流言揭秘：“技術黃牛”秒殺12306防禦？

流言：

隨火車票實名制的推進，在車站或代售點買票的人數逐漸減少，更多的人玩起了網上“搶票大戰”。到搶票，就繞不開12306購票網站，但自從2011年上線以來，一到春運它就時不時“掉鏈子”，甚至網絡被“黃牛”破解。近日央視曝光黃牛黨利用網站技術漏洞，在幾分鐘之內刷出近千張票，這是真的嗎？

真相：

時代在變，技術在變，下黃牛一族不僅沒有被時代所淘汰，反而“華麗”轉身成為“技術黃牛”。網絡售票給人帶來便利的同時，也確實讓黃牛利用了12306網站存在的技術漏洞，使普通人的利益受到了一定的威脅。

據記者了解，在火車票預售高峰期之后，微博、QQ群等網絡空間裏經常有黃牛出沒，發布一些代購火車票或轉手火車票的廣告。在“12306火車票互搶QQ群”裏，記者假裝要買票，諮詢搶票技巧，沒過多久就有兩三個黃牛發來消息，詢問是否需要幫忙代購。當記者對票的真實性表示懷疑的時候，其中一個網名為“票來了”的黃牛表示，他們採用的是比市面上速度更快的搶票軟件，他們有一支專門負責刷票的團隊，專守在電腦前搶票，“對於那些不成功的訂單、退票，等它們回到票池內，基本上我們都能拿下。只要提供你的身份證，只需兩三天，我就能給你消息。”

記者問及是否代購熱門車票時，黃牛“票來了”道：“當然可以。我們用不同的身份證在發票時間不斷刷票，所以票源我們是有的。如果你需要，就轉讓給你。但你需要提供身份證號，我們會在特定時間段，一邊退、一邊搶，這樣很容易成功過戶的。不過，按照規則，你先付費，我再幫你搶。”

那麼，黃牛究竟是怎樣搶票的呢？據了解，時下流行的專業“搶票插件”實則成了黃牛工具，他們團隊合作，選用高級計算機和更快的網絡，在發票的一秒鐘內，執行包括提交訂單、識別驗證碼等一系列動作，使得其他用戶搶不到票。

搶票軟件是如何囤積大量車票的呢？不便透露公司的網絡工程師王南表示，搶票插件可以不斷地向12306發送指令，省去用戶一些原本用來輸入信息的時間，這些軟件打破了12306網站每5秒鐘搶一次的限制，能夠以毫秒速度實時刷新，變成自動刷票機。成功囤票后，黃牛會立即在線上兜售。在倒票過程中，他們利用12306網站設置的“45分鐘支付期”這個時間差。若有顧客買票，他們馬上退票，同時用搶票軟件不斷刷新，以便退票進入票倉后第一時間搶到新票，之后再用顧客的真實身份信息付款，若45分鐘后車票並未賣出，則將剩票退掉，此后再度用搶票軟件搶回來。

此外，由於搶票軟件可以自動識別驗證碼，通過上述流程，黃牛的下單速度快到几乎可以秒購整節車廂甚至整列火車的票。這種做法就像“插隊的人”利用自身“特殊優勢”，一下子就搶光了票，使得后面排隊想買票的人白白等了老半天。

通過搶票軟件，每台電腦可同時登錄幾十個賬號，黃牛只需多開幾台電腦，再利用大量虛假身份信息去“占”票即可。可是網上購票需要實名制，那麼黃牛是如何得到大量身份證信息的？王南，“造身份信息也成為黃牛搶票的有力工具，他們利用‘身份證號生成器’，只要指定出生地、出生日期及性別，即可大量虛擬身份證號。所以隨意複製其中的一個身份證號並任意填寫乘客姓名，在12306網站都可以成功訂票。而且由於目前12306並沒有與公安系統聯網，所以無法識別身份證信息的真假。”

金山網絡安全專家李鐵軍建議，防黃牛倒票，關鍵要在退票流程上下工夫，比如限制同一賬號一段時間內的退票次數等，防止黃牛搶票后反復倒票；其次身份信息、手機號應與公安系統掛鉤驗證；對同一IP或同一網卡MAC地址登錄的賬號數量，也應進行限制，減少黃牛刷票量，同時縮短站內刷票時間。此外，用漢字作為驗證碼，才是安全的方式。