日前,知名电商网站亚马逊中国曝出账户被盗事件,消息称此事牵涉用户超过千人,有受害者账户余额被盗号分子购买手机等商品,造成直接经济损失。对此,360安全中心第一时间向全体网民发布安全警告:不法黑客利用网站漏洞窃取数据库,进而在电商平台盗号消费已成产业链,建议网民为电商账户单独设置高强度密码,并定期更换,以免其他网站泄密而牵连电商账户被盗。
360安全工程师安扬表示,电商盗号产业链分为“拖库”、“扫号”和销赃三个主要环节。“拖库”指黑客攻击网站漏洞,窃取包含用户注册邮箱和密码的数据库;“扫号”指黑客将数据库聚合在一起,专门针对知名电商网站自动化批量登录,;黑客销赃的手段则包括消费受害者账户余额、截取商品,收集受害者电话、地址等个人资料,进行诈骗活动。
图:黑客网站公开提供密码数据库查询服务
“去年底多网站‘泄密门’爆发后,网上公开的注册邮箱和密码达到上亿条,而黑客团伙实际掌握的数据库规模可能远远超过这个数字。”安扬表示,即便只有小于1%的网民在电商网站使用常用注册邮箱和密码,黑客在基于庞大数据库的“扫号”过程中,也能够获取大量电商账户,亚马逊中国曝出的上千账户被盗只是冰山一角,更多电商网站和用户账户可能仍在黑客暗中控制中,出现账户余额等利益时才会显现危害。
据此前360安全中心发布的《2012上半年中国网络安全报告》显示,国内有超过75%的网站存在高危漏洞,随时可能被黑客入侵“拖库”。甚至有黑客网站公开提供密码数据库查询服务,大量网民的邮箱和密码因此暴露在网上,对账户安全造成严重威胁。
针对用户如何保护自身账户财产,360安全中心建议:
第一,电商等重要账户单独设置高强度密码,并定期更换;
第二,如果担心密码太多难以记住,可采用“常用密码+网站名称”的密码格式(或用其他特殊符号代替+),可以提高黑客“扫号”的难度;
第三,电商账户尽可能不存有余额,以免账户被盗造成经济损失。