來源:央視新聞客戶端
日常工作中,我們經常會在不同的網站注冊賬號、設置密碼,但如果密碼過于簡單,比如使用連續的數字、電話號碼、姓名生日等組合形成“弱口令”,不僅極易被猜中或破解,還有可能遭到境外黑客攻擊,不只會造成個人隱私的泄露,甚至會給一些重點涉密部門帶來泄密風險。國家安全機關今天就披露了幾起這方面的典型案例。
國家安全機關工作發現,某境外論壇上出現了我國某企業的內部數據,數據內容包含該企業多個合作客戶姓名、身份證號、家庭住址以及手機號碼等個人隱私信息,如落入不法分子手中將造成嚴重安全隱患。經核查,該數據之所以被竊取,是因為企業網絡管理員在開展運維測試后,未及時刪除測試賬號,而該賬號恰好具備管理員權限且口令極易猜解,導致一些客戶的數據泄露。
日前,國家安全機關接到某單位報警稱,其單位在官方網站公布對外電子郵箱賬號用于聯絡收信,為方便查閱歷史郵件,該單位工作人員將所有郵件及附件長期存儲于郵箱云空間。近期,郵箱頻繁出現異地登錄告警。國家安全機關核查發現,該郵箱為單位公用郵箱,為方便工作人員使用,登錄密碼為單位對外辦公的固話號碼且長期未修改,導致郵箱密碼被境外黑客猜解,進而郵件數據被竊取。
某跨境物流公司位于我國沿海港口,園區內裝有大量攝像頭用于查看物流運轉情況。該公司員工小李發現,在午休及夜間,攝像頭時常自動旋轉,尋找并聚焦至停靠、出港的有關船只。接到報警后,國家安全機關查驗發現,該公司監控系統的管理員賬號密碼為出廠默認的弱口令密碼,數月前被境外黑客攻擊,獲取了操控攝像頭的權限。境外黑客通過高清攝像頭監控目標海域情況,給我國國家安全帶來風險隱患。
提高信息安全意識
防止數據被竊取泄露
國家安全機關提示,數字化時代,有關單位和個人更應提高信息安全意識,增強網絡防護,避免使用弱口令,防止數據被竊取、泄露,影響國家安全。
國家安全機關提示,設置密碼時長度至少為8位,并同時包含大小寫字母、數字、特殊字符,提高密碼的復雜度,不使用設備或賬戶初始密碼及常見的弱口令密碼。設置復雜密碼后,也并非一勞永逸,重要網絡信息系統應定期進行密碼更改,同時要避免數套密碼輪換修改。在不同平臺及系統應避免使用相同的密碼,防止一個密碼泄露后其他系統被連帶攻破,導致泄密面進一步擴大。
同時,計算機系統及網絡賬戶通常具備安全審計功能,可查詢歷史異常記錄,應定期檢查日志,及時發現賬戶異常行為,防止因密碼泄露導致內部數據、信息被持續竊取。反間諜安全防范重點單位還應當按照反間諜技術防范的要求和標準,采取相應的技術措施和其他必要措施,加強對要害部門部位、網絡設施、信息系統的反間諜技術防范。
因賭博欠債
他通過“看微信號猜密碼”的方式
多次登錄他人賬號盜取賬戶資金
與此同時
被害人發現
盡管自己多次更改密碼
盜號者卻能一直登錄
自己的微信賬號
……
微信賬號總在異地被陌生設備登錄,賬號內錢款被轉至陌生賬戶后,多次修改密碼仍然無濟于事,最終只能棄號不用。是何人在背后操控?公安機關偵查后發現,幕后作案之人韋某甲只是通過“看微信號猜密碼”的方式,便屢屢盜竊成功。日前,經江蘇省太倉市檢察院提起公訴,法院以盜竊罪分別判處被告人韋某甲有期徒刑三年六個月、被告人韋某乙有期徒刑一年八個月。
密碼就藏在微信號中
幾年前,韋某甲撿到了一部沒有設置密碼的手機,發現失主的微信仍然是登錄狀態,但賬號內沒有資金也沒有綁定銀行卡。同時,韋某甲還發現,失主在微信收藏中記錄了微信賬號的相關密碼,便記了下來。
一段時間后,因為賭博欠債,韋某甲便打算嘗試通過這部手機偷點錢。在翻看失主的微信好友列表時,韋某甲發現失主好友楊某的微信號是“字母+數字”的組合,和密碼設置形式相似,他突發奇想,這個微信號會不會也是楊某微信的登錄密碼?
韋某甲立即打開了自己手機上的微信應用,在賬號和密碼欄中輸入了楊某的微信賬號,竟然顯示可以登錄。但在新設備上首次登錄楊某的微信賬號,需要通過安全驗證。經過研究,韋某甲利用“好友驗證”的方式成功登錄了被盜賬號。
隨后,韋某甲嘗試將楊某微信賬號內的錢款轉給手機失主。輸入支付密碼時,他再次嘗試了楊某微信號中的數字,沒想到竟顯示付款成功。于是,韋某甲便想以這種方式繼續盜取楊某的賬戶資金。由于大額轉賬會觸發微信支付風控,經過多次嘗試后,韋某甲以小額轉賬的方式,將楊某微信內錢款成功轉至手機失主賬號,再用手機失主的微信掃描自己微信的收款碼,成功盜取了楊某的賬戶資金。
動動手指便能有錢,嘗到甜頭后,韋某甲當即將失主微信好友中如此設置微信號的用戶全部挑選出來,逐一嘗試“破解”登錄密碼和微信支付密碼,又成功盜取了另一名被害人的微信賬號和賬戶余額。
利用被盜賬號層層“破解”
多次成功得手后,韋某甲不滿足于僅在手機失主的微信好友中盜號,便又在盜取的兩個新微信賬號內繼續篩選好友賬號,利用相同的辦法嘗試盜號。據韋某甲交代,每個微信賬號大概能盜取2個新的賬號,成功后他便繼續嘗試盜取新賬號內的好友賬號。通過這種方式,韋某甲盜取的微信賬號多達20余個。
對于支付密碼與登錄密碼不一致的微信賬號,韋某甲會在微信收藏的信息、購物訂單等中尋找有價值的線索來試密碼,最終破解出13個微信賬號的支付密碼。隨后,韋某甲便通過微信轉賬、掃碼支付等方式將賬號內的資金轉走。
為了在轉移資金的同時逃避制裁,韋某甲還會將每一筆資金在盜取的微信賬號內多次流轉,最終再轉至由其本人持有的微信賬號內。由于同一部手機登錄多個微信賬號可能會被封號,為了規避微信的風控管理,韋某甲又先后購買了11部手機用于登錄他人微信賬號。
2022年8月,在和遠房叔叔韋某乙聊天時,韋某甲無意中提到自己正在通過盜微信賬號的方式賺錢。韋某乙聽后稱自己也缺錢,想和韋某甲一起做。為了防止韋某乙向公安機關揭發自己,二人商定由韋某乙用自己妻子的身份信息注冊一個微信賬號,幫韋某甲收取盜竊款,并從中獲取好處費,而韋某甲自此也多了一層“掩護”。
除了偷登他人微信賬號盜取、轉移資金外,韋某甲還讓韋某乙在網購平臺上注冊了一家賣手機的網店,韋某甲用被盜的微信賬號登錄該網購平臺,并在韋某乙的網店中下單手機。韋某乙虛假發貨后,韋某甲很快便會確認收貨,貨款到賬后,韋某乙再將貨款與韋某甲按比例分成。
引導偵查夯實證據基礎
為了避免被當場發現,韋某甲一般都在凌晨期間進行盜號,被害人醒來重新登錄微信賬號時,看到“在異地被陌生設備登錄”的相關風險提示后,往往會立即修改微信密碼。但也有一些被害人發現,雖然自己多次更改密碼,但盜號者一直能登錄自己的微信賬號。即使找回微信賬號,他們也不敢繼續使用,只能解綁銀行卡并重新申請新賬號。
據韋某甲交代,這是因為他在破解密碼后,就會給被盜賬號綁定自己的相關驗證信息,如果被害人不關注相關信息和異常提醒,未及時將驗證信息解綁,韋某甲便能一直登錄。
2022年9月,太倉市的龐先生報案稱自己的微信錢包被盜刷2996元,太倉市公安局立案偵查后,經過分析研判,于2023年10月將韋某甲、韋某乙抓獲歸案。同年12月,太倉市公安局將該案移送太倉市檢察院審查逮捕。
經審查,承辦檢察官發現該案是一起采用網絡手段,針對不特定多數人的微信賬號資金實施盜竊的新型案件,作案手段隱蔽,犯罪嫌疑人與被害人不接觸,甚至不直接發生聯系,辦案難度較高。為了夯實證據基礎,在依法對韋某甲作出批準逮捕決定后,太倉市檢察院圍繞資金流向、相關微信賬號是否由韋某甲持有、登錄被害人微信賬號的地點及設備型號等方面引導公安機關繼續偵查。
今年2月1日,公安機關將該案移送太倉市檢察院審查起訴。經審查查明,韋某甲共盜竊13名被害人微信賬號內錢款共計14萬余元,韋某乙幫助韋某甲接收、轉賬、提現贓款共計6萬余元,獲利1萬余元。韋某甲所得贓款全部被用于網絡賭博、網絡游戲、個人日常消費等。經過檢察官釋法說理,韋某乙退出全部違法所得。
今年3月14日,太倉市檢察院以涉嫌盜竊罪對韋某甲、韋某乙提起公訴。日前,法院審理后作出上述判決。
保護好微信賬號的三個小建議
1.不要給微信、支付寶等重要社交及支付App設置簡單的密碼,同時,也不要在個人賬號中暴露與登錄密碼、支付密碼相同或近似的信息。
2.建議周期性對登錄設備信息和賬號綁定信息進行風險排查,發現異常設備信息或者綁定信息后,應盡快刪除設備、更換綁定。
3.如果發現賬號出現異常掉線或者資金流水異常等非本人操作的行為,可以第一時間發起緊急凍結賬號操作或者邀請好友代為發起賬號凍結。
(檢察日報 盧志堅 吳玉潔 潘永峰)