[新闻]盛付通6千盛大网络游戏账户被盗20余万元 沉迷网游学黑客自制软件解密被抓(图)
现在,越来越多市民在智能手机里安装第三方支付软件,手机变身“手机钱包”。但方便并不意味着安全,近日,上海市公安局浦东分局破获了一起黑客利用盛付通(第三方支付平台)漏洞,恶意“刷库”盗窃用户账户资金20余万元。
值得注意的是,所有被黑客盗取资金的6000余个账户无一例外,全未绑定手机验证。网警特别提醒市民,凡是涉及钱财的账户,一定要设置高强度密码,并开启绑定手机、开通密令等技术安全手段。一旦发现被盗,要及时报警。
黑客入侵后台系统
今年1月,多名盛付通用户发现账户内的钱款不翼而飞,涉及金额从数百元至上万元不等。盛付通自查发现,平台内数万名用户账户被人入侵,其中部分账户内余额被盗。公司方面立刻报警。
上海公安局浦东分局网络安全保卫支队徐警官第一时间赶到盛付通公司。“从网络痕迹看,应该是一个有一定经验的黑客入侵了公司后台系统,盗取了用户账户信息。”他发现,这个黑客熟门熟路地找到了盛付通一处闲置的后台支付端口,通过这个端口可以进入后台,截取用户信息,并改动用户的支付密码。
公安部门进一步调查发现,一共有近3万个盛付通账户产生异动,其中6000余个有资金的账户被盗,总计金额达20余万元。被盗账户内的钱款直接被转到了三个盛付通账户,随后分别用来购买网络游戏点卡、充值卡等,随后通过低价出售套现。
2月21日晚,专案组于四川省绵阳市将犯罪嫌疑人蒋某抓获,当场查获涉案人民币3.9万元及作案用电脑。徐警官说,“整个作案过程中,他没离开家半步,全部通过一台台式电脑及一台笔记本电脑全程独自操控。”
自制软件破解账户
到案后,蒋某交代了其如何发现系统漏洞及破解用户账户的“秘诀”。1982年出生的蒋某,初中毕业后就一直没有正当工作,沉迷于各种网络游戏。随着网络技艺进步,他还通过自学E语言掌握了编程。去年起,蒋某逐步将目光锁定在了价格不菲的游戏币及游戏账户上,盛大网络就这样进入了他的视线。
随后,他开始频繁登录盛大网络网站,“这么大的网站,一定有漏洞。”他自制了一个漏洞扫描软件,对盛大网站进行全面扫描,终于给他发现了其中盛付通支付后台有一个漏洞。“从这个漏洞进去,我就可以看到很多数据,但是要进一步解密才能获得用户后台登录码。”蒋某本身也是盛付通的用户,因此了解每个用户注册后,后台都会生成一个唯一代码,只要破解了这个唯一代码,就等于拥有了登录账户名。
蒋某通过自编的“扫号”程序,“算”出了盛大网站数据库中由字母和数字组成的用户名代码近3万个,并发现其中有6000多个账户未绑定手机。之后,蒋某通过将这些账户绑定至自己手机,随后修改密码,他的手机就会收到验证码。输入验证码后,他就成功修改了用户的支付密码。通过这个手法,他陆续盗走了6000余个账户内20余万元钱款。
截至落网时,蒋某已经成功套现3.9万元,剩余钱款部分被盛付通及时冻结,部分被蒋某花费在了网游中。目前,蒋某已被刑事拘留。
作为此次受到影响的盛付通方面也表示,他们已经针对此事制定接口开发安全规范,对接入系统平台的接口进行安全分级,对接口数据进行监控报警。有关人士表示:“已经规范接口的访问日志,保证出现事件之后能快速定位漏洞位置,加强对系统的安全评审和安全测试。”
[警方提醒]
网银等账号应设置高强度密码
记者从网警方面了解到,从目前上海已经侦破的案件来看,涉网类案件事逐年递增,而且增幅不小,近几年更是几乎翻倍增长。
此外,由于网络违法成本相对较低,通常只需要一台电脑、一部手机,独自操作就能完成全部作案步骤。“黑客一般都是独自行动,还会有专门的论坛和群分享经验,作案成功后,还会去群里炫耀,相互攀比。”徐警官表示,从目前趋势看,抓获的黑客中,90%以上都是80后、90后,文化程度普遍在高中以下,黑客技术都是“自学成才”。这类黑客使用的都是E语言,也就是以中文为编程语言的,属于较为基础入门级编程语言。
徐警官表示,市民应该加强防范意识,涉及财产安全的网银、网上支付等重要账号,应单独设置高强度密码(字母+数字+特殊符号)。此外,也要提高风险意识,定期更换密码。
