大膽網站社工庫公然叫賣咱的密碼

　　專家：多個地方使用同一個密碼導致被盜 網友應經常更改密碼

　　一個自稱是國內最全、每日更新300兆的社工庫網站，公開出售自己所擁有的互聯網用戶的賬號和密碼，這一幕赫然出現在了互聯網世界之中。這個網站稱自己擁有“300億彩虹庫”，“所有的密文都可以瞬時被破解”。在其主頁上，記者看到網站的標語是“親這兒找不到，您只能入侵腦細胞了。”

　　隨后，記者在實際測試時發現，如今這個網站已經停止了注冊服務。

　　文/記者李鋼、何濤

　　關注

　　聚焦熱點 理性透視

　　神秘的“社工庫”網站：個人賬號密碼可隨時查詢

　　買賣用戶賬號和密碼，一直以來都在地下秘密流通，不過，社工庫網站卻公開在互聯網上做起了生意。為證明自己是國內掌握用戶賬號密碼最多最全的網站，招攬生意，這個網站專門提供一種測試自己的賬號和密碼是否被盜的服務。

　　在網站的查詢欄里輸入自己的郵箱地址，然后按“查詢”，就可以測試密碼是否被盜。本報記者也使用了的郵箱賬號進行查詢，赫然發現不僅自己的郵箱密碼被盜，連很久之前使用過的論壇賬號也未能幸免。

　　有網友表示，自己在輸入“126”郵箱賬號進行查詢之后，然后用網站反饋的檢索碼進行檢索，發現郵箱賬號已經在頁面上顯現出來——說明已經被盜了！通過多次測試，證明了這家網站的廣告所言非虛。

　　有網絡安全工作人員擔心，因為這個網站是開放的，誰都可以進行查詢，所以個人信息，很容易通過這個網站泄露。

　　社工庫網站的主要業務，就是銷售自己掌握的他人的賬號和密碼信息，而且公開兜售，只要給錢就賣。記者通過QQ與社工庫的負責人取得了聯系，對方開價500元就可以買到100萬條密碼，包月是100元，包年則是1000元，包月和包年都能享受的服務是單次查詢賬號和密碼。當記者對賬號和密碼的真實性提出質疑時，對方卻回答，愛信不信，很多人都在買。

　　有網絡界人士稱，以往這種交易都是隱蔽進行，直接公開叫賣的這還是第一起。

　　密碼為何被盜：

　　一個密碼走遍網絡

　　那些人盜取他人賬號和密碼，究竟意欲何為？有業內人士分析，他們盜取他人微博賬號后發言，一是可以逃避自己發表非法言論的法律責任，二是利用微博名人的影響力，發放廣告謀利。

　　記者從網絡安全公司了解到，目前所有的微博賬號都是用郵箱注冊，而且絕大多數網民為了記憶方便，不論是在郵箱、微博、論壇還是其他一些賬號中，都習慣性地使用了相同的密碼，網絡安全工程師表示，微博賬號被他人竊取，并非都是黑客直接去破解微博賬號，而是通過第三方途徑獲得的。

　　網絡工程師萬仁國告訴記者，有很多包括一些論壇在內的網站，用戶們基本上都會習慣性地用一個賬號和密碼去注冊所有的網站，但是這些論壇和網站的安全性不一樣，有些小網站和小論壇的安全性得不到保障，黑客很容易通過各種漏洞進而獲取這個網站的權限，再將用戶名和密碼偷回來，偷回來之后，他就可以嘗試用這個賬號和密碼去登錄一些比較重要的賬號，比如像微博、支付寶[微博]和淘寶之類的，然后再從事一些違法犯罪的事情。

　　網友支招密碼保護：勤換密碼

　　有網友支招如何保護網絡密碼，列舉了以下方法：

　　措施一：使用復雜的密碼。密碼長度應該至少大于8位，密碼中最好包含字母數字和符號。

　　措施二：在輸入密碼時，用鼠標選擇相應的字母輸入，這樣就可以避免木馬記錄擊鍵。

　　措施三：將密碼保存在本地是個不好的習慣。如果本地沒有一個很好的加密策略，那將讓黑客破解密碼大開方便之門。

　　措施四：實施定期更換密碼，可每月或每季更換一次。永遠不要將密碼寫在紙上。

　　措施五：于不同的網絡系統使用不同的密碼，對于重要的系統使用更為安全的密碼。絕對不要所有系統使用同一個密碼。

　　措施六：防范釣魚網站的方法是，用戶要提高警惕，不登錄不熟悉的網站，不要打開陌生人的電子郵件。

　　措施七：使用USB Key。由于用戶私鑰保存在密碼鎖中，理論上使用任何方式都無法讀取。

　　社工庫如何得手：

　　可收購小網站套取的網友密碼

　　對于社工庫掌握了大量郵箱密碼的情況，泡椒網創始人、網絡專家洪志剛分析稱，這一點在技術上完全可以做到。很多網友都有一個習慣，就是在很多地方都使用同一個密碼。有很多網站在注冊時，都需要用戶提供郵箱地址和密碼。一些不負責任的小網站可能會把這些密碼信息記錄下來后，賣出去牟利。

　　網友在網站輸入密碼時，看到輸入的字母或是數字變成了小黑點，洪志剛稱，這并不是密碼加密，而是頁面上的一種處理手段，以防旁人偷看。密碼信息輸入后會傳輸到后臺的服務器上，如果這時的密碼信息沒有經過加密處理，后臺的管理人員就可以看到密碼。

　　人們使用網絡銀行時，輸入的密碼信息都是經過加密處理，后臺人員無法查看，所以安全性較好。但一些仿冒銀行網站的釣魚網站，就是想通過這種手法獲取用戶賬號和密碼信息。

　　洪志剛稱，還有一些不法人員會采用一些技術手段去破解網友的密碼，如果密碼設置太簡單也很容易被破譯出來。

　　信息安全形勢嚴峻

　　近兩年，國內頻頻出現黑客入侵大型網站和數據庫，盜取用戶資料的情況。網絡安全工程師告訴記者，如果被盜用戶沒有更改密碼，而且在郵箱和微博上使用同一個密碼，那么用戶的微博就等于向他人開放了。

　　廣州市信息網絡安全協會10月份發布的通報稱，甲骨文Java軟件中發現了最新的漏洞，黑客可借此侵入超過10億臺裝有Java的電腦。

　　盡管10月份廣州市沒有出現造成嚴重后果的網絡安全事件，但潛在威脅和攻擊力繼續增長，網絡安全形勢依舊嚴峻。