对于很多普通网民来说,总感觉网络攻击离自己很遥远,但其实用户收到的每一条有针对性的电信诈骗信息背后,都藏着一次甚至数次黑客行动。
——360首席安全专家
手机解锁、电脑登录、银行转账、WiFi连接、网站登录……现如今,人们对互联网的依赖程度越来越高。而大部分电信诈骗案都与密码有关。近期频发的网络信息泄露事件,更是增添了人们的忧虑。近期上海警方从犯罪分子手中截获已被破解的用户信息有3.2亿条。如果按照我国平均每人拥有一个手机号码来算,3.2亿条信息,意味着每4个手机号中就有一个绑定者信息已经被泄露或者被攻破。
不可靠的密码
近日,一起看似普通的电信诈骗案引发了民众对个人密码安全的极大担忧。上海市民丁女士在睡梦中被不法分子将银行账户内10多万元存款悉数转走,不仅如此,连她名下的另一张信用卡也被盗刷,甚至“被申请”了7万元的浦发银行万用金贷款。更为奇怪的是,受害者并未接到任何诈骗信息或电话,而且有良好的安全意识,银行卡从未离身,密码也从未泄露,连转账也是用银行配发的U盾。那么卡里的钱是怎么凭空消失的呢?
上海警方经过大量调查后,终于摸清了这一蹊跷案件的来龙去脉。原来,不法分子利用黑客技术,自己编写了软件来扫各类网站,把批量生成的手机号码对应的登录密码扫出来。这在业界被称为“撞库”。这种简单粗暴的方法,直接得到了用户最关键的登录信息。撞(数据)库的速度也很快,每分钟就能跑1000个,而据民警透露,成功率在50%以上。
利用撞库攻破密码登录了网银之后,要想转账,绕不过的还有一步——随机验证码。要拿到验证码,不法分子也有办法攻破用户手机,读到短信。如此一来,不法分子通过收到的随机验证码即可轻松完成银行转账甚至借贷。
据悉,此次警方从犯罪分子手中截获的已被破解的用户信息有3.2亿条。如果按照我国平均每人拥有一个手机号码来算,3.2亿条信息,意味着每4个人当中就有一个人的信息已经被泄露或者被攻破,这个数字让人不寒而栗。
“能不能攻破你的密码,其实只是个时间问题,愿不愿攻破,那就是你本身的‘价值’问题了。”360首席安全专家裴智勇博士告诉记者,看似十分隐秘安全的密码和账号,实际上在电信诈骗分子那里早已成为公开的秘密。
据介绍,2015年仅补天平台收录的漏洞中,就有1400余个漏洞可造成个人信息泄露,可泄露信息规模达55.3亿条,2016年又收录了300余个可造成个人信息泄露的漏洞,约可泄露个人信息50余亿条。这公开的秘密,滋生的是一起起电信诈骗案件、千亿级黑产市场。
你的密码永远少一位
看似十分隐秘安全的密码,为何会被轻易攻破?“所有不安全的密码都有一个特征,那就是容易被猜中,当然这个猜不是自己琢磨,而是靠技术来排查。”360安全专家葛健按照危险等级,把密码设置方式分成了4级。
第一级,使用用户名(账号)作为密码。“几乎所有以破解口令为手段的黑客软件,都首先会将用户名作为口令的突破口,而破解这种密码几乎不需要时间。”
第二级,使用用户名(账号)的变换形式作为密码。使用这种方法的用户自以为很聪明,将用户名颠倒或者加前后缀作为口令。但是一些高级破解工具会自动尝试用户名+前后缀的方式进行破解,这种方式同样危险。
第三级,使用自己或者亲友的生日作为密码。这种口令往往可以得到一个6位或者8位的口令,看上去要更安全。然而葛健介绍,使用生日作为口令尽管有6位甚至8位,但实际上可能的表达方式只有223200种,而一台普通的计算机仅仅需要5.58秒时间就可以搜索完所有可能的密码。
第四级,使用5位或5位以下的字符作为密码。葛健介绍,很多人觉得自己只要多用数字、字母外加符号的组合,即便密码的位数少点也很难被破解,但事实上对于一个训练有素的黑客来说,短密码即意味着没有密码。
葛健解释,从理论上来说,一个普通系统包括大小写、控制符等可以作为口令的字符一共有95个,如果是5位数密码的话,所有的组合就是95的5次方种可能性。而一台普通电脑穷举出所有可能最多也不过53个小时。再考虑还有更多的用户只喜欢使用小写字母加数字作为口令,那么就只有36的5次方种可能性,25分钟就可以破解。“尽管密码有被攻破的可能,但多一位数其攻破的时间就会猛涨,比如用6位密码,攻破时间就要延长到一周。”
无处不在的陷阱
“黑客无处不在。”葛健告诉记者,对于很多普通网民、银行用户来说,总感觉黑客、网络攻击离自己很遥远,但其实用户收到的每一条有针对性的电信诈骗信息背后,都藏着一次甚至数次黑客行动。
葛健介绍,在电信网络诈骗产业链上游,一群黑客专门通过入侵有安全漏洞或者安全防御级别低的网站来取得大量用户数据,专业术语叫做“拖库”。随后由诈骗产业链的中游负责“洗库”,也就是通过技术手段将有价值的用户数据归纳分析,售卖变现。诈骗集团在下游,将买来的信息利用“撞库”技术登录受害者的手机银行、网站等平台。
黑客是如何完成拖库、撞库这些动作的呢?葛健介绍,首先,黑客对目标网站进行扫描,查找其存在的漏洞,常见漏洞包括SQL注入、文件上传漏洞等。然后,黑客通过该漏洞在网站服务器上建立“后门”,通过该后门获取服务器操作系统的权限。接下来,他们再利用系统权限直接下载备份数据库。
撞库则是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。葛健告诉记者,只要用户使用同样账户和密码的网站中有一个网站存在漏洞,那么其他网站的信息也都将面临泄露的风险。
葛健表示,如果用户密码较为复杂,黑客就难以使用“暴力”方式破解。但这并不意味着黑客就没办法了,如果用户“价值”大,这时黑客往往通过给用户安装木马病毒,设计“击键记录”程序,记录和监听用户的击键操作,然后通过分析破解出用户的密码。有些网站为了防止击键记录工具,产生了使用鼠标和图片录入密码的方式,这时黑客可以通过木马程序将用户屏幕截下来,然后通过对比破解用户密码。
葛健表示,相对于上述通过猜、算、偷等方式的盗密手段,“钓鱼”就稍显复杂但也最为有效。网络钓鱼是指攻击利用欺骗性的电子邮件和伪造的网站链接来进行诈骗活动。受骗者误入高仿的钓鱼网站,将自己的敏感信息(如用户名、口令、账号、PIN码或信用卡详细信息)直接贡献给了网络黑客。
“其实,相对于程序盗密,更为有技术含量的是推理盗密。”葛健表示,如果用户使用了多个系统,黑客可以通过先破解较为简单的系统的用户密码,然后用已经破解的密码推算出其他系统的用户密码。
给网络密码加把锁
没有保不住的密码,只有懒得保密的人。保护密码最常用的手段是使用复杂的密码。这种方式适用于QQ等即时通讯工具、邮箱和各种网站登录等。暴力破解密码对于简单的长度较短的密码非常有效,但是如果网络用户把密码设得较长一些而且没有明显规律特征,那么穷举破解工具的破解过程就变得非常困难。
葛健表示,密码长度应该至少大于6位,最好大于8位,密码中最好包含字母、数字和符号,不要使用纯数字的密码,不要使用常用英文单词的组合,更不要使用自己的姓名和生日作为密码。
防范击键记录,目前比较普遍的方法就是通过软键盘输入。用户在输入密码时,先打开软键盘,然后用鼠标选择相应的字母输入,这样就可以避免木马记录击键。此外,为了更进一步保护密码,用户还可以打乱输入密码的顺序。
“保护密码其实不在技巧,而在于习惯。”葛健表示,将密码保存在网络上其实是一个非常不好的习惯,如果本地没有一个很好的加密策略,那将给黑客破解密码大开方便之门。“邮箱里尽量不要保存任何其他账户的密码登录信息,否则一旦邮箱被盗,其他账户也会一损俱损。”
葛健认为,最好的保密方法就是定期更换密码。不要所有系统使用同一个密码。对于那些偶尔登录的论坛,可以设置简单的密码;对于重要的信息、电子邮件、网上银行之类,设置复杂的密码。不要把论坛、电子邮箱和银行账户设置成同一个密码。
为了防止密码过多记不住,葛健建议可以使用统一规则设置不同密码,比如,设置一个基本密码,然后根据不同的网站在基本密码基础上添加前后缀从而生成网站独特的密码。“比如用户的基本密码是qaz279,登录网易邮箱时则可以添加网易首字母wy,组成wyqaz279,登录新浪微博则添加xl,组成xlqaz279。”
半岛记者 景毅
[编辑:光影]分享
大家爱看
