幾年前,我提交了一個漏洞:幾百萬機票火車票訂單使用者名稱明文密碼洩露。
郵箱,使用者身份證,姓名,密碼,手機號等重要欄位都可以直接明文讀取,當時是利用mongodb資料庫的未授權訪問指令碼,稍加修改,批量掃描後發現的漏洞,有國內多家科技媒體跟進報導,搞的我壓力也很大,因為資料沒有洩露,只是存在漏洞被我提交到360。
這種就屬於未能遵循簡單基礎的安全原則,鍋可以由商家背。
但很多情況,鍋不能簡單的由商家背。因為這個世界不存在沒有漏洞的系統,很多基礎的開源的協議或者軟體本身存在著大量的漏洞,在沒有被發現之前,它們被認為是安全的。但一旦被發現有漏洞,影響巨大。
比如之前廣為人知的openssl心臟出血漏洞(OpenSSL心臟出血漏洞全回顧),這個漏洞使攻擊者能夠從記憶體中讀取多達64KB的資料,而openssl作為安全套接層協議ssl的開源實現,在各大網銀、線上支付、電商網站、入口網站、電子郵件服務等重要網站上被廣泛使用。
這種情況下,鍋由誰來背很難界定,因為沒人能保證自己開發的程式沒有漏洞。
個人資訊的洩露在今天已經嚴重到了什麼地步?
大多數大家覺得足夠信任的網站,可能已經被攻破,相關資訊在暗網deepweb上被明碼標價出售比如這裡是Linkedin早期洩露的資料,在暗網上最早被明碼標價5個比特幣:
這是另外一個知名部落格網站Tumblr的資料,出售價格為0.188比特幣:
在比如之前很火熱的美國大選所有50個州的投票資料,對你沒看錯,是全美50個州。。。被標價12個比特幣(現在知道比特幣最大用處了吧,o(╯□╰)o)
從暗網買家展示的資料截圖來看,包含的資訊很豐富,地址,電話,性別等等:
一些私密小圈子的間諜木馬軟體原始碼,包含ios,安卓,wp,黑莓平臺,當時標價12比特幣。
很多資料最初從暗網上被標價後,進而慢慢被一些團體釋放到網際網路上,這中間的時間間隔可能長達數月甚至數年。所以我是不信任網站單方面的承諾的,因為這種承諾本身就很脆弱。
對普通人的生活有多大的影響?如何防護?
簡單說,可輕可重。如果落入詐騙團伙手裡,就重一些,但如果自己足夠警覺有基本的防護意識,那也沒事,如果落入推銷人員手裡,基本也沒太大關係,無非就是多幾條騷擾廣告簡訊。怕就怕自己沒有基本防護意識的同時還落入詐騙團伙手裡,那就有點倒黴了。所以日常有一點防護意識還是很重要的。
簡單舉幾個比較廣泛的詐騙例子:
1、精準機票退改簽簡訊詐騙
曾女士的手機上收到了前兩天購買的從貴陽到三亞的航班取消簡訊。簡訊內容不僅詳細說出自己的姓名,且航班資訊也準確無誤,曾女士便以為是航空公司發來的簡訊,隨即撥打了簡訊中的電話進行改簽。經過“客服”的指導,曾女士在ATM取款機上被騙走了29500元錢。
2.精準淘寶訂單退款詐騙
小丁說,前兩天,在淘寶商城一家店看中了一件短褲,價值39.2元,下了訂單後不到20分鐘,她接到一個福建的電話,對方自稱是淘寶該店阿里旺旺的客服:
“丁××您好,您是不是今天下午6點半買了一件39.2元的短褲?由於支付寶系統升級,您提交的訂單異常,資金被凍結,所以需要您重新登入並確認購買,並且暫時不要登入淘寶和阿里旺旺,您登入QQ吧,我教您怎麼操作。”
接到電話後,小丁說對方知道她的姓名和電話,所說的資訊都很準確,所以她就信以為真。
登入QQ並加為好友後,“客服”又說了一系列教小丁同學怎麼操作的話,由於著急去上自習,小丁也不清楚“客服”講的那些怎麼操作。此時,“客服”說幫小丁用QQ遠端操作,可沒想到最後“客服”在騙取她的錢財。
在小丁的電腦被遠端控制後,“客服”又讓她輸入支付寶賬戶動態密碼,以確認支付。輸入後“客服”又讓小丁確認賬戶有多少金額,她說自己卡上有六七百元錢。退出遠端控制,小丁看到確認支付介面上顯示已支付-0.01元,她以為支付錯誤就重新支付了。
與此同時,她的手機收到了簡訊提示,賬戶被扣了627元。由於急著去上課,小丁關了電腦趕緊去教室,也沒有注意到手機上的資訊。晚上九點半下自習後,小丁在認真看完資訊後感到事情不妙。給購物的網店打電話詢問,網店客服人員告訴她沒有這件事情。
具體分析:上述兩種其實都是類似的手法,通過擷取到的使用者訂單資訊,獲得使用者信任後實施詐騙,這裡使用者訂單資訊獲取方式,很多是利用系統漏洞,也有部分是夥同公司內部員工獲取。
對普通使用者來說,核實發簡訊和打電話是否是官方電話尤為重要,此外需要杜絕離開平臺的交易,比如離開淘寶自有退款流程,不走支付寶進行退款QQ李鬼詐騙QQ被盜號了?
更大的騙局還在後面!
廣東省公安廳通報,近日在全省公安機關“3+2”專項打擊行動中,破獲全國最大的QQ詐騙集團案,先盜QQ號長期監控,後冒充老總要求轉款,深圳某股份公司財務李某被騙走3505萬元。目前警方已刑拘疑犯39人,凍結資金4800餘萬元。據瞭解,該案是目前全國QQ詐騙涉案金額最大的一宗案,也是凍結款項最大的詐騙案。
具體分析:這種很多是模仿目標qq,從頭像到簽名到說說,利用其他社工資料對目標qq進行踩點分析,進而實施詐騙。總之,大家需要有一些基本防護意識,這樣就很難被騙,也不需要過於擔心。