某“代发工资”公司后台密码“123456”,黑客狂喜转走730万!

账户:admin  密码:123456
这组默认账号密码可以说是从几年前就战功赫赫,就连乌克兰军方系统密码都是这个,可是说是弱密码圈里的“老网红”了,上次乌克兰军方被安全专家测试出来没出什么大事故,这回有个公司密码:123456,可是实打实的被转走了730万。

2020年6月1日下午2点,上海警方接到一家公司报案称,5月30日至31日期间该公司自主研发的“代付系统”遭到入侵,通过“代付系统”向公司银行账户发出汇款指令,先后向7个银行账户汇款共计730多万人民币。
因涉案金额巨大且为互联网技术犯罪,警方立即成立专案小组展开工作,经过初步梳理受害公司情况之后,发现该公司虽然支付操作需要与手机号绑定接收验证码,但并没有采用“字母、数字、符号”组合的难于破解的复杂密码,而是直接使用了默认的系统账号密码,也就是上面的弱密码圈的“老网红”。
鉴于该公司过于简陋的防护措施,警方认为极有可能是外部入侵导致。

在公司系统后台服务器的日志中,警方找到了外来入侵的痕迹,通过数据梳理,确认共有国内外3个IP地址对“代付系统”进行过入侵。攻击者通过破解系统管理后台用户名及密码、下载客户数据、破解“代付系统”客户端平台、修改用于验证支付的手机号码及支付密码等操作掌控了资金流转权限,随后发送代付指令,从账户中盗走730多万钱款。

根据银行账户记录以及资金流向,有人从国内多地收款账户共取现190多万元,警方判断这些地点可能会有涉案人员活动。随后警方通过比对数据分析以及收款账号开户人关系网络,确认金某某等4人与案件有紧密关联,是专门负责提供账户并实施转款、取现的同伙。
6月2日,专案组兵分6路赶赴全国多地,对上述人员进行侧面排摸,顺利锁定实施“黑客”入侵的龙某某以及张某、周某等负责网上洗钱的团伙成员身份判明行踪。
6月5日,专案组果断开展集中收网行动,先后抓获龙某某、金某某、张某、周某等10名犯罪嫌疑人。到案后,龙某某交代自己系无业人员,但平日喜好网络技术。5月31日凌晨,龙某某在网上收到一个名叫“张飞”提供的受害公司的账号密码,便对该公司后台进行窥探并尝试上传木马病毒控制网站。在成功登陆该公司“代付系统”后,龙某某向“张飞”提供了登陆系统客户端的“后门”。
犯罪嫌疑人金某某等人交代,有一个叫做“阿强”的人联系金某某,并索要多个私人银行账号供自己使用,承诺给予一定好处。5月31日,金某某在取现后,抽取5万余元“好处费”后,将余下的185万元现金藏匿等待下一步指令。而犯罪嫌疑人张某、周某则表示,按照“阿强”的指令,将收到的钱款用于购买虚拟币,并通过网络转给了“阿强”。
随后警方根据掌握的信息,再一次开展大规模对比排摸,最终锁定“阿强”“张飞”及其他相关人员信息,于6月19日将主犯刘某某等4名犯罪嫌疑人一举擒获。14天抓获了15名犯罪嫌疑人。


黑客龙某某在被抓后还说:“上海警察来的太快了,我都来不及反应”。目前,警方已在犯罪嫌疑人金某某父亲处缴获现金155万元,并冻结400余万赃款,上述14人及金某某父亲共15名犯罪嫌疑人已被浦东警方抓获,案件正在进一步侦查中。

从这起案件其实不难反映出两个问题:“密码安全性不重视”和“员工安全意识差”。等保推行已经有了一段时间,但我相信还在使用默认系统账号密码的绝对不只有这一家公司,根据法律法规,企业重要网站上线30天内要完成报备,进行等级保护测评。该受害公司为了降低转账手续费自建网站,还没有进行报备和等保测评。导致管理后台一直处于“裸奔”状态,这次出了事除了抓捕犯罪分子,该公司被罚也是迟早的事。
密码是保护我们个人、企业网络信息安全最基础、最核心的手段之一。一个不容易被破解的强密码不仅可以保证我们信息的机密性,而且还可以保证信息的完整性和可用性,防止信息被篡改、伪造和假冒。然而在国家的大力推崇下,还是有许多企业没有重视弱密码的问题。
再有就是一个企业员工的安全意识不够,对于我们个人来说,一个刚刚搭建的网站或者申请的账号,肯定都是要修改一个复杂且只有自己熟悉的密码作为保护。许多企业员工对于这种密码安全意识不到位,企业也欠于培训,等保的推出不仅仅是加强“网站”“系统”的安全性,同时也是要将这种安全意识加在我们每一个人心里。
鉴于这个问题,钉子为大家提供一份《员工信息安全意识培训》免费下载,大家可以用于自己或者给自己企业的员工进行培训使用,也欢迎大家分享,以此次事件为戒,网络安全意识不能靠国家督促,应该由我们每个人自发。