最近频繁发现身边一些人的QQ被盗,对于很多不懂网络安全或者是对电脑对互联网对那些背后盗取信息流程不懂的人,的确很容易发生帐号被盗或者干脆一棍子打死不敢用的情况。要防止被盗号就应该知道别人在什么情况下可以通过什么方式来盗取到你的号。
我们主要从两个方面入手吧,第一个是常规的安全及基础知识科普,第二个则是结合网银、支付宝、银行卡、QQ、邮箱等帐号的防护。
首先,对于常规的安全及基础知识,我个人认为你应该至少要知道这些信息。
通常情况下,别人不可能凭白无故的就可以盗取你的帐号或者拿到你的钱,要想拿到你的帐号或者钱则一定需要获得你的许可。非通常情况的话,就是指公司系统本身出现故障以及相关软件的漏洞被发现等等。非通常情况是很少发生且我们无法控制的,我们能做的就是如何规避那些通常情况下所导致的问题。
别人要获取你的帐号密码或者钱财,肯定要通过某种手段让系统认为获得了你的许可。那么这些手段都有些什么,以及要具备哪些条件才可以顺利盗号盗钱呢?
其实回到根本上来,就是常规的有哪些方式可以直接的获得你的帐号密码或者甚至让你不知不觉的参与到许可确认中。以下就列举一些常见的方式。
首先排在第一位的必然就是那种从传统一直延续到现在的木马病毒类。
关于这方面,我们一定要明确一个想法。任何的杀毒软件对所谓的病毒查杀都是有滞后性的,而且也只能防御那些常规又简单的木马病毒。
- 杀毒软件要对新的木马病毒起到防御和清除的效果,那么必然就需要先收集到这些木马病毒的特征和作用方式。然后再针对这个木马病毒的行为/关键字等制定出相应的应对和处置方式,要完成这一系列的事情是需要一段时间的。而且更重要的是,道高一尺魔高一丈,木马病毒是会更新和变异的,通过一些手段比如通过汇编加壳改变特征码等方式就又可以躲过普通杀软的查杀。所以杀毒软件也需要一直更新。
- 杀毒软件其实也只能对付那些常规的和不是特别厉害的木马病毒。如果遇到的是很厉害的木马病毒,那么那些杀毒软件自身都是有可能被干掉的。所以很明显,不能盲目依赖和相信杀毒软件(也总是会存在误杀的,概率大小问题)。
关于木马病毒的触发和防御我们应该要懂这些东西。
在计算机信息的世界里,不是你想随便的获取别人的信息电脑就会给你对应的信息的。计算机对信息是有保护机制的,所以当第三方向你请求信息的时候,计算机是需要获得你的允许或者某些权限的授权后才会发给第三方的。那么对于那些盗号着要做的就是如何欺骗你或者绕过计算机对信息安全的验证。绕过计算机对信息安全的验证这是技术活,不是我们要深入的问题,不过通常来说要“绕过”计算机权限验证主要从两个方面进行:一个是系统或者软件本身的漏洞;另一个则是想方设法的诱骗你触发某些行为以取得某些权限从而使得计算机认为是你在操作而不是被操作。
盗号者怎么欺骗我们以获得某种权限(权利)则就是我们要特别注意的了。有一个常规的基础知识是我们要懂得的:一个文件或者木马病毒存在了我们电脑上,但如果我们本身不去动它也没有触发它设定的某些行为,则它仍然是安安静静的趟在那,我们的电脑依然是安全和未受侵害的。
通常而言,盗号者主要是通过这么几种方式来诱骗或者触发那些木马病毒的运行的:
- 常规的就是对文件进行伪装了,比如:抓住人性用性感美女图去更换软件图标或者伪装软件类型,例如把可执行文件伪装成图片。
- 在网页上用一些动态的具有诱惑性的文字或者图片来诱使你点击。
- 在一些鼠标很容易误点击到的地方出现木马病毒链接,或者不断的跟随页面而变动或者信息弹窗。
- 打包在压缩文件里,比如打包在RAR等压缩包里,如果你双击打开的则很可能会触发里面的exe可执行文件的运行。
- 利用移动设备的自动打开功能运行病毒。比如:U盘、移动硬盘等设备插到电脑上后,系统会自动打开运行从而触发病毒的运行。可以通过设置禁用的。
然后事实上,不管对方怎么伪装,如果你不打开那些个页面,不打开陌生电子邮件里的链接,不点击相关的内容,那些木马病毒还是无计可施只能乖乖的躺着的。所以说,为了防止帐号密码被盗,不要访问一些不该访问的网站,系统的漏洞及时补上,浏览器至少要更新到最近的几个版本。可以安装一些常规的防护软件但是不要完全依赖。建议使用WIN7系统+
对于已经中木马病毒的电脑,不管你密码设置的如何简单也不管你密码设置的如何复杂,其实效果都是一样的。因为本质上那些木马病毒获取你帐号密码的方式是通过记录你键盘上输入的信息然后发送到指定的电子邮箱或者其他地方来完成盗号过程的。不过有一种变相的保护措施是故意的打乱输入信息的顺序,使得木马病毒获取到的是错位的信息。比如你的密码是abc123,那么你可以先输入123然后再光标放到首位继续输入abc。这样的结果是,我们实际输入的信息是abc123,而木马病毒获取到的则是123abc。
其次说说那些通过诱骗/Wifi/二维码的方式来盗取你钱财的方式。
相对于木马病毒的简单粗暴,通过诱骗方式来盗窃你钱财的就更多的。因为随着杀软的免费,和各大行业系统对安全的保护措施,那些常规的木马病毒早已没了藏身之处了。特别是在个人电脑里,只要是正常使用的电脑,个人感觉中毒的应该是不多的。
那些算是利用人性的、全面撒网的诱骗手段我就不说了,比如:我是xxx,xxx因为什么事情需要xxx钱,然后把钱打到xxx卡号的这种。万变不离其宗,在转钱的时候请电话确认一下真实性。现在这科技手段,电话号码是可以伪造的。
还有很多时候,我们自己就可以很明显的排除那些诈骗信息,比如通常这个人以前的风格是那样的,但是突然这次变了一个风格就需要警惕了。或者很多人会用模棱两可的话语来套用你的信息,或者直接骗你或者继续骗你周边人的钱财。还有这些信息都是通过机器设备随机群发的呀,在骗子的眼里,群发的数量多了总会有一些人会一不小心智商不够用的。
类似的手段还有你中什么奖了,然后发个钓鱼网站给你诱使你填入一些银行卡信息,或者层层递进从一开始的只是要你输入“无害的信息”到要你输入银行卡电话号码到要你交邮费交保证金等各种七七八八名目繁多的“收费方式”。
还有就是那种你的社保卡出问题、信用卡出问题、有毒品包裹等等,这些想想也是醉了,各位朋友们请睁大你的双眼吧。
事实上,对于传统的诈骗或者说是诱骗方式,也早已有书籍进行过了总结了。我11年就在厦门图书馆意外的看到了几本,也都翻阅过了一遍,里面也还是有少量自己没意识到的诈骗手段的。
伴随着信息时代的发展,手机早已被广泛普及以及手机号码的特殊性和唯一性,很多安全机构都选择了采用手机来验证权限的这种方式。而目前通过手机验证权限的方式主要就是服务商下发验证码,或者叫你用手机发送某些指令到某个号码。所以在当前互联网时代,你需要有一个意识,手机验证码很重要。
我们知道银行卡有一个快捷支付的便捷功能(出发点是好的,但是凡是都有对立的一面),对于银行卡快捷支付的开通我们需要具备三个条件:银行卡卡号、银行卡支付密码、手机验证码。所以当突然的某一天,QQ或者微信上有谁问你的电话号码是什么,然后各种理由说要做什么,会发个验证码到你手机上然后再告诉对方,这时候你就要谨慎了,小心你的钱财(没开通网银功能也一样照骗)没了。
类似的支付宝和微信支付也是一样,有些人畏惧于资金的安全,所以从来都不敢用。当然,支付宝和微信有一个小额支付免手机验证的功能,你可以自行设定额度或者关闭。总之一句话,我要拿到你银行卡里的钱,我就必须要获得你的授权,但是具体怎么获得你的授权则就是骗子们各显神通和看你是否有安全意识了。如果你的帐号密码没被盗,你的手机也没掉没向任何人任何陌生网站发过什么验证码,那通常你的资金一定是安全的(低于小额支付设置额度的除外)。
关于信用卡,这个东西如果整的不好,也很容易出问题的。网络上的话,其实跟普通银行卡快捷支付一样,除去填入信用卡卡面上相关的信息外,通常我们都会设置一个支付密码和需要短信验证码辅助验证的。在实际购物中,则跟正常银行卡一样密码消费。不知道为什么,个人感觉没有别人说的那么可怕呀。
不要连接陌生的wifi和扫描不正常的二维码。
对于不要连接陌生的wifi的背后的原因是:如果你连接了陌生的wifi后,事实上你所有的信息都是通过那个wifi网络中转的。然后别人就可以通过某些软件抓取你的传输信息,然后用软件查看、分析算出你的一些帐号密码。
二维码的话,其实完全可以理解为是一种诱骗方式,就是只是一个“引导”你到钓鱼网站的方式。而且在手机端的话,很多人根本就不懂得怎么判断自己范围的是不是钓鱼网站。然后判断自己访问的是否是钓鱼网站的话,好像就只能看URL链接了以及网站认证证书、SSH信息等等。
最后,帐号密码的设置与攻防。
从理论上说,任何一个密码都是可被破解的,这其中的区别在于难易度在于所花的时间多少。所以设置一个合理的密码,对于我们而言是很重要的,至少可以防止被轻易的猜到。
通常对于密码破解主要是分暴力破解和非暴力破解。暴力破解的话本质就是穷举法,就是把所有的可能性都试一遍。这种方法当然是低效和花时间的。
而非暴力破解的话个人理解主要就是结合社会工程学+小范围暴力破解。社会工程学就是想法设法的获取跟你有关的信息,然后对信息进行优化和自由组合形成各种可能的密码,然后再尝试。因为对于大部分的人而言,我们设置的密码几乎都会跟我们的信息有关的。
设置密码的方式有很多种,但是无论哪一种都应该建立在自己可以想起来的情况下。
就我个人而言,我通常会有三种的密码形式组合。对于无所谓的或者只是应付注册的,采用最简单的一种:直接几个数字或者字母;对于一般性的则会是一定数量的数字+字母(+"-_"看情况使用);对比较重要的则会是更多的数字+字母+特殊符号。
而对于密码强度而言,主要的就是体现在位数以及位置顺序,还有一种就是转义。这里所说的转义主要是指这么个情况:比如可以借助键盘某一方向上位置顺序设置密码,可以通过一行诗,可以通过日常生活中各种你认为靠谱的和印象深刻的信息设置密码。同时如果要考虑到方便个人记忆的话,其实更多的是对我们的个人信息进行转义,比如通过缩写、换算、替换、大小写、部分省略(非连贯连续)等各种方式转义从而防止密码被轻易猜到。还有就是结合一个或多个特殊字符了,这个应该相对的就更难猜了。具体的要怎么操作就看情况了,其实正常个人的密码选取其中的一两个方面处理下就足矣了。
PS:
这是个人业余时间整理的,里面所说的只是个人阶段性的一些了解(其实主要是高中时代看得比较多,有一段时间小玩了一下黑客)本身不一定代表正确。欢迎批评指正,谢谢合作。
