社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
主题 : 明天双12,当心支付宝账户被“扫号”
可乐 离线
级别: 总版主

UID: 5
精华: 13
发帖: 92169
金钱: 158139 金贝壳
威望: 151831 海の珠
贡献值: 0 蓝宝石
交易币: 0
在线时间: 5091(时)
注册时间: 2007-07-15
最后登录: 2015-01-02
0  发表于: 2013-12-11   

明天双12,当心支付宝账户被“扫号”

有市民被“扫”走3万元 涉财产账户若与其他网站使用同一套账号密码,有被盗风险


“扫号”三步走

    1 “黑客”盗取数据包

    扫号群里叫卖的数据包括淘宝、支付宝、邮箱、百度贴吧、微博、游戏等的账号密码。一名卖家透露,自己数据的终极来源是黑客。

    2  “扫”数据获取账密

    打开扫号软件,点击 “导入账号”,打开买来的数据包后,软件自动进行匹配。运行过程中,账号、密码明文显示。 “过滤登录状态”栏显示“淘宝登录成功”,则表示通过了扫号器的验证,是正确的账号密码。

    3  登录账户盗取资金

    扫号结束,用获取的账号、密码登录淘宝账户。如果被入侵用户还有其他个人信息遭泄露,其账户资金安全可能受到威胁。

    “双11”刚走,“双12”又来,在一个接一个的促销诱惑下,网民们不断向支付宝账户充值。而里面大量的资金,正成为不法分子最渴望的猎物。晨报记者经数周调查发现,有一些不法分子通过黑客买来用户数据,再将其输入专门设计的“扫号软件”,便能轻而易举入侵用户的支付宝账户,进而转移资金,或者进行其他类型的犯罪。


可乐 离线
级别: 总版主

UID: 5
精华: 13
发帖: 92169
金钱: 158139 金贝壳
威望: 151831 海の珠
贡献值: 0 蓝宝石
交易币: 0
在线时间: 5091(时)
注册时间: 2007-07-15
最后登录: 2015-01-02
1  发表于: 2013-12-11   
[专家建议]

网银、电商账户应单独设密码

    360安全专家安扬呼吁,用户应保持个人电脑系统安全,清除木马等潜在风险。“网银、电商、证券交易、常用邮箱、聊天账户等涉及财产和隐私安全的账户,应单独设置密码,可以避免被扫号软件登录账号。尽量使用‘字母+数字+特殊符号’形式的高强度密码,字母可区分大小写,特殊符号可使用电脑键盘数字键上的那些字符。”

    他建议,网友可以按照账户重要程度对密码进行分级管理,密码越重要,强度也要越高,且重要账户应定期更换密码。“避免用生日、姓名拼音、手机号码等与身份相关的信息作为密码,因为黑客针对特定目标破解密码时,往往首先试探此类信息。”

可乐 离线
级别: 总版主

UID: 5
精华: 13
发帖: 92169
金钱: 158139 金贝壳
威望: 151831 海の珠
贡献值: 0 蓝宝石
交易币: 0
在线时间: 5091(时)
注册时间: 2007-07-15
最后登录: 2015-01-02
2  发表于: 2013-12-11   
[记者体验]

通过扫号软件真能成功登录他人账户

数据正确但无法登录

    为了一窥“扫号软件”的真面目,记者进入名为“扫号器数据互换交流群”的QQ群中,并联系到了卖家“小何”,提出要购买淘宝主题的扫号器,对方开价500元,并附赠一个数据包。

    付款后,对方很快通过QQ发来一个近9000个账密的数据包文本文档和“阿里和淘宝晒密1.03”扫号器。按照卖家示范的操作步骤,记者开始亲自“扫号”。几分钟后操作完毕,8971个账号中有183个显示“淘宝登录成功”,并明文显示账户密码。不过记者发现用其中的一些账号并不能成功登录淘宝,而是出现了“您的账户可能被盗用,暂时限制使用,请按步骤自助开通”的页面提示,页面跳转后显示需要手机接收并通过验证码。

可乐 离线
级别: 总版主

UID: 5
精华: 13
发帖: 92169
金钱: 158139 金贝壳
威望: 151831 海の珠
贡献值: 0 蓝宝石
交易币: 0
在线时间: 5091(时)
注册时间: 2007-07-15
最后登录: 2015-01-02
3  发表于: 2013-12-11   
购“一手数据”后成功登录

    当记者质疑为什么扫号软件显示“淘宝登录成功”的号却不能在淘宝网上顺利登录时,卖家说因为这些数据都是二手数据,“都是我昨天扫过的,淘宝大概是检测到了风险所以被写了保护。”记者于是又以300元的价格从卖家“小何”手中买了1万个“一手数据”。

    还是同样的扫号器,同样的方式。这一次,10131个号全部经由扫号器“扫号”,其中112个号显示“淘宝登录成功”并被记录在自动生成的“综合结果”文本文档。

    粗览这些数据,记者发现密码大多比较简单,疑似生日密码或是姓名拼音的结合占据了大多数,还有的竟然和登录名相差无几。

    记者通过各种方式与其中的一些用户取得联系,在征得对方同意后,当面尝试用账号和密码登录淘宝,结果发现能够成功登录并能查看所有信息,包括个人资料、交易记录、收货地址等。

可乐 离线
级别: 总版主

UID: 5
精华: 13
发帖: 92169
金钱: 158139 金贝壳
威望: 151831 海の珠
贡献值: 0 蓝宝石
交易币: 0
在线时间: 5091(时)
注册时间: 2007-07-15
最后登录: 2015-01-02
4  发表于: 2013-12-11   
绑定邮箱、手机都能改

    在一位用户的淘宝页面中,记者通过“绑定支付宝设置”选项直接进入其支付宝账号。0元支付宝和数千元的余额宝余额都在主页显眼位置显示,余额数字后面就是“转账”选项。

    记者试图点击“转账”,选择转出至其绑定的银行卡,又在“到账时间”的两个选项——“次日到账(使用电脑转出)”和“2小时到账(使用手机转出)”中勾选了前者。页面继而提示“您是数字证书用户,但本台电脑尚未安装证书”。

    按提示,记者开始了安装数字证书的第一步操作:需要输入绑定手机上发送的验证码,因为绑定的还是用户自己的手机,记者点击了手机号码后的“更换号码”选项。此时页面跳转到“人工处理”,填写修改手机号码申请单:“我们会将申请单发送至您的邮箱”,并附有该用户绑定的邮箱。

    记者修改绑定邮箱。而这次,没有任何验证要求就弹出“修改邮箱地址”对话框,附加提醒“此邮箱仅作为本次联系使用”。当记者填写完自己的邮箱并点击“发送邮件”后,顺利收到发来的验证邮件,点击邮件中的链接便跳转到修改手机号的页面,页面显示“输入新手机号码”。至此,记者只需要输入新的手机号,就能替换掉原本绑定的手机号。

可乐 离线
级别: 总版主

UID: 5
精华: 13
发帖: 92169
金钱: 158139 金贝壳
威望: 151831 海の珠
贡献值: 0 蓝宝石
交易币: 0
在线时间: 5091(时)
注册时间: 2007-07-15
最后登录: 2015-01-02
5  发表于: 2013-12-11   
■支付宝解释

“扫号”+其他信息泄露才可能转账成功

    通过扫号软件,是否就能成功修改绑定的手机和邮箱,继而转走账户内的资金呢?记者就此联系了支付宝公关部经理朱健。

    朱健表示,支付宝被“扫号”的情况确实存在,自己也有所耳闻。他解释:“可能是用户在一些有风险的小网站上泄露了账号密码,并且用同样的账号密码绑定了支付宝,从而被不法分子试验到并企图利用。”他说:“我们的支付宝是双密码设置(登录密码和支付密码),还有层层数字证书、手机校验等关卡,不法分子想要通过‘扫号’转移资金没那么容易。 ”

    对于用户被“扫号”的情况,朱健解释,不法分子虽然能够替换掉用户的绑定手机和邮箱,但在转账时,还需要输入支付宝支付密码,“支付宝是双密码设置,而一些用户被破解的是登录密码,因此支付密码还是相对安全的。除非他其他的个人信息也被骗子掌握了,进一步替换掉了他的个人身份信息及支付密码,才有可能转账成功。 ”

    朱健表示,“我们有一个实时风险监控系统,每天进行1.2亿次行为监控,能够侦测绝大多数非正常行为并予以实时处理,一旦发现异常,会通过发送校验码或冻结账户方式进行确认。 ”

新闻晨报记者 王亦菲 实习生 裴小絗

独行 离线
级别: 论坛版主

UID: 89
精华: 13
发帖: 4545
金钱: 13891 金贝壳
威望: 7140 海の珠
贡献值: 11 蓝宝石
交易币: 0
在线时间: 1014(时)
注册时间: 2007-07-26
最后登录: 2017-02-08
6  发表于: 2013-12-11   
确实应该小心点。我的支付宝密码和其他网站密码不一样
风之情怀 离线
级别: 总版主

UID: 1073
精华: 10
发帖: 11959
金钱: 5660 金贝壳
威望: 17129 海の珠
贡献值: 10 蓝宝石
交易币: 0
在线时间: 803(时)
注册时间: 2008-04-27
最后登录: 2015-12-21
7  发表于: 2013-12-13   
我的支付宝里是不放钱的,网购都是手机支付的
岁月无情,把一个人的所有压缩到无形,苍天有爱,只为一个人的承诺
描述
快速回复

验证问题:
请问我们网站的名字叫什么?(答案: 海聋网 ) 正确答案:海聋网
按"Ctrl+Enter"直接提交
      你的浏览器不支持js脚本,无法发帖,请修改浏览器设置,支持js脚本并刷新页面后再发帖!