当心抢票"神器"偷你信息 网络攻防如何"道高一丈"

春运抢票已不是新鲜事,与传统的火车购票方式相比,如今有近七成乘客选择网上购票,各式抢票软件应运而生。然而,声称高效、精准的抢票神器却暗藏信息泄露、诈骗钱财等多种风险。今年春运前夕,记者进行了调查采访。

识别验证码仅需300毫秒

1月4日,在北京某银行上班的张女士想买一张2月10日从北京到安阳的火车票,选择某在线旅游APP预约抢票。“这个APP号称有不同的抢票速度,取决于你有多少加速包。”张女士说,她不想买2元一份的加速包,而是以“邀请好友”的方式收集了48份,但至今仍未抢到票。

像这样使用抢票APP的人不在少数,而且各出奇招。在某央企就职的左小堂登录某抢票APP后,系统默认勾取了一份20元加速包。“这个抢票APP实际上是登录了我的12306账号进行操作,”左小堂说,“APP抢到票后提醒我付款,我马上去12306官网付钱,避开额外费用。”不过,这样做也折损了他在APP上的信用值。

除了在线旅游公司推出的抢票业务和抢票APP之外,当下网络抢票主要还有两种方式,一是内置“抢票插件”的浏览器或网站,二是潜伏在QQ等社交平台上的“抢票团队”。归根结底,这些依靠的都是专业软件。

记者通过QQ联系上一位“专业抢票手”,他声称用自己的12306账号和专业软件抢票,一旦普通预售期抢票成功则收取100元到120元不等的费用,“捡漏”费用则需另付二三十元。简单介绍后,他便反复催促记者提交乘车人的身份证号、手机号、列车班次等信息。

“抢票软件可以自动刷新余票、自动识别验证码,市面上有软件声称仅需300毫秒就可完成图像识别,普通用户操作则需要5—10秒,”某网站安全运维人员罗泰山解释道,“如果利用云服务器抢票、海量账号等多种手段,效率会更高。”

“合成神器”直接伪造车票

抢票软件真的靠谱吗?

不少网友反映使用抢票软件后,非但没有抢到票,反而接到了很多垃圾短信和骚扰电话,个人信息遭泄露。

火车票需要实名制购买,找网络“黄牛”抢票也要提供个人信息。“这可能将自己的身份证号等个人信息挂在空气中”,互联网工程师蔡欣说,也不排除这些软件和网络“黄牛”乘机囤积旅客个人信息。

而一些看似正规的抢票软件要求用户绑定自己的12306账户。12306网站相关技术负责人表示,只要旅客将自己的12306网站用户名、密码透露给代购方,就相当于敞开了自家大门,他人可以随意进出。

很多抢票软件声称不留存任何个人信息,但是否真能做到,不得而知。另外,如果安防手段薄弱,用户隐私很容易被直接访问甚至窃取。蔡欣说:“隐私信息是否泄露,除了取决于企业道德,还看企业网络技术的实力。”

更有甚者,打着网络抢票的幌子,开展各种形式的诈骗。近日有媒体报道,北京市民李先生在网上找“黄牛”代买火车票,每张票加价100元,却不料遭遇“火车票合成神器”,票面信息全部伪造。

“网络抢票容易滋生一些新的诈骗机会,”罗泰山说,“除了相对明显的‘合成神器’,有的不法分子通过账户捆绑或者植入木马病毒,窃取个人信息,再伪装成12306客服实施精准诈骗。”

网络攻防如何“道高一丈”

面对抢票乱象,上海社会科学院互联网研究中心执行主任惠志斌认为,只有综合施策才能兼顾购票过程中公平和效率的提升。“这包括更加科学透明地提供票源信息、完善12306平台、加强监管抢票软件技术功能,尤其是个人信息的采集利用行为要合法合规。”

“抢票软件的风险实际上取决于其技术设置,有的信息可能是只在用户客户端存储,有的信息可能要调取到云端操作。”惠志斌说,“后者存在大规模收集和利用个人信息的情况,有被黑客窃取、抢票软件非法利用转移等风险。”

“网络安全攻防都在不断进步,不可能一劳永逸,12306平台应不断增强网络攻防的技术迭代能力。”在蔡欣看来,12306平台要对抢票软件或黑客恶意攻击、撞库等行为有力监控、有效遏制。

当然,想从技术上杜绝抢票软件难度不小。12306网站相关技术负责人表示,12306网站本质也是互联网,页面与页面传输是开放的。从技术角度讲,确实存在自动化程序可以模拟网站运行,通过“暴力解码”获得比一般旅客更快的时间优势。

更重要的,是执法监管不能缺位。“一些抢票软件可能涉及不法产业链。监管部门有责任依法依规打掉它,特别要注意上下游产业链里的‘内应’。” 中国社会科学院信息化研究中心秘书长姜奇平说。


来源:人民网-人民日报

(编辑 吕蓉)