上海青羽电脑科技有限公司

新闻中心

——“因为我们的存在,让您的邮件系统更有价值!”

新闻中心

“1234”?不负责的PIN码

发布时间:2018-09-14  /  浏览次数:14,305次

在诺基亚还能拿下销量半壁江山的时代,确实会有很多小伙伴“手贱”玩坏 PIN 码(SIM 卡个人识别密码),导致自己的小翻盖、小滑盖或小直板被锁,然后就只能跑营业厅求助运营商了。

不过,这个已经销声匿迹许久的名字近期又上了回头条,两名骗子居然利用沃达丰(Vodafone)孱弱的 PIN 码从捷克用户手上骗了 2.6 万美元。

沃达丰会为自家用户预设 4-6 位的数字密码,但它们警惕性太差了,预设的密码强度太低。结果,有两个不知天高地厚的骗子在尝试了几次 1234 这样的弱密码后,居然成功暴力破解了用户账户,他们可是半点技术都不会。

这还没完,走了狗屎运的他们还发现,只要自己知道一个电话号码并试出该账户的 PIN 码,就可以通过这个漏洞获取新的 SIM 卡,连带照片的证件或邮件确认都不需要。

此外,这两个骗子拿漏洞赚钱的方法也是别具一格,他们将被盗用的账户连上了在线赌博账号,而且还打开了支付网关。随后,两个骗子通过赌博账号取走钱财,把债务留给了被盗用户,而自己则大摇大摆去银行取了现。

这样的攻击其实没什么技术含量,因此两个骗子也很快被抓。不过,60 名受害用户可惨了,他们的账单上全是欺诈交易,而沃达丰并没有主动承担责任,电信巨头宣称自家客户应该为这批欺诈交易负责,因为他们用了这些“弱”密码,而事实上它们自己系统的安全短板才是这次事件的罪魁祸首。

虽然沃达丰将 PIN 码交给用户时它只是临时凭证,但电信巨头并未告知用户这个代码需要修改,有些用户就不知道自己还有个网络账户。

随后,当地报纸也对这一事件进行了报道,实时诈骗的两个嫌疑人分别被判处 2 年和 3 年有期徒刑。据悉,两个骗子还能通过沃达丰的网络主页获取受害者的生日、组织、银行账户和电话记录等。还好,他们没有滥用这些信息为受害者造成进一步伤害。

El Reg 要求沃达丰对此事作出解释并批评了它们的安全策略,电信巨头回应称:“我们很遗憾听到一些客户成为犯罪分子有针对性欺诈行为的受害者。我们已明确告知用户,他们需要用独特的强密码才能保护自己免受此类犯罪行为的侵害。沃达丰也一直在与执法部门合作,以确保将责任人绳之以法并对我们的客户进行补偿。

“虽然用邮箱当用户名外加 8 位密码的政策下一些用户会用上‘password’这样的密码,但获取大量用户邮箱可不容易,这样就能让犯罪分子望而却步。”“这件事的疯狂之处在于,沃达丰的认证设置实在太烂,它们给了‘1234’这样的弱密码居然还抱怨用户不注意安全。”

一站式解决邮件收发与安全难题
靠谱工程师为您提供一对一的专业技术支持与服务
申请试用
400-602-8603