“黑客”早已“平民化”
黄荣明称,虽然黑客盗号赚钱的灰色产业链一直存在,但关注点已经发生变化了。
“前几年,盗取游戏账号非常火。这两年电子商务相关的金钱交易更受黑客关注。因为黑客攻破用户账户信息后,就能直接窃取资金。而且黑客的手段也多种多样,有直接盗取账号,有制作假冒网页获取资金等。支付宝、网银等,都成为黑客的攻击对象。”
据悉,现在“黑客”早已“平民化”。各种偷盗工具可以用钱买到,要成为一个普通黑客的门槛已经大大降低。来自360安全中心的监控信息显示,制作木马的行当甚至已形成品牌,一些网站就以定做、出售各类盗号木马生成器为主业。
至于如何通过产业链渔利,360工程师宋申雷透露,通常有五种手段。“第一种,给其他网站做推广,给用户发垃圾广告,或发送钓鱼网址。第二,用户的邮箱可能和淘宝支付宝绑定,黑客直接盗刷。第三,用被盗用户的邮箱去刷粉丝。第四,获取用户账户里的有价值信息。第五,偷窥隐私、保密性质的东西,或者进行人肉搜索。” 本报记者 林其玲
- 提示
专家建议避免“一码走天下”
很多用户为了图省事,使用相同的邮箱、密码注册大量社区网站,甚至有些用户还会使用自己的邮箱密码甚至银行卡密码作为网站注册密码。
某大型电商网站工程师陈皓在其博客酷壳网上公布了他对CSDN外泄密码的分析:有近45万的用户使用“123456789”和“12345678”做口令;有近40万的用户使用自己的生日做口令;约15万的用户使用自己的手机号做口令。近25万的用户使用自己的QQ号做口令;在全部600万用户中,设置成弱口令的用户占了590万。陈皓称,“一个密码泄露之后,连QQ号甚至手机号、生日这些个人资料也外泄了”。
这种“一码走天下”的方式看似省事,但只要有任何一个注册过的网站发生用户资料外泄,不法分子就可能利用其中的账号、密码资料去别的网站进行试探登录,获取用户的个人资料、隐私信息,导致用户的数字资产或实际资产损失。
陈皓给出了自己的密码管理建议,最基本的,应该拥有几组账号和密码:一个账号/密码用于一些大的可以依赖的站点,如:MSN、Gmail等,因为这些公司通常有足够的实力保护用户信息:另一个账号/密码用于一些国内的一些大的网站,如QQ,开心、新浪微博等;第三个账号/密码用于一些经济活动,如网银,淘宝,支付宝。最后一个账号/密码设置得最简单,用于登录一些不安全或临时性需要注册的网站。 (阳淼)
- 案例
“胖胖牛”两年前开始销售数据库
昨天,记者在站长网的程序源代码交易论坛里,发现一个名为“出售460万CSDN技术论坛问答数据”的帖子。名为“胖胖牛”的版主,在帖子里称,他手里有“CSDN问答数据460万条,ACCESS格式,每个文件一个版块,共292个文件,总体大小32G左右。”
“胖胖牛”表示,购买者可联系他的QQ,“数据转移方式可以选择自行下载,也可以由我免费刻录DVD光盘并邮寄,交易方式可以中介,也可以淘宝。”值得注意的是,“胖胖牛”的发帖时间是2009年8月10日,至今已有两年多时间了。
奇虎360公司工程师宋申雷称,虽然大规模的网站用户信息泄露事件在圣诞节前后才爆发,但各大网站的数据库信息很早之前就被黑客掌握,并且应该有很长一段时间了。“在这段时间里,黑客们应该通过灰色产业链,赚了不少钱。” (林其玲)
