新闻中心
——“因为我们的存在,让您的邮件系统更有价值!”
“1234”?不负责的PIN码
在诺基亚还能拿下销量半壁江山的时代,确实会有很多小伙伴“手贱”玩坏 PIN 码(SIM 卡个人识别密码),导致自己的小翻盖、小滑盖或小直板被锁,然后就只能跑营业厅求助运营商了。
不过,这个已经销声匿迹许久的名字近期又上了回头条,两名骗子居然利用沃达丰(Vodafone)孱弱的 PIN 码从捷克用户手上骗了 2.6 万美元。
沃达丰会为自家用户预设 4-6 位的数字密码,但它们警惕性太差了,预设的密码强度太低。结果,有两个不知天高地厚的骗子在尝试了几次 1234 这样的弱密码后,居然成功暴力破解了用户账户,他们可是半点技术都不会。
这还没完,走了狗屎运的他们还发现,只要自己知道一个电话号码并试出该账户的 PIN 码,就可以通过这个漏洞获取新的 SIM 卡,连带照片的证件或邮件确认都不需要。
此外,这两个骗子拿漏洞赚钱的方法也是别具一格,他们将被盗用的账户连上了在线赌博账号,而且还打开了支付网关。随后,两个骗子通过赌博账号取走钱财,把债务留给了被盗用户,而自己则大摇大摆去银行取了现。
这样的攻击其实没什么技术含量,因此两个骗子也很快被抓。不过,60 名受害用户可惨了,他们的账单上全是欺诈交易,而沃达丰并没有主动承担责任,电信巨头宣称自家客户应该为这批欺诈交易负责,因为他们用了这些“弱”密码,而事实上它们自己系统的安全短板才是这次事件的罪魁祸首。
虽然沃达丰将 PIN 码交给用户时它只是临时凭证,但电信巨头并未告知用户这个代码需要修改,有些用户就不知道自己还有个网络账户。
随后,当地报纸也对这一事件进行了报道,实时诈骗的两个嫌疑人分别被判处 2 年和 3 年有期徒刑。据悉,两个骗子还能通过沃达丰的网络主页获取受害者的生日、组织、银行账户和电话记录等。还好,他们没有滥用这些信息为受害者造成进一步伤害。
El Reg 要求沃达丰对此事作出解释并批评了它们的安全策略,电信巨头回应称:“我们很遗憾听到一些客户成为犯罪分子有针对性欺诈行为的受害者。我们已明确告知用户,他们需要用独特的强密码才能保护自己免受此类犯罪行为的侵害。沃达丰也一直在与执法部门合作,以确保将责任人绳之以法并对我们的客户进行补偿。
“虽然用邮箱当用户名外加 8 位密码的政策下一些用户会用上‘password’这样的密码,但获取大量用户邮箱可不容易,这样就能让犯罪分子望而却步。”“这件事的疯狂之处在于,沃达丰的认证设置实在太烂,它们给了‘1234’这样的弱密码居然还抱怨用户不注意安全。”
- 上一篇: 惊:新漏洞允许黑客访问处于睡眠模式的电脑?
- 下一篇: IT经典笑话几则,放松下吧
