­　?。ㄔ瓨祟}：銀行卡余額“不翼而飛”的背后：“撞庫”早已不是電影橋段了）

­　　殷怡

­　　如果你銀行卡里的存款余額一夜之間被“搬空”，那失竊的不止是存款，還有你的手機銀行、手機掌上營業(yè)廳甚至其他常用網(wǎng)站所有的登錄用戶名和密碼。是的，你被“撞庫”了。這并不是《諜影重重》、《007》等系列電影中的橋段，恰恰就發(fā)生在我們每個人的真實生活里。

­　　江蘇省常州市新北區(qū)人民法院近期剛剛連發(fā)五紙判決書，判決何文龍等六名犯罪分子犯非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪。經(jīng)查明，該六人曾在兩個多月的時間內(nèi)，“撞破”微信賬號及登陸密碼12000余組。

­　　隨著案件的偵破，作案手法也隨之浮出水面。首先，犯罪分子從網(wǎng)上購買含有大量用戶名及密碼的微信登陸數(shù)據(jù)，然后導(dǎo)入“小兵軟件”、“逍遙安卓”、“直登小號”等非法微信掃描軟件后，通過運行上述軟件，采用對微信數(shù)據(jù)庫實施“撞庫”等手段，便可獲取可以直接登陸的微信用戶名和密碼。

­　　此外，這些“撞庫”軟件同時還會自動記錄嘗試登陸成功的手機號和密碼，方便犯罪分子下一步行動。由于是機器自動運行，因此“撞庫”的效率非常高，每分鐘能驗證1000個左右。

­　　某些情況下，犯罪分子還會將這些數(shù)據(jù)轉(zhuǎn)賣給他人，賺取費用，價格在每條1元-1.5元不等。

­　　銀行卡里的錢是如何消失的？

­　　近日，上海某白領(lǐng)張小姐銀行卡內(nèi)10萬余額一夜之間歸零，另一位國企高管也被瞬間轉(zhuǎn)走28萬元，警方在偵查中發(fā)現(xiàn)，余額被轉(zhuǎn)走的主要原因，是因為此二人的銀行卡和手機運營商處的賬號密碼雙雙被“撞庫”。

­　　那么，什么是“撞庫”呢?是不是一種新出現(xiàn)的高超的黑客技術(shù)呢?專業(yè)人士的答案是“撞庫”技術(shù)早就出現(xiàn)了，并且也并不是特別高明的黑客技術(shù)，倒是更像“摸彩票”、“撞運氣”。

­　　“撞庫”，是指拿互聯(lián)網(wǎng)上已經(jīng)泄露的賬號和密碼，批量嘗試登錄另一個網(wǎng)站，驗證后登陸賬戶并進行各類違法犯罪活動，最嚴重的當(dāng)屬盜取銀行賬戶密碼并進行轉(zhuǎn)賬，在持卡人毫不知情的情況下造成慘重的損失。

­　　第一步，犯罪分子從網(wǎng)上購買含有大量用戶名及密碼的網(wǎng)上銀行登陸數(shù)據(jù)，然后導(dǎo)入非法撞庫軟件后，通過運行上述軟件，對銀行數(shù)據(jù)庫實施“撞庫”，即嘗試用黑客破解的賬號密碼登陸網(wǎng)銀。

­　　登陸網(wǎng)銀后，想要轉(zhuǎn)賬成功，還需要成功輸入短信驗證碼。因此第二步便是再次通過“撞庫”成功登陸手機網(wǎng)上營業(yè)廳。隨后，假借持卡人的名義開通短信過濾和短信保管，并關(guān)掉相關(guān)的業(yè)務(wù)通知功能。這樣的話，不但持卡人收不到銀行短信提示，動態(tài)驗證碼也被犯罪分子在電腦端輕松獲取了。

­　　在警方的提示下，手機運營商目前已關(guān)閉了有漏洞的短信過濾和保管功能。

­　　然而，犯罪分子立即升級了詐騙手段——換卡。利用網(wǎng)上營業(yè)廳4G換卡的功能，接受持卡人的手機短信驗證碼，以及各種網(wǎng)站的動態(tài)驗證碼。

­　　犯罪分子利用受害者的手機號和密碼登陸營業(yè)廳，并以其名義申請升級更換4G卡業(yè)務(wù)。當(dāng)營業(yè)廳無法識別是否是本人申請時，只要在填寫隨機動態(tài)驗證碼后，即可以跳過身份驗證環(huán)節(jié)，還可以把卡快遞到犯罪分子填寫的地址。

­　　至此，新卡在持卡人毫不知情的情況下就會被寄到不法分子的手上，當(dāng)新卡一旦被激活，真正的持卡人手上的這張卡就自動失效，各種動態(tài)驗證碼都會被犯罪分子所接收。最終，持卡人卡中的余額便會“不翼而飛”。

­　　使用相同密碼造成撞庫頻發(fā)

­　　除了盜取銀行卡和手機卡的賬戶密碼，“撞庫”適用于所有網(wǎng)絡(luò)客戶端的賬號密碼盜取。而用戶為了方便記憶，習(xí)慣于在各種場合設(shè)置相同的密碼，為“撞庫”提供了極大的便利。

­　　“現(xiàn)在很多用戶會把自己的銀行卡、手機網(wǎng)銀、手機網(wǎng)上營業(yè)廳的密碼和自己常用的其他網(wǎng)站論壇登陸密碼設(shè)成一樣的，這也大大降低了犯罪分子“撞庫”的難度，還提高了他們的成功率，” 一位征信業(yè)內(nèi)人士對記者表示。

­　　據(jù)騰訊發(fā)布的《2016移動支付網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈研究報告》顯示，目前手機用戶往往都擁有多個網(wǎng)絡(luò)帳號，有7成以上用戶所有帳號都使用同樣的用戶名與密碼，65%的用戶很少更換密碼，僅有不足20%的用戶會定期更換密碼。一旦不法分子盜取一組帳號信息，就很有可能成功盜用該用戶的其他帳號，包括移動支付帳號。

­　　上述業(yè)內(nèi)人士同時表示，“現(xiàn)在很多網(wǎng)站都可以使用手機號來注冊登陸，如果這些網(wǎng)站安全防護措施不夠完備，一旦被黑客攻入后臺，那么很多手機號和密碼信息就會泄露”。

­　　因此，對于用戶來說，切勿一個密碼用很多年，并且同時在網(wǎng)上支付和常用網(wǎng)站使用同樣的登陸密碼，同時在有條件的情況下設(shè)置保密措施或開通二次驗證。如果發(fā)現(xiàn)手機異常不能正常使用時，需注意立即將銀行卡凍結(jié)或者掛失。

­　　而對于金融機構(gòu)來說，則可使用大數(shù)據(jù)風(fēng)控技術(shù)多維度認證用戶身份，比如定位信息、設(shè)備指紋、行為規(guī)律等。根據(jù)不同的應(yīng)用場景，建立分層次、多維度的身份識別體系，從而精準地實現(xiàn)客戶身份識別和認證。