(hào)碼”。至此，記者只需要輸入新的手機(jī)號(hào)，就能替換掉原本綁定的手機(jī)號(hào)。

　　■支付寶解釋

　　“掃號(hào)”+其他信息泄露才可能轉(zhuǎn)賬成功

　　通過(guò)掃號(hào)軟件，是否就能成功修改綁定的手機(jī)和郵箱，繼而轉(zhuǎn)走賬戶內(nèi)的資金呢？記者就此聯(lián)系了支付寶公關(guān)部經(jīng)理朱健。

　　朱健表示，支付寶被“掃號(hào)”的情況確實(shí)存在，自己也有所耳聞。他解釋：“可能是用戶在一些有風(fēng)險(xiǎn)的小網(wǎng)站上泄露了賬號(hào)密碼，并且用同樣的賬號(hào)密碼綁定了支付寶，從而被不法分子試驗(yàn)到并企圖利用?！彼f(shuō)：“我們的支付寶是雙密碼設(shè)置（登錄密碼和支付密碼），還有層層數(shù)字證書(shū)、手機(jī)校驗(yàn)等關(guān)卡，不法分子想要通過(guò)‘掃號(hào)’轉(zhuǎn)移資金沒(méi)那么容易。 ”

　　對(duì)于用戶被“掃號(hào)”的情況，朱健解釋，不法分子雖然能夠替換掉用戶的綁定手機(jī)和郵箱，但在轉(zhuǎn)賬時(shí)，還需要輸入支付寶支付密碼，“支付寶是雙密碼設(shè)置，而一些用戶被破解的是登錄密碼，因此支付密碼還是相對(duì)安全的。除非他其他的個(gè)人信息也被騙子掌握了，進(jìn)一步替換掉了他的個(gè)人身份信息及支付密碼，才有可能轉(zhuǎn)賬成功。 ”

　　朱健表示，“我們有一個(gè)實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)控系統(tǒng)，每天進(jìn)行1.2億次行為監(jiān)控，能夠偵測(cè)絕大多數(shù)非正常行為并予以實(shí)時(shí)處理，一旦發(fā)現(xiàn)異常，會(huì)通過(guò)發(fā)送校驗(yàn)碼或凍結(jié)賬戶方式進(jìn)行確認(rèn)。 ”


    （編輯：Jesse）