?　　

　　對(duì)于很多普通網(wǎng)民來說,總感覺網(wǎng)絡(luò)攻擊離自己很遙遠(yuǎn),但其實(shí)用戶收到的每一條有針對(duì)性的電信詐騙信息背后,都藏著一次甚至數(shù)次黑客行動(dòng)。

　　——360首席安全專家

　　半島記者　景毅

　　手機(jī)解鎖、電腦登錄、銀行轉(zhuǎn)賬、WiFi連接、網(wǎng)站登錄……現(xiàn)如今,人們對(duì)互聯(lián)網(wǎng)的依賴程度越來越高。而大部分電信詐騙案都與密碼有關(guān)。近期頻發(fā)的網(wǎng)絡(luò)信息泄露事件,更是增添了人們的憂慮。近期上海警方從犯罪分子手中截獲已被破解的用戶信息有3.2億條。如果按照我國(guó)平均每人擁有一個(gè)手機(jī)號(hào)碼來算,3.2億條信息,意味著每4個(gè)手機(jī)號(hào)中就有一個(gè)綁定者信息已經(jīng)被泄露或者被攻破。

　　不可靠的密碼

　　近日,一起看似普通的電信詐騙案引發(fā)了民眾對(duì)個(gè)人密碼安全的極大擔(dān)憂。上海市民丁女士在睡夢(mèng)中被不法分子將銀行賬戶內(nèi)10多萬元存款悉數(shù)轉(zhuǎn)走,不僅如此,連她名下的另一張信用卡也被盜刷,甚至“被申請(qǐng)”了7萬元的浦發(fā)銀行萬用金貸款。更為奇怪的是,受害者并未接到任何詐騙信息或電話,而且有良好的安全意識(shí),銀行卡從未離身,密碼也從未泄露,連轉(zhuǎn)賬也是用銀行配發(fā)的U盾。那么卡里的錢是怎么憑空消失的呢?

　　上海警方經(jīng)過大量調(diào)查后,終于摸清了這一蹊蹺案件的來龍去脈。原來,不法分子利用黑客技術(shù),自己編寫了軟件來掃各類網(wǎng)站,把批量生成的手機(jī)號(hào)碼對(duì)應(yīng)的登錄密碼掃出來。這在業(yè)界被稱為“撞庫(kù)”。這種簡(jiǎn)單粗暴的方法,直接得到了用戶最關(guān)鍵的登錄信息。撞(數(shù)據(jù))庫(kù)的速度也很快,每分鐘就能跑1000個(gè),而據(jù)民警透露,成功率在50%以上。

　　利用撞庫(kù)攻破密碼登錄了網(wǎng)銀之后,要想轉(zhuǎn)賬,繞不過的還有一步——隨機(jī)驗(yàn)證碼。要拿到驗(yàn)證碼,不法分子也有辦法攻破用戶手機(jī),讀到短信。如此一來,不法分子通過收到的隨機(jī)驗(yàn)證碼即可輕松完成銀行轉(zhuǎn)賬甚至借貸。

　　據(jù)悉,此次警方從犯罪分子手中截獲的已被破解的用戶信息有3.2億條。如果按照我國(guó)平均每人擁有一個(gè)手機(jī)號(hào)碼來算,3.2億條信息,意味著每4個(gè)人當(dāng)中就有一個(gè)人的信息已經(jīng)被泄露或者被攻破,這個(gè)數(shù)字讓人不寒而栗。

　　“能不能攻破你的密碼,其實(shí)只是個(gè)時(shí)間問題,愿不愿攻破,那就是你本身的‘價(jià)值’問題了。”360首席安全專家裴智勇博士告訴記者,看似十分隱秘安全的密碼和賬號(hào),實(shí)際上在電信詐騙分子那里早已成為公開的秘密。

　　據(jù)介紹,2015年僅補(bǔ)天平臺(tái)收錄的漏洞中,就有1400余個(gè)漏洞可造成個(gè)人信息泄露,可泄露信息規(guī)模達(dá)55.3億條,2016年又收錄了300余個(gè)可造成個(gè)人信息泄露的漏洞,約可泄露個(gè)人信息50余億條。這公開的秘密,滋生的是一起起電信詐騙案件、千億級(jí)黑產(chǎn)市場(chǎng)。

　　你的密碼永遠(yuǎn)少一位

　　看似十分隱秘安全的密碼,為何會(huì)被輕易攻破?“所有不安全的密碼都有一個(gè)特征,那就是容易被猜中,當(dāng)然這個(gè)猜不是自己琢磨,而是靠技術(shù)來排查。”360安全專家葛健按照危險(xiǎn)等級(jí),把密碼設(shè)置方式分成了4級(jí)。

　　第一級(jí),使用用戶名(賬號(hào))作為密碼。“幾乎所有以破解口令為手段的黑客軟件,都首先會(huì)將用戶名作為口令的突破口,而破解這種密碼幾乎不需要時(shí)間。”

　　第二級(jí),使用用戶名(賬號(hào))的變換形式作為密碼。使用這種方法的用戶自以為很聰明,將用戶名顛倒或者加前后綴作為口令。但是一些高級(jí)破解工具會(huì)自動(dòng)嘗試用戶名+前后綴的方式進(jìn)行破解,這種方式同樣危險(xiǎn)。　

　　第三級(jí),使用自己或者親友的生日作為密碼。這種口令往往可以得到一個(gè)6位或者8位的口令,看上去要更安全。然而葛健介紹,使用生日作為口令盡管有6位甚至8位,但實(shí)際上可能的表達(dá)方式只有223200種,而一臺(tái)普通的計(jì)算機(jī)僅僅需要5.58秒時(shí)間就可以搜索完所有可能的密碼。

　　第四級(jí),使用5位或5位以下的字符作為密碼。葛健介紹,很多人覺得自己只要多用數(shù)字、字母外加符號(hào)的組合,即便密碼的位數(shù)少點(diǎn)也很難被破解,但事實(shí)上對(duì)于一個(gè)訓(xùn)練有素的黑客來說,短密碼即意味著沒有密碼。

　　葛健解釋,從理論上來說,一個(gè)普通系統(tǒng)包括大小寫、控制符等可以作為口令的字符一共有95個(gè),如果是5位數(shù)密碼的話,所有的組合就是95的5次方種可能性。而一臺(tái)普通電腦窮舉出所有可能最多也不過53個(gè)小時(shí)。再考慮還有更多的用戶只喜歡使用小寫字母加數(shù)字作為口令,那么就只有36的5次方種可能性,25分鐘就可以破解。“盡管密碼有被攻破的可能,但多一位數(shù)其攻破的時(shí)間就會(huì)猛漲,比如用6位密碼,攻破時(shí)間就要延長(zhǎng)到一周。”

　　無處不在的陷阱

　　“黑客無處不在。”葛健告訴記者,對(duì)于很多普通網(wǎng)民、銀行用戶來說,總感覺黑客、網(wǎng)絡(luò)攻擊離自己很遙遠(yuǎn),但其實(shí)用戶收到的每一條有針對(duì)性的電信詐騙信息背后,都藏著一次甚至數(shù)次黑客行動(dòng)。

　　葛健介紹,在電信網(wǎng)絡(luò)詐騙產(chǎn)業(yè)鏈上游,一群黑客專門通過入侵有安全漏洞或者安全防御級(jí)別低的網(wǎng)站來取得大量用戶數(shù)據(jù),專業(yè)術(shù)語(yǔ)叫做“拖庫(kù)”。隨后由詐騙產(chǎn)業(yè)鏈的中游負(fù)責(zé)“洗庫(kù)”,也就是通過技術(shù)手段將有價(jià)值的用戶數(shù)據(jù)歸納分析,售賣變現(xiàn)。詐騙集團(tuán)在下游,將買來的信息利用“撞庫(kù)”技術(shù)登錄受害者的手機(jī)銀行、網(wǎng)站等平臺(tái)。

　　黑客是如何完成拖庫(kù)、撞庫(kù)這些動(dòng)作的呢?葛健介紹,首先,黑客對(duì)目標(biāo)網(wǎng)站進(jìn)行掃描,查找其存在的漏洞,常見漏洞包括SQL注入、文件上傳漏洞等。然后,黑客通過該漏洞在網(wǎng)站服務(wù)器上建立“后門”,通過該后門獲取服務(wù)器操作系統(tǒng)的權(quán)限。接下來,他們?cè)倮孟到y(tǒng)權(quán)限直接下載備份數(shù)據(jù)庫(kù)。

　　撞庫(kù)則是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息,生成對(duì)應(yīng)的字典表,嘗試批量登錄其他網(wǎng)站后,得到一系列可以登錄的用戶。葛健告訴記者,只要用戶使用同樣賬戶和密碼的網(wǎng)站中有一個(gè)網(wǎng)站存在漏洞,那么其他網(wǎng)站的信息也都將面臨泄露的風(fēng)險(xiǎn)。

　　葛健表示,如果用戶密碼較為復(fù)雜,黑客就難以使用“暴力”方式破解。但這并不意味著黑客就沒辦法了,如果用戶“價(jià)值”大,這時(shí)黑客往往通過給用戶安裝木馬病毒,設(shè)計(jì)“擊鍵記錄”程序,記錄和監(jiān)聽用戶的擊鍵操作,然后通過分析破解出用戶的密碼。有些網(wǎng)站為了防止擊鍵記錄工具,產(chǎn)生了使用鼠標(biāo)和圖片錄入密碼的方式,這時(shí)黑客可以通過木馬程序?qū)⒂脩羝聊唤叵聛?然后通過對(duì)比破解用戶密碼。

　　葛健表示,相對(duì)于上述通過猜、算、偷等方式的盜密手段,“釣魚”就稍顯復(fù)雜但也最為有效。網(wǎng)絡(luò)釣魚是指攻擊利用欺騙性的電子郵件和偽造的網(wǎng)站鏈接來進(jìn)行詐騙活動(dòng)。受騙者誤入高仿的釣魚網(wǎng)站,將自己的敏感信息(如用戶名、口令、賬號(hào)、PIN碼或信用卡詳細(xì)信息)直接貢獻(xiàn)給了網(wǎng)絡(luò)黑客。

　　“其實(shí),相對(duì)于程序盜密,更為有技術(shù)含量的是推理盜密。”葛健表示,如果用戶使用了多個(gè)系統(tǒng),黑客可以通過先破解較為簡(jiǎn)單的系統(tǒng)的用戶密碼,然后用已經(jīng)破解的密碼推算出其他系統(tǒng)的用戶密碼。

　　給網(wǎng)絡(luò)密碼加把鎖

　　沒有保不住的密碼,只有懶得保密的人。保護(hù)密碼最常用的手段是使用復(fù)雜的密碼。這種方式適用于QQ等即時(shí)通訊工具、郵箱和各種網(wǎng)站登錄等。暴力破解密碼對(duì)于簡(jiǎn)單的長(zhǎng)度較短的密碼非常有效,但是如果網(wǎng)絡(luò)用戶把密碼設(shè)得較長(zhǎng)一些而且沒有明顯規(guī)律特征,那么窮舉破解工具的破解過程就變得非常困難。

　　葛健表示,密碼長(zhǎng)度應(yīng)該至少大于6位,最好大于8位,密碼中最好包含字母、數(shù)字和符號(hào),不要使用純數(shù)字的密碼,不要使用常用英文單詞的組合,更不要使用自己的姓名和生日作為密碼。

　　防范擊鍵記錄,目前比較普遍的方法就是通過軟鍵盤輸入。用戶在輸入密碼時(shí),先打開軟鍵盤,然后用鼠標(biāo)選擇相應(yīng)的字母輸入,這樣就可以避免木馬記錄擊鍵。此外,為了更進(jìn)一步保護(hù)密碼,用戶還可以打亂輸入密碼的順序。

　　“保護(hù)密碼其實(shí)不在技巧,而在于習(xí)慣。”葛健表示,將密碼保存在網(wǎng)絡(luò)上其實(shí)是一個(gè)非常不好的習(xí)慣,如果本地沒有一個(gè)很好的加密策略,那將給黑客破解密碼大開方便之門。“郵箱里盡量不要保存任何其他賬戶的密碼登錄信息,否則一旦郵箱被盜,其他賬戶也會(huì)一損俱損。”

　　葛健認(rèn)為,最好的保密方法就是定期更換密碼。不要所有系統(tǒng)使用同一個(gè)密碼。對(duì)于那些偶爾登錄的論壇,可以設(shè)置簡(jiǎn)單的密碼；對(duì)于重要的信息、電子郵件、網(wǎng)上銀行之類,設(shè)置復(fù)雜的密碼。不要把論壇、電子郵箱和銀行賬戶設(shè)置成同一個(gè)密碼。

　　為了防止密碼過多記不住,葛健建議可以使用統(tǒng)一規(guī)則設(shè)置不同密碼,比如,設(shè)置一個(gè)基本密碼,然后根據(jù)不同的網(wǎng)站在基本密碼基礎(chǔ)上添加前后綴從而生成網(wǎng)站獨(dú)特的密碼。“比如用戶的基本密碼是qaz279,登錄網(wǎng)易郵箱時(shí)則可以添加網(wǎng)易首字母wy,組成wyqaz279,登錄新浪微博則添加xl,組成xlqaz279。”

　　 （來源：半島網(wǎng)-半島都市報(bào)） [編輯: 張珍珍]