心累，网站被盗刷 1.7T 流量

Posted 2023-04-08 拓跋阿秀

小伙伴们大家好，我是阿秀。

前几天我在上班摸鱼的时候忽然收到阿里云发来的邮件说账户欠费，服务停止

同时也有人在群里说网站图片看不到了。

我当时第一反应就是 OSS 套餐超了，因为以前也收到过类似的邮件，我去年双十一的时候买了一个包年的流量套餐，2000块钱一年。

有时确实会出现套餐中包含的流量超了引起的账户欠费，都是回去冲10块钱就可以了，下个月套餐里又有流量了。

所以也没怎么当回事，想着晚上充一下就可以，晚上下班回去打控制台一看，真的是吓了一跳。。。

一共欠费 1700 多块钱，心里顿时戈登一下。。再看流量，本月已使用流量为 1.7T ！！！

WTF！！！当时我就知道坏了！

因为这访问流量绝对不正常，我的网站每月最多也就 500G 左右流量，这直接变 3 倍多了，也不是稳步上升的，是直接忽然某天飙升。

查下日志最终发现有 4 个IP不正常，访问次数就不正常。。。其中一个一天就给我干了 1200 多G流量。。

再查下其中的两个，果然不出我意外，是国外的新加坡的微软云IP，这两个IP就盯着两个文件一个劲的刷，一个文件刷了 1T 多流量，另一个文件刷了 330+G 的流量。

剩余的文件访问流量一共是  400G 流量左右，我当初也没有设置任何防范措施，因为我压根没想到会有人搞我，我是真的没想到。

还好这只是几个IP疯狂访问，对面要是用了IP池来搞我，可就不止欠费1700了。。

我去咨询过阿里云的客服，这种情况该怎么办？

他们建议我去报网警，请求新加坡那边的网警协作，因为IP是国外的，国内网警的手伸不过去，这是最恰当的方式。

我想了下，放弃了。。。那么多电信诈骗的，涉案金额几百万的都有，大多数最后也..我这也就不到2000块，最多也就做个笔录，然后就没有然后了。

说实话我不知道为什么会有人花钱来搞我？因为海外IP攻击应该也是需要花钱的，我现在也没有头绪到底是谁要搞我？搞我有啥好处呢？

因为我感觉自己没怎么跟人结下梁子，不管是现实生活中还是网络世界里，我都很少跟人红过脸，也基本没跟人起过争执。。。。

后来有群友提醒我才反应过来，他们说可能是我现在做的一些事动了某些人的蛋糕了，原本很多学生或者非科班的会选择去报培训班去学技术，现在有人做的事阻碍这块大蛋糕🍰了。

emm，这让我想起来以前我的学习笔记PDF版本被某机构拿去发给学生说内部资料这件事了，真的挺恶心的。。。

老实说，有点心累了。

就拿OSS来说，本来以前图片存储用的是github图床，后来有人说刷不出来，也正常，github服务器是在国外，访问速度慢正常、、、后来又迁移到国内的码云，访问速度能快点。

结果人算不如天算，码云去年又搞了防盗链那回事，图片又挂了，这才自己花钱上了阿里云OSS，结果又被盗刷这么多流量。。真的是日了狗了。

断断续续因为这个网站我花了差不多 1W 块钱了，服务器 + 域名 + OSS存储 + CDN + 边缘 WAF。。。

阿秀的学习笔记：https://interviewguide.cn/

1W 不是小数目了，换成硬币也是1W个，打水漂打一天一夜也打不完，就算全丢水里也能冒个泡，听个响儿啊。。。

好了，我去补交这 1700 块钱了。。。

还有，“凡是杀不死我的，必使我更强大。”

以案释法验证码泄露卡被盗刷银行担责七成

        银行卡明明在家里，却在千里之外的海南两次被盗刷合计1万元。江西省南昌市市民王某对此气愤不已，并以建设银行某支行未尽到风险告知和审慎审查义务为由，诉至法院，要求银行赔偿被盗刷款项。南昌市西湖区人民法院审理了该起储蓄存款合同纠纷案。

        王某因要出租房屋，在58同城网站上发布出租信息，不久便接到一个来自海南的电话，说要承租房屋，要求王某提供建行账号。王某将户名账号告知“租户”后，该“租户”说马上汇订金，并表示王某提供其手机验证码后，就能查到订金是否到账。

        之后，“租户”假意询问物管费、水电费等事宜分散王某注意力，王某连续两次发送验证码给该“租户”，后发现银行存款余额减少的短信，王某遂挂断电话。王某到建行某支行查询得知，其账户分别通过支付宝和财付通消费支出合计1万元。

        为此，王某以建行某支行“账号支付”的开通和管理存在漏洞，且未尽到风险告知和审慎审查义务为由，诉至法院，要求银行赔偿被盗刷款项。

        本案争议的焦点为，王某银行卡被盗刷1万元，王某和银行之间的过错划分及责任如何承担。王某称该银行卡被银行自动开通了“账号支付”功能，银行管理存在漏洞。建行某支行则辩称，王某作为完全民事行为能力人，将验证码告诉不法分子造成损失明显存在过错。

        法院经审理认为，“账号支付”功能的特点是持有建行活期储蓄账户（含卡、折）或信用卡账户的客户，无需开通网上银行，可直接输入“银行账号+手机短信验证码”进行小额支付。这一支付产品既存在支付门槛降低，支付流程简化的优点，同时又存在一定的资金安全风险。根据公平和诚信原则，结合原被告双方的举证能力，法院将案涉银行卡是否开通“账号支付”功能以及银行是否尽到风险告知和审慎审查义务的举证责任分配给银行承担，并要求银行提供王某开通“账号支付”功能的相关材料。银行称“账号支付”功能只能通过建行网站开通，但在法院指定期限内银行未能提供王某银行卡开通“账号支付”功能的IP地址，银行举证不能，故推定银行在开通“账户支付”业务的管理中存在漏洞，未尽到审慎审查和风险告知义务。同时，在案涉1万元被盗刷之前，银行通过95533发送了短信提醒，但王某存在疏忽将验证码告诉他人导致款项被骗，王某自身也存在一定过错。

        鉴于银行有责任建立持卡人安全保障机制，且银行在双方储蓄合同法律关系中处于强势地位，并结合本案中双方的过错程度，法院判令银行对王某资金被骗承担70%的责任，即7000元；王某自身泄露动态密码，应承担30%的责任，即3000元。

        据此，法院最终判决银行支付王某经济损失7000元，并驳回王某其他诉请。

        银行有责任建立持卡人安全保障机制

        法官庭后表示，银行卡盗刷涉及到盗用人、银行及持卡人三方主体，根据各自过错来承担民事责任，这样方显公平。作为盗用人无疑是第一责任人，承担返还该笔财产的责任，甚至如果盗刷的数额达到一定数额则构成盗窃罪，需要承担相应的刑事责任。作为持卡人，具有妥善保管银行卡的义务，严防泄露自己密码或验证码。银行与持卡人之间形成存款储蓄合同关系，银行作为拥有金融专业知识和信息技术、备受广大金融消费者信任的机构，有责任建立持卡人安全保障机制，有义务提供必要的安全、保密的交易环境，以保护持卡人的财产安全。否则即构成违约，在盗用人未知的情况下，银行应在其过错范围内先行承担赔偿责任，之后可另行向盗用人追偿。

        同时，面对日益增多的盗刷案件，法官也提醒广大群众，持卡人应加强防范，保证自己的财产安全。

        第一、提高警惕，保护好个人信息。银行账户、支付密码、手机验证码等信息至关重要，在任何情况下都不要泄露给他人，尤其是手机验证码，不法分子盗取银行卡账号和密码并非难事，短信验证一般具有时效性难以获得，所以验证码就成了最后一道防线。

        第二、不登录不明WiFi、打开不明链接、下载不明软件；办理网银业务时，应申请办理U盾，以保障网银交易安全；收到银行、运营商等机构发来的短信，采取回拨官方客服的方式确认。

        第三、建议网银支付设置迟延到账功能（至少24小时），使得受害人得知自己受骗后，能够有足够时间及时追回被骗资金。

        第四、中国移动、银行和第三方支付平台多方联动，利用大数据加入一些更加隐秘的验证方式，并减少交易过程中的安全漏洞或者瑕疵。

来源：中国普法网