.

你还敢一套密码打天下吗撞库可能让你倾

网络时代处处需要账号密码,你的密码是姓名,还是姓名+生日呢?你的各个平台密码是通用的吗?小心你的账号密码,可能已经落入"撞库"大盗的碗里。近日,江苏盐城警方公布了"净网"专项行动——"撞库"案例。撞库究竟是什么?网络时代又该如何设置自己的密码?现代快报记者带着问题请教了网络安全专家。

△犯罪团伙作案所用的机器

"撞库"黑客团伙盗取账号1万多条,涉案资金近千万元

年4月,江苏盐城警方在"净网"专项行动中发现,盐城响水县境内某些宽带地址,存在短时间反复尝试登入某大型网购平台的异常行为。接到警方通报后,涉事企业立即梳理了可能存在的安全防护风险隐患,进一步完善优化登录机制,严控高频登录和模仿真实用户登录等异常情况,最大限度堵塞了安全漏洞。

那这些批量异常登录到底是怎么回事呢?警方进一步侦查发现,原来这就是传说中的"撞库"。一伙人租用了响水一处电信机房的服务器,通过非法技术手段,绕开该网购平台的风控机制非法获取用户账号密码。办案民警根据网络信息研判和数据,排查发现这个网络犯罪团伙背后有着一个复杂的产业链,涉案成员分布在全国多个省市。

"他们中有人负责编写撞库软件,有人专门提供盗取的账号密码,还有人用这些非法获取的账号密码,去尝试破解该网民的其他账号,形成了上下游黑灰产业链条。"盐城市公安局网安支队负责人介绍。

今年10月份,在掌握犯罪嫌疑人的犯罪事实和主要架构后,响水警方组织警力赴江西、河北、浙江、贵州等省集中展开抓捕,共抓获10名犯罪嫌疑人。

经民警查实,该"撞库"黑客团伙累计盗取账号一万两千多条,涉案资金近千万元。截止目前,已有5人被检察机关提起公诉。

撞库的目的是什么?盗用资金、诈骗、刷单都能实现

什么叫"撞库"?江苏省网络信息安全协会专家、南京理工大学教授李千目解释道,撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。

△撞库示意图

为了方便记忆,很多人在登录不同网站的时候都喜欢用同一个用户名和密码。而"撞库"便是利用民众的这一习惯,从非法获取的若干套账号入手,利用自动化工具(如脚本)去其它网站接口批量提交账号密码组合,如能登录,则"撞库"成功。他们会将"撞库"成功的账号密码记录下来,为接下来做其他的坏事做好准备。

"一旦账号密码如果在人家手里,那能干的就多了。比如将银行账号中的资金转走,将游戏账号中的虚拟物品出售,盗用他人身份发表一些言论,用购物账号中的优惠券和预存款买东西等。失窃的账号信息还会反反复复地被买卖,从而带来其它损失。"李千目表示。

记者了解到,年5月,泰州姜堰警方通过缜密侦查,组织警力奔赴全国多地开展收网行动,成功捣毁了一个涉嫌侵犯公民个人信息的犯罪团伙,一举抓获犯罪嫌疑人13名。据悉,短短一年多,该团伙非法售卖的公民信息竟达到2亿余条。而团伙主要成员供述,其购买大量电子邮箱的账户、密码后,除了转手倒卖牟利外,最赚钱的还是通过"撞库"手段攻击各类网络游戏数据库,盗取游戏账号后,再高价出售。

你的密码还是这样设置的吗?公安部网安局发出提醒

目前,最常见的撞库方法有这么几种。首当其冲的就是用N个配套的账号、密码进行登录。用从其他网站得来的一一对应的账号、密码,在其他网站直接使用。其次就是,用N个密码撞N个账号。用多个密码轮番尝试登录多个账号。在短时间内,一个账号被用不同的密码尝试登录多次。最后就是,用少数几个密码撞N个账号。筛选少数几个典型的密码轮番对N个账号进行试登陆。短时间内,使用同一密码登录不同账户的频率较高。

12月12日,现代快报记者对人们常用的密码类型进行了采访,经过对30名市民的统计,可以大致分为以下几大类:使用简易数字组合(如);键盘垂直或水平排列组合(如qwerty、1qaz2wsx);生日相关单词;姓名相关和与偶像相关的单词。

近日,公安部网安局发出"净网"提醒,设置密码时,避免过于简单、易猜。养成定期更改密码的习惯,同时根据账号重要性、是否涉及财产等分级管理,避免一码多用。在公共设备上登录个人账号时,不要勾选"记住密码""默认登录"等选项,尽可能选择匿名登录。

(图片来源:公安部网安局)

来源:北青网




转载请注明:http://www.abachildren.com/sszl/2611.html