退改签诈骗引出信息泄露大案 涉东航等多家航空公司
非法入侵50多家民用航空类公司网站,窃取乘客票务信息,再利用这些信息实施网络诈骗,骗取金额1000多万元。近日,浙江省温州市公安局网安支队、苍南县公安局网警大队破获一起特大黑客攻击窃取国内航空公司网站信息案件。警方共抓获黑客林某等犯罪嫌疑人20名,缴获航空票务类公民信息30多万条和大量账号、密码信息。
机票“退改签”诈骗
引出信息泄露大案
“尊敬的旅客,您所乘坐的航班因为机械故障或天气原因而取消航班,要求顾客改签机票,请拨打400××××。改签成功
,由航空公司赔偿200到300元的经济损失。”近年来,买机票后收到诈骗信息的情况屡见不鲜,最为典型的案例就是犯罪分子通过发送“航班取消”的短信实施诈骗。
此类案件中,犯罪分子往往能够非常准确地获得旅客的姓名、证件号、订的航班票号,让旅客进行“退改签”,从而进一步引诱旅客进行转账。
旅客的信息是如何泄露的呢?今年7月,温州市公安机关网安部门在侦办一起利用机票退改签实施网络诈骗案件中,发现犯罪嫌疑人林某有非法侵入各大民航网站,窃取公民机票出行信息犯罪嫌疑。
这个情况立即引起温州市、苍南县两级公安机关领导的高度重视,成立了由网警、刑侦人员组成的专案组。
经两个多月的侦查,温州、苍南警方摸清犯罪人员结构后,侦查人员于10月30日、31日分别在广东广州、海南三亚成功抓获犯罪嫌疑人谢某、林某、王某等20人。
涉多家航空公司网站
诈骗金额超过千万元
案件涉及东方航空(6.730, 0.03, 0.45%)、中国国际航空、海南航空、首都航空、深圳航空、昆明航空等50多家民用航空类公司网站。
这些网站被黑客非法侵入,造成大量公民个人信息被泄露。警方在抓捕过程中,现场缴获了公民个人信息30多万条以及登录各大涉案网站的大量账号、密码。警方进一步调查查明,自2016年下半年以来,犯罪嫌疑人林某等人利用各航空类公司网站的漏洞,多次非法侵入50多家网站获取最新公民航空机票票务信息,以每条5元的价格出售非法获利达150多万元。
犯罪嫌疑人黎某等17人通过购买这些信息实施机票退改签方法进行网络诈骗,作案100多起,骗取金额达1000多万元。
航空公司网站被攻击
旅客信息泄露有先例
航空公司网站信息泄露已经不是第一次了。早在2016年3月,广州公安就曾破获一起非法窃取乘客信息的案件,抓获了一名19岁的“黑客”。这名“黑客”通过攻击各大航空公司官网、知名机票代售平台和电商平台,非法盗取市民的个人信息。
民警在调查中发现,一个来自外省的网络访客,未经授权进入了航空公司的票务系统,大量窃取旅客订单信息。办案民警说,嫌疑人张某14岁就有编写黑客软件的行为。退学后,张某做了一名网络黑客,专门攻击各大航空公司官网、知名机票代售平台和电商平台。而且误打误撞,竟然得逞了。
从那之后,张某一到凌晨就去攻击目标网站。在他的电脑里面,民警一共找到了多达167万条旅客信息。在他的手里,一条旅客信息同样卖5元,截至案发时,这名“黑客”已经卖了80多万条。
网站被入侵通常就是黑客利用网站程序或者是语言脚本解释的漏洞上传一些可以直接对站点文件进行修改的脚本木马,然后通过web形式去访问那个脚本木马来实现对当前的网站文件进行修改,比如加入一段广告代码,通常是iframe或者script,或者导致网站跳转到恶意网站上去。
想知道网站是否被挂马,有一个比较简单的方法,直接检查每个脚本文件最下方是否被加入了iframe或者script的代码,然后这段代码是否是程序员设计的时候添加的,程序员一看就能够知道。
防入侵的安全建议
1、程序代码漏洞,这需要有安全意识的程序员才能修复得了,通常是在出现被挂马以后才知道要针对哪方面入手修复;
2、也可以通过安全公司来解决,国内也就Sinesafe和绿盟等安全公司 比较专业.
3.服务器目录权限的“读”、“写”、“执行”,“是否允许脚本”,等等,使用经营已久的虚拟空间提供商的空间,可以有效降低被挂马的几率。
1、发现被入侵,先暂时断开网络
2、全面检测服务器和网站,看下是否存在什么漏洞,及时打上安全补丁,修复漏洞。或者也可以找专业的第三方公司(如安全狗)帮忙做漏洞检测、高级渗透测试。
3、修改管理员账户密码,尽量设置的复杂些。
4、检查服务器网站的相关内容是否有被篡改,是否有被挂马、后门等,及时清除问题。如果有发现篡改,及时替换正常的文件内容。
5、安装安全防火墙,可以看下安全狗的软件,然后可以讲服务器添加到安全狗服云进行管理,当有攻击发生时,可以快速知道,找到攻击源,并进行处理。还能利用服云手机端,在手机上远程管理服务器。
6、权限设置,主要是对装有重要文件的文件夹,设置哪些账号可以访问,哪些账号有修改操作的权限,这样也可以进一步保障文件内容的安全。
7、及时备份数据文件,看第4条,提前备份好文件,当发生问题时,就可以及时的进行替换。
8、检测服务器上的配置是否都是正常的范围
在消费者维权意识增长的今天,我们不得不思考:如何理性妥善处理消费者的维权行为?惩罚性赔偿离我们还有多远?
名词解释:
惩罚性赔偿是指民事主体违反民事法律规定,通过法院判处的由侵害人向被侵害人支付超过实际损失的金额的一种损害赔偿。
有一个美国老太太因边开车边喝热咖啡烫了腿,却成功告赢了麦当劳,获得百万赔偿。这个故事,中国人都很熟悉。
那个告赢麦当劳的老太太叫史特拉,美国有个以她命名的奖,每年颁给最成功也最荒诞的诉讼案的原告律师和陪审团。得奖中最有名的案子是奥克拉荷马的马弗·格瑞辛斯基先生。
该天才买了一辆崭新的9米长的旅行车(有床,有厕,有厨房的motor home)。在回家的高速路上,他把自动驾驶定在120公里的时速,就离开驾驶座到后面煮咖啡去了,最后出了大车祸。幸好,该位老兄还活着,并且状告该车制造厂而得到175万美元赔偿,外加新车一辆,理由是车子的说明书上没有说:不可以离开驾驶座到后面去煮咖啡。
案子过后,该制造厂真的把这一条加在说明书上了。
上帝已经死了
在著名的“麦当劳咖啡烫伤案”中,老太太史特拉遭受的实际损失只有2万美元。陪审团却判决被告偿付高达270万美元的惩罚性赔偿。依照美国法律,只要被告存在欺诈的、故意的、恶意的、后果严重的违法行为,即可适用惩罚性赔偿法规,赔偿金额可以远高于受害者的实际经济损失或精神损害。
1999年,美国通用汽车公司早就知道油箱设计有问题,但为了利润而不及时修改,造成了6人严重烧伤。法庭判决通用汽车公司支付补偿性赔偿1亿美元,惩罚性赔偿48亿美元。这种惩罚性赔偿针对大企业,保护弱势群体,旨在对侵权者主观上的恶意和不道德进行严惩,以求杀一儆百。
在17至18世纪的美国,惩罚性损害赔偿主要适用于诽谤、诱奸、恶意攻击等使受害人遭受名誉损失及精神痛苦的案件。进入20世纪后,大公司和大企业蓬勃兴起,各种瑕疵商品导致的消费者损害案件也频繁发生。大公司财大气粗,对于消费者的补偿性赔偿,很难遏制其为追逐赢利,而制售不合格甚至危险商品的冒险。于是,惩罚性赔偿逐渐适用于产品责任领域,赔偿金额也不断提高。
国内的消费者就没这么幸运了。
“齐二假药事件”、“三鹿奶粉事件”等之后,中国消费者的无奈无不凸显在苍白的法条间,公众对惩罚性赔偿制度的又一次热切关注,唤起了人们对十年前一个匪夷所思的笔记本纠纷案的记忆。
1997年8月,王洪购买了恒升笔记本电脑一台,因电脑质量问题与厂商产生纠纷,多次交涉未果,王洪自觉上当,在网上发了一篇《请看我买恒升上大当的过程》。此文一出,跟帖无数。恒升认为王洪侵犯了公司的名誉权,遂发起诉讼。2000年12月19日,北京一中院作出终审判决,被告向恒升公司赔款9万元。2001年3月12日,被告因无力支付赔款,而因“拒不执行判决”被拘留。最后还是免费帮王洪代理案件的律师从多位同情者处筹得9万元交给法院,这个倒霉的消费者才在“消费者保护日”的前两天重见天日。
这一判决,在十年前中国互联网方兴未艾之时,引起巨大轰动。新兴的网民将判决视为对网络言论自由的最大挑战。终审判决当日,恒升的网站被黑客贴出醒目的黑底白字“赢了官司,输了世界”,王洪被拘当日,又一位网民借用了尼采的名言——“上帝已经死了”。
判决作出后一年,恒升就在消费者的视线中消失了。赢了官司的恒升,市场却给了它最严厉的惩罚。
舶来的惩罚性赔偿
十年过去,对于中国很多普通百姓而言,惩罚性赔偿仍然是个陌生无力的词汇,人们对于赔偿更为通俗的理解是赔多赔少的问题。
我国法律中一直未明确惩罚性赔偿制度,直到1993年制定《消费者权益保护法》时,才正式建立了惩罚性赔偿金制度,该法第49条规定:“经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加的金额为消费者购买商品的价款或者接受服务的费用的一倍。”这一规定借鉴了英美法的惩罚性赔偿制度,也是迄今为止我国法律中惟一的一条惩罚性条款。
而关于欺诈行为的认定,人们看法不一。
目前我国最高人民法院《关于贯彻执行(中华人民共和国民法通则)若干问题的意见》(试行)第68条规定:“一方当事人故意告知对方虚假情况,或者故意隐瞒真实情况,诱使对方当事人作出错误的意思表示的,可以认定为欺诈行为。”
1996年3月15日,国家工商行政局发布的《欺诈消费者行为处罚办法》第2条规定:“本法所称欺诈消费者行为,是指经营者在提供商品或者服务中,采取虚假或者其他不正当手段欺骗、误导消费者,使消费者的合法权益受到损害的行为。”因此,欺诈行为既包括经营者积极编造虚假情况或歪曲事实,故意告知消费者虚假情况,也包括有意隐匿真实情况,有义务告知消费者却不告知。
但在是否引入惩罚性赔偿制度上,有法学专家认为:“惩罚性赔偿是英美国家的典型做法,与大陆法系国家的民法观念不相符,我国不必效尤。”
正因为如此,惩罚性赔偿制度引入中国举步维艰。
罚金与隔靴搔痒
回望中国,期待对企业的违法行为进行法律审判的呼声,早已高过对其道德审判。
但当消费者认为消法中规定的赔偿金额不足以弥补自己的损失,而希望获得更多的赔偿时,不得不选择漫长而高成本的诉讼维权之路,正因为如此,许多消费者放弃了维权,部分企业也继续铤而走险。
然而,最近有一个消息足够让消费者振奋。
《食品安全法修订草案》中,已经引入了对质量缺陷食品进行“十倍价款赔偿”的法条。相对于消法中的两倍返还,这显然又进了一步。
也有人提出,在即将制定的民法典中引入惩罚性赔偿制度,才更有利于这一制度的实施。
值得期待的是,我国学者目前已起草了两个版本的《民法典·侵权行为法编草案建议稿》,其中都引入了惩罚性赔偿。版本一规定:故意侵害他人生命、身体、人身自由、健康或具有感情意义财产的,法院得在赔偿损害之外判决加害人支付不超过赔偿金3倍的惩罚性赔偿金。版本二规定:因生产者、销售者故意或者重大过失使产品存在缺陷,造成他人人身,财产损害的,受害人可以请求生产者、销售者给予双倍价金的赔偿。
然而,这样的规定在适用条件和惩罚额度上与英美法系中的惩罚性赔偿力度相比,仍如同隔靴搔痒。
为什么近年来,假冒伪劣食品和有毒食品案例层出不穷,一个重要原因在于赔偿机制上的震慑力不足。消费者和受害人的维权成本很高,司法实践中一般只判决赔偿实际损失,不考虑受害者耗费的时间、精力等成本。由于缺乏惩罚性赔偿,违法者的违法成本很低,补偿性赔偿的标准远远不足以抵御其为逐利而制售不安全食品,有问题的产品的贪婪。
无数的事实告诉我们:只有增加企业的违法成本,才能保护守法企业的公平竞争。也只有对诉讼的恐惧才能令制造商们重视产品质量,更不会为小利而冒大险。
中国现在简直就是资本主义初期,哪有一点社会主义的样子?国家政策只会维护资本家利益,而忽略了消费者和劳动者的利益。简直就是资本主义初期。
非法入侵50多家民用航空类公司网站,窃取乘客票务信息,再利用这些信息实施网络诈骗,骗取金额1000多万元。近日,浙江省温州市公安局网安支队、苍南县公安局网警大队破获一起特大黑客攻击窃取国内航空公司网站信息案件。警方共抓获黑客林某等犯罪嫌疑人20名,缴获航空票务类公民信息30多万条和大量账号、密码信息。
旅客的信息是如何泄露的呢?今年7月,温州市公安机关网安部门在侦办一起利用机票退改签实施网络诈骗案件中,发现犯罪嫌疑人林某有非法侵入各大民航网站,窃取公民机票出行信息犯罪嫌疑。
案件涉及东方航空、中国国际航空、海南航空、首都航空、深圳航空、昆明航空等50多家民用航空类公司网站。
这些网站被黑客非法侵入,造成大量公民个人信息被泄露。警方在抓捕过程中,现场缴获了公民个人信息30多万条以及登录各大涉案网站的大量账号、密码。警方进一步调查查明,自2016年下半年以来,犯罪嫌疑人林某等人利用各航空类公司网站的漏洞,多次非法侵入50多家网站获取最新公民航空机票票务信息,以每条5元的价格出售非法获利达150多万元。
犯罪嫌疑人黎某等17人通过购买这些信息实施机票退改签方法进行网络诈骗,作案100多起,骗取金额达1000多万元。
骗子到处是,这个就需要我们擦亮眼睛分辨了。
1、同主机网站太多,存在旁注风险。
网站后台找专业人员解决
2、Dedecms程序,用不到的功能,建议删除或者禁用。
这是入侵的重点,比如没有删除install文件夹,或者没有更改默认的后台登陆路径,还有就是会员注册用不着,但是也没有禁用等等。后台程序不是为你的网站量身定做的,是需要我们进一步修改完善的。
3、网站密码在长度和复杂性方面都要加强。
密码的安全性,是要引起我们足够的重视的,再完美的程序,在密码的面前也是无计可施的,密码设置不好,一切都免谈。
4、加强电脑的安全,不要在不安全的电脑上使用密码。
密码设置好了,保护不好,也是起不到安全的作用的,密码泄露的危险是毁灭性的。使用自己的电脑,要及时的升级杀毒软件,定时的杀毒检测。
5、每天必查友链
站长工具可以查网站的友链,方便快捷,网站入侵的目的,大多都是为了增加黑链,通过查看友链就可以及时发现陌生的链接,及时的处理。
我来说两句