?　　

　　對于很多普通網民來說,總感覺網絡攻擊離自己很遙遠,但其實用戶收到的每一條有針對性的電信詐騙信息背后,都藏著一次甚至數次黑客行動。

　　——360首席安全專家

　　半島記者　景毅

　　手機解鎖、電腦登錄、銀行轉賬、WiFi連接、網站登錄……現如今,人們對互聯網的依賴程度越來越高。而大部分電信詐騙案都與密碼有關。近期頻發的網絡信息泄露事件,更是增添了人們的憂慮。近期上海警方從犯罪分子手中截獲已被破解的用戶信息有3.2億條。如果按照我國平均每人擁有一個手機號碼來算,3.2億條信息,意味著每4個手機號中就有一個綁定者信息已經被泄露或者被攻破。

　　不可靠的密碼

　　近日,一起看似普通的電信詐騙案引發了民眾對個人密碼安全的極大擔憂。上海市民丁女士在睡夢中被不法分子將銀行賬戶內10多萬元存款悉數轉走,不僅如此,連她名下的另一張信用卡也被盜刷,甚至“被申請”了7萬元的浦發銀行萬用金貸款。更為奇怪的是,受害者并未接到任何詐騙信息或電話,而且有良好的安全意識,銀行卡從未離身,密碼也從未泄露,連轉賬也是用銀行配發的U盾。那么卡里的錢是怎么憑空消失的呢?

　　上海警方經過大量調查后,終于摸清了這一蹊蹺案件的來龍去脈。原來,不法分子利用黑客技術,自己編寫了軟件來掃各類網站,把批量生成的手機號碼對應的登錄密碼掃出來。這在業界被稱為“撞庫”。這種簡單粗暴的方法,直接得到了用戶最關鍵的登錄信息。撞(數據)庫的速度也很快,每分鐘就能跑1000個,而據民警透露,成功率在50%以上。

　　利用撞庫攻破密碼登錄了網銀之后,要想轉賬,繞不過的還有一步——隨機驗證碼。要拿到驗證碼,不法分子也有辦法攻破用戶手機,讀到短信。如此一來,不法分子通過收到的隨機驗證碼即可輕松完成銀行轉賬甚至借貸。

　　據悉,此次警方從犯罪分子手中截獲的已被破解的用戶信息有3.2億條。如果按照我國平均每人擁有一個手機號碼來算,3.2億條信息,意味著每4個人當中就有一個人的信息已經被泄露或者被攻破,這個數字讓人不寒而栗。

　　“能不能攻破你的密碼,其實只是個時間問題,愿不愿攻破,那就是你本身的‘價值’問題了。”360首席安全專家裴智勇博士告訴記者,看似十分隱秘安全的密碼和賬號,實際上在電信詐騙分子那里早已成為公開的秘密。

　　據介紹,2015年僅補天平臺收錄的漏洞中,就有1400余個漏洞可造成個人信息泄露,可泄露信息規模達55.3億條,2016年又收錄了300余個可造成個人信息泄露的漏洞,約可泄露個人信息50余億條。這公開的秘密,滋生的是一起起電信詐騙案件、千億級黑產市場。

　　你的密碼永遠少一位

　　看似十分隱秘安全的密碼,為何會被輕易攻破?“所有不安全的密碼都有一個特征,那就是容易被猜中,當然這個猜不是自己琢磨,而是靠技術來排查。”360安全專家葛健按照危險等級,把密碼設置方式分成了4級。

　　第一級,使用用戶名(賬號)作為密碼。“幾乎所有以破解口令為手段的黑客軟件,都首先會將用戶名作為口令的突破口,而破解這種密碼幾乎不需要時間。”

　　第二級,使用用戶名(賬號)的變換形式作為密碼。使用這種方法的用戶自以為很聰明,將用戶名顛倒或者加前后綴作為口令。但是一些高級破解工具會自動嘗試用戶名+前后綴的方式進行破解,這種方式同樣危險。　

　　第三級,使用自己或者親友的生日作為密碼。這種口令往往可以得到一個6位或者8位的口令,看上去要更安全。然而葛健介紹,使用生日作為口令盡管有6位甚至8位,但實際上可能的表達方式只有223200種,而一臺普通的計算機僅僅需要5.58秒時間就可以搜索完所有可能的密碼。

　　第四級,使用5位或5位以下的字符作為密碼。葛健介紹,很多人覺得自己只要多用數字、字母外加符號的組合,即便密碼的位數少點也很難被破解,但事實上對于一個訓練有素的黑客來說,短密碼即意味著沒有密碼。

　　葛健解釋,從理論上來說,一個普通系統包括大小寫、控制符等可以作為口令的字符一共有95個,如果是5位數密碼的話,所有的組合就是95的5次方種可能性。而一臺普通電腦窮舉出所有可能最多也不過53個小時。再考慮還有更多的用戶只喜歡使用小寫字母加數字作為口令,那么就只有36的5次方種可能性,25分鐘就可以破解。“盡管密碼有被攻破的可能,但多一位數其攻破的時間就會猛漲,比如用6位密碼,攻破時間就要延長到一周。”

　　無處不在的陷阱

　　“黑客無處不在。”葛健告訴記者,對于很多普通網民、銀行用戶來說,總感覺黑客、網絡攻擊離自己很遙遠,但其實用戶收到的每一條有針對性的電信詐騙信息背后,都藏著一次甚至數次黑客行動。

　　葛健介紹,在電信網絡詐騙產業鏈上游,一群黑客專門通過入侵有安全漏洞或者安全防御級別低的網站來取得大量用戶數據,專業術語叫做“拖庫”。隨后由詐騙產業鏈的中游負責“洗庫”,也就是通過技術手段將有價值的用戶數據歸納分析,售賣變現。詐騙集團在下游,將買來的信息利用“撞庫”技術登錄受害者的手機銀行、網站等平臺。

　　黑客是如何完成拖庫、撞庫這些動作的呢?葛健介紹,首先,黑客對目標網站進行掃描,查找其存在的漏洞,常見漏洞包括SQL注入、文件上傳漏洞等。然后,黑客通過該漏洞在網站服務器上建立“后門”,通過該后門獲取服務器操作系統的權限。接下來,他們再利用系統權限直接下載備份數據庫。

　　撞庫則是黑客通過收集互聯網已泄露的用戶和密碼信息,生成對應的字典表,嘗試批量登錄其他網站后,得到一系列可以登錄的用戶。葛健告訴記者,只要用戶使用同樣賬戶和密碼的網站中有一個網站存在漏洞,那么其他網站的信息也都將面臨泄露的風險。

　　葛健表示,如果用戶密碼較為復雜,黑客就難以使用“暴力”方式破解。但這并不意味著黑客就沒辦法了,如果用戶“價值”大,這時黑客往往通過給用戶安裝木馬病毒,設計“擊鍵記錄”程序,記錄和監聽用戶的擊鍵操作,然后通過分析破解出用戶的密碼。有些網站為了防止擊鍵記錄工具,產生了使用鼠標和圖片錄入密碼的方式,這時黑客可以通過木馬程序將用戶屏幕截下來,然后通過對比破解用戶密碼。

　　葛健表示,相對于上述通過猜、算、偷等方式的盜密手段,“釣魚”就稍顯復雜但也最為有效。網絡釣魚是指攻擊利用欺騙性的電子郵件和偽造的網站鏈接來進行詐騙活動。受騙者誤入高仿的釣魚網站,將自己的敏感信息(如用戶名、口令、賬號、PIN碼或信用卡詳細信息)直接貢獻給了網絡黑客。

　　“其實,相對于程序盜密,更為有技術含量的是推理盜密。”葛健表示,如果用戶使用了多個系統,黑客可以通過先破解較為簡單的系統的用戶密碼,然后用已經破解的密碼推算出其他系統的用戶密碼。

　　給網絡密碼加把鎖

　　沒有保不住的密碼,只有懶得保密的人。保護密碼最常用的手段是使用復雜的密碼。這種方式適用于QQ等即時通訊工具、郵箱和各種網站登錄等。暴力破解密碼對于簡單的長度較短的密碼非常有效,但是如果網絡用戶把密碼設得較長一些而且沒有明顯規律特征,那么窮舉破解工具的破解過程就變得非常困難。

　　葛健表示,密碼長度應該至少大于6位,最好大于8位,密碼中最好包含字母、數字和符號,不要使用純數字的密碼,不要使用常用英文單詞的組合,更不要使用自己的姓名和生日作為密碼。

　　防范擊鍵記錄,目前比較普遍的方法就是通過軟鍵盤輸入。用戶在輸入密碼時,先打開軟鍵盤,然后用鼠標選擇相應的字母輸入,這樣就可以避免木馬記錄擊鍵。此外,為了更進一步保護密碼,用戶還可以打亂輸入密碼的順序。

　　“保護密碼其實不在技巧,而在于習慣。”葛健表示,將密碼保存在網絡上其實是一個非常不好的習慣,如果本地沒有一個很好的加密策略,那將給黑客破解密碼大開方便之門。“郵箱里盡量不要保存任何其他賬戶的密碼登錄信息,否則一旦郵箱被盜,其他賬戶也會一損俱損。”

　　葛健認為,最好的保密方法就是定期更換密碼。不要所有系統使用同一個密碼。對于那些偶爾登錄的論壇,可以設置簡單的密碼；對于重要的信息、電子郵件、網上銀行之類,設置復雜的密碼。不要把論壇、電子郵箱和銀行賬戶設置成同一個密碼。

　　為了防止密碼過多記不住,葛健建議可以使用統一規則設置不同密碼,比如,設置一個基本密碼,然后根據不同的網站在基本密碼基礎上添加前后綴從而生成網站獨特的密碼。“比如用戶的基本密碼是qaz279,登錄網易郵箱時則可以添加網易首字母wy,組成wyqaz279,登錄新浪微博則添加xl,組成xlqaz279。”

　　 （來源：半島網-半島都市報） [編輯: 張珍珍]