個人信息安全如何保障?
可能我們每一個人都遇到過這樣的情況,你的手機上接到過垃圾信息;你家裡的電話接到過這樣的推銷電話,能夠準確的指出你的名字;你明明只向一家地產公司透露過你個人的信息,但是到後來幾乎所有的地產公司都在向你進行推薦。個人信息的泄露,讓我們接到無數的垃圾簡訊、垃圾推銷電話,更嚴重的是不法分子通過研究這些被出賣掉的客戶生日、電話號碼、家庭信息、銀行帳戶,犯罪分子可以在最快的時間內推測出來他的密碼有可能是多少,當受害人還沒有反應過來的時候,已經造成了巨大的經濟損失。
那麼底是誰這麼神通廣大,把我們的信息都透露了出去?究其原因,就是內鬼的問題、源頭出了問題,房地產公司、保險公司、私人會所、電信、航空、銀行、我們留過個人相關信息的商鋪等等,這些就是各地總結出來的常見的個人信息源頭。一些單位中的工作人員利用工作的便利很容易接觸到大量的公民個人信息,而信息由源頭泄漏出來,通過中介、交易平台再被調查公司等使用者購買,一條完整的利益鏈條就此形成。找到了「病根」,我們該怎麼斬斷它?作為我們自身又該怎麼保障我們個人信息的安全呢?
嗯-電腦小白一個,前段時間發現自己的個人信息被泄露了,瞬間噁心到了我,於是閑暇時間整理出了這些資料,希望能盡量減少信息泄露的可能性。同大家分享一下。錯誤之處歡迎指正。
電腦小白的網路個人信息防護策略
一、個人信息內容
一般情況下個人資料包括姓名、性別、年齡、家庭住址、工作單位、身份證號碼、遺傳特徵、指紋、婚姻、健康、病歷、財務情況通信地址、E-mail地址、學歷、經歷、賬號與密碼等。還包括社會活動及其他可以識別該個人的信息,如通話記錄、網上購物記錄、網站瀏覽痕迹、IP地址等網上活動。(一)個人的賬戶與隱私信息安全問題,已經構成了大數據時代最大的威脅。1、2014年以來,我國網民由於 個人隱私泄露,而上當受騙,直接或間接造成的經濟損失多達 805億元,個人損失近124元;其中,有近4500萬網民遭受的經濟損失超過1000元。2、撥通電話時、 送簡訊時、登錄支付寶時,電話公司、銀行、電商都會在第一時間「關注」你。可怕的不是我們在不經意間泄露了個人隱私,而 是我們無法把這種危害和損失降到最低或是完全消除,因為決定權不在我們的手中。3、2011 年年底發生的「泄密門」事件中,上千萬的用戶數據被黑客竊取;還有近期發生的支付寶大規模故障,攜程網因「內錯誤操作」宕機近 12 小時等,都引發了一系列連鎖反應,公眾對個人信息泄露的恐慌達到頂點。4、2011年12月21口,國內最大程序員社區CSDN上的600萬用戶賬號和密碼被公開。隨後,密碼泄露事件開始大範圍發酵,天涯社區、世紀佳緣、噹噹網等國內知名網站也被曝出存在「類似泄密問題」,上千萬用戶賬號和密碼在網上被公開擴散,該事件被媒體稱為「中國互聯網史上最大規模的用戶信息泄露事件」。5、2012年3月19口,噹噹網發布公告,要求用戶在3月19口至3月22口修改賬戶密碼。在此期間賬戶中的禮品卡和餘額將被凍結。據稱,事件源於極個別賬戶被盜,造成少數消費者的賬戶餘額被盜用。噹噹網還對外透露,信息的根源在CSDN。6、2014年初,韓國金融行業發生最大規模個人信息泄露案, 三大信用卡公司存有的一億多條用戶個人信息遭泄露;7、2014年3月22日,烏雲漏洞平台發現攜程網支付日誌存在漏洞。因攜程網將銀行卡數據保存於本地,同時支付日誌存在漏洞,致使用戶支付敏感信息可被非授權用戶下載,最終導致大量用戶銀行卡信急泄露。同時攜程支付日誌中存儲的信息遠超《銀聯卡收單機構賬戶信息安全管理標準》的允許範圍,暴露出第三方支付機構風險管理存在隱患。 8、2014年4月8日,OpenSSL "heartbleed"漏洞曝光,該漏洞因代碼實現不嚴謹造成,存在於OpenSSL1.0.1系列版本。該漏洞可泄露私鑰、網站用戶密碼及伺服器配置和源碼等,人侵者每次可竊取用戶64K信息,經足夠時間,可竊取大量數據拼湊用戶銀行密碼、私信等敏感數據。該漏洞將導致http站點的加密內容被破解、用戶支付敏感信息被盜取及網站伺服器被攻破等。9、2015年 5 月,號稱擁有 6000 多萬會員的全球最大成人交友網站之一 「成人交友中心」(AdultFriendFinder)遭黑客入侵,超過350萬名用戶的秘密資料被曝光;家得寶公司、摩根大通銀行等企業亦 因被「黑」,致使數百萬顧客的信息外泄。
10、2015年10月底,補天漏洞響應平台爆出中國電信某系統的重大漏洞。通過該漏洞可以查詢上億用戶信息,涉及姓名、 證件號、餘額,並可以進行任意金額充值、銷戶、換卡等操作。 10月29日上午10點,該漏洞已得到中國電信廠商確認。補天 漏洞響應平台負責人向21世紀經濟報道記者表示「黑客發現 這個漏洞的入口不是很難,比較低微的弱口令和越權操作就能 進入這個系統。進到系統之後,黑客發現有很多高危漏洞,竟 然可以看到全國電信用戶的敏感信息。」 2010年6月9日,據中國之聲《央廣新聞》22時42分報道, 北京市朝陽法院曾公開審理一起個人信息泄露案件。案件中3 名被告人分別是中國網通、中國聯通、中國移動的工作人員。 起訴書指控他們利用工作之便,向調查公司非法提供、出售用戶的個人信息。二、個人信息安全面臨的挑戰(二)戶對個人信息的控制權也在逐漸減弱。
(三)中國互聯網協會於2015年7月22日,公布《中國網民權益保護調查報告》,中國網民信息泄露問題「非常嚴重」。(四)相關個人信息保護法律缺失。(五)病毒、黑客攻擊泛濫。(六)信息霸權橫行也是信息泄露的一大原因。(七)信息泄露案例:三、主要泄露途徑:(一)個人自身泄露。因信息安全意識不強,未足夠重視自身隱私等原因,個人自身敏感信息在無意識中泄露。
(二)互聯網、商家、金融機構、醫療等擁有個人敏感信息的單位因信息安全意識不強、內部信息安全管理薄弱等原因,導致個人敏感信息被內部人員竊取。(三)互聯網安全漏洞等致使個人敏感信息泄露。互聯網安全防護措施不到位,致使所存儲的個人敏感信息通過安全協議漏洞、木馬病毒或非授權網路交易等手段被盜用、複製和傳播。(四)具體主要分為現實生活獲取與網路虛擬生活獲取:1、現實生活:而非法獲取個人信息的渠道主要有以下幾種:旅館住宿、保險公司投保、租賃公司、銀行辦證、電信、移動、聯通、房地產、郵政部門等需要身份證件實名登記的場所,利用登記的便利條件,泄露他人信息;複印店利用複印、打字之便,將那些個人信息資料存檔留底,裝訂成冊,進行對外出售;借各種「問卷調查」之名,竊取市民個人信息。商家宣稱市民只要在「調查問卷表」上填寫詳細聯繫方式、收入情況、信用卡情況等內容,以及簡單的「勾挑式」調查,就能獲得不等獎次的獎品,以此誘使市民填寫其個人信息。
此外,購物中的抽獎活動也有可能泄露你的個人隱私。商家通過在抽獎券的正副頁上填寫姓名、家庭住址、聯繫方式等方法,獲取個人信息;在購買電子產品、車輛等物品時,一些非正規的商家填寫非正規的「售後服務單」,從而被人利用了個人信息;各大超市、商場通過向市民郵寄免費資料、申辦會員卡等促銷方式,從而輕鬆掌握到市民的個人信息。
2、網路獲取
網路安全導致個人信息泄露的幾種主要渠道:第一種是通過利用互聯網搜索引擎搜索個人信息,彙集成冊,並按照一定的價格出售給需要購買的人;第二種是用發送垃圾電子郵件或者電話查詢等方式,以各種「誘餌」,誘使受害人透露個人信息;第三種是用戶的電腦或手機被術馬軟體劫持,也就是說遠在天邊的術馬直接控制用戶的硬碟;第四種是網站的服務商對個人信息沒有盡到妥善保管的義務,在使用過程當中把個人隱私泄露出去;第五種是個人信息在互聯網傳輸的過程中,經過一些傳輸路由時被他人控制。
很多網民在不知不覺中己經將個人信息存儲在網站運營商的伺服器中。例如,利用即時通訊工具聊天,聊天過程中涉及大量包括電話、郵箱以及更為私密的內容在內的信息,都作為聊天記錄存儲在伺服器上;在電子商城購物,包括個人銀行卡、支付密碼、家庭住址等信息也都存儲在網站運營商的伺服器上。而公眾所熟悉的殺毒軟體重點在保護用戶端的電腦安全對於存儲在運營商伺服器上的數據安全鞭長莫及
四、應對方法:
(一)互聯網外信息安全:1、不泄露。為了便民及辦證、辦卡而需要登記個人信息的商家、培訓班、銀行、電信等單位,必須要保護好市民的個人信息,切勿將個人信息非法轉讓出售。
2、不留底。在複印店複印時,市民要確保個人資料不被留底複印。而在列印店列印時要確保資料不被複制,並要確保資料不被留存在回收站。同時,對廢棄的資料,一定要帶走或通過碎紙機進行處理。3、不相信。不要相信街頭各種不規範的市場調查,如確實需要協助調查,切勿填寫自己真實的個人身份信息,以防被陌生人利用。4、「節約」使用個人信息,如必須填寫個人信息,儘可能少填寫信息,使用身份證複印件等證明材料時,在身份證複印件上寫明用途,重複複印無效等。
(二)賬號密碼安全:
1、註冊賬戶時,「節約」使用個人信息,如必須填寫個人信息,儘可能少提供個人信息。
2、按一定的標準或模式分級分類設置密碼並保證重要賬戶的獨立性。密碼設置可依照密碼模型。不法分子把得到的個人敏感信息進行整理,製作成社工庫。利用社工庫對其他網站進行撞庫攻擊。撞庫攻擊以大量的個人敏感信息為基礎,利用用戶相同的註冊習慣(相同的用戶名和密碼),嘗試登錄其它的網站,以此獲得更多的利益等。
密碼模型:
(1)類似於 md5(md5(&<我的記憶密碼&>) +&<網站域名&>+ &
(2)隨機+有據+固定模型:) 這種方法算出一個密碼.. 有一個chrome插件flowerpassword有這種功能。 固定就是指你經常使用的密碼,在你每個密碼中都會出現的一個字元段,假如你已經用慣了某個密碼,並且這個密碼你把他用在絕大多數的地方,那麼,就以這個密碼作為固定序列,放在你新密碼之中;
所謂「隨機」,指的是你設置的時候事先並不知道要設置什麼樣的字元,而是根據不同的網站或客戶端進行變動,但是,其變動是有規則的,這個規則是你自己定的,而且不會讓任何人知道;
所謂「有據」,這個根據,則與 網站的某一種要素掛鉤,我推薦使用網站的名字,目的是方便你自己的記憶。以下我舉個例子,你就會很清楚地理解這種所謂的「隨機有據字元加固定序列密碼」的特點了。假如你以往所常用的密碼是abcde111,那麼,在你的新密碼中,同樣保留這個欄位,現在你自己定義這樣一種規則:以網站的名稱作為依據,登錄任何一個網站,就以其名稱作為參照物,截取其名稱的第一個字母(或數字)和最後一個字母(數字),分別放在固定密碼段的開頭和結尾。例如:上新浪網,其名稱為 sina,那麼,分別截取s和a,添加在你的固定密碼組開頭和結尾,首字母大寫,那麼,你在新浪上的密碼就是Sabcde11a;如果是迅雷的客戶端,取其網站名 Thunder的首字母t和最後一個字母r,這樣你的迅雷地址就變成了Tabcde111r,由於多了這樣一層保護,那麼,即使你的新浪微博密碼丟失了,那 么,別人也不容易用這個密碼來盜取你的迅雷賬號、qq號碼,而且由於這種密碼命名規則簡單,你完全可以照用你原來的密碼段,不用去修改密碼輸入的習慣。
簡而言之,這個密碼模型就是
固定:abcde111
隨機:網站首尾字母
有據:首字母大寫,首位字母非別置於密碼首尾
即:網站首字母(首字母大寫)+abcde111+網站尾字母
(三)無關賬戶清理4、保證每種賬號至少對應一套密碼,而且設置的密碼要稍微複雜些。設置密碼時要盡量避免使用有意義的英文單詞、姓名縮寫以及生日、電話號碼等容易泄露的字元作為密碼,最好採用字元與數字混合的密碼。
5、對賬號進行分類,且每類賬號對應的找回密碼的郵箱要盡量不同,且各郵箱之間無關聯,確保一個郵箱泄露不會牽連出另一個郵箱。如:重要賬戶綁定郵箱A;一般賬戶綁定郵箱B;其他賬戶綁定郵箱C.6、用戶要養成定期修改和整理密碼的習慣。7、用戶要時常用安全軟體對電腦進行查毒、殺毒。
8、嚴禁賬號及密碼外借他人:有些朋友常常將自己的賬號與密碼借給他人,雖然心想才借一下不要緊,但卻不知這是相當危險的行為。就算對方是多麼熟的朋友,但畢竟密碼已經不只自己知道而已,這就可能造成賬號與密碼外流,被人拿來做些犯法的事情了。因此若是你不得已將賬號及密碼借給他人,也希望你能在最短的時間內更改原來的密碼,以避免他人用原來的密碼登錄你的賬號。9、不要貪圖方便選擇「保存密碼」選項因為雖然密碼在機器中是以加密方式存儲的,但是這樣的加密往往並不保險,一些初級的黑客即可輕易地破譯你的密碼,像谷歌瀏覽器,使用密碼保存功能還會將你的帳號密碼保存網路,一旦別人得到你的谷歌帳號密碼,那麼所有保存的帳號密碼將被對方几乎毫無阻礙的得到。10、如何廢棄自己不想要的賬號——首先切記改掉所有的個人資料,然後註冊一個微軟賬號,把所有的賬號唯一驗證方式改為微軟郵箱,然後停用這個郵箱(微軟郵箱註銷後無法進行回收),嗯相當於到最後一步驗證時信息無法達到,最後把密碼改成一個自己也記不住的,自己用不了,別人盜不了,完美。13、聯繫方式不要再一個地方留下超過1種。包括某些網站註冊時候要你輸入郵箱註冊,你在某個回帖里又貼了自己的qq或者手機號之類。14、當然,如果可以的話,也可以為自己設計另一個身份。
(四)文件安全:第1步:到QQ互聯平台 http://connect.qq.com 來登陸,看看你用QQ授權過哪些網站獲得你的名稱,你的頭像。等等。。。全部取消。(這一步放棄吧QQ互聯需要提供身份證、手機號,上傳身份證照片等等、、、感覺被流氓了,以後不要再使用第三方平台登錄了)。但是要提醒下,有些你發表過的內容和數據通過解除互聯是無法清除的。同時喜歡用微博授權的也可以去搜索怎麼取消微博授權,支付寶授權更要慎重。
第2步:登陸社工庫網站,推薦搜雲,搜索你常用的字串,密碼以及關鍵詞,看看是否信息被泄漏。我的網易郵箱就被泄漏了,有網易賬號和天涯賬號的要注意了。然後修改網易郵箱密碼。開啟兩步驗證。
坑爹的是,很多人用網易郵箱註冊噹噹等購物網站吧。全泄漏了好嗎。包括密碼身份證家庭住址,好在社工庫很有良心的把身份證給你匿了。第3步:上你的QQ郵箱,在垃圾郵件里翻翻,該退訂的退訂。因為有些訂閱郵件很親切,直呼你姓名,點進去還能直接登錄網站。批評一下萬寶龍,退訂功能無法使用。這其中和網站無數撕逼,聯繫客服,找回密碼,各種驗證。第4步:開啟Apple ID兩步驗證,有條件的翻牆申請gmail綁定支付寶,其實網上真的很多免費翻牆軟體。不多的錢買5個G流量,花都花不完。然後綁定支付寶。逐漸放棄使用新浪微博,和新浪網易郵箱。我12年註冊了gmail,幾年不用,等上去一看一個垃圾郵件都沒有。網易郵箱里全是無意義的廣告。第5步。關閉京東白條,關閉第三方支付網站對你主要銀行卡的快捷支付,申請一張銀行卡,專門用作網路快捷支付,裡面不要有太多錢,不要有你的主要銀行卡的連接信息。第6步:如果你有比例比例(bilibili)賬號,努力答題成為正式會員,因為要正式會員連續登錄六天才能攢齊六個硬幣改名字。。。。因為郵箱是解綁不了的。第7步:重點百度貼吧,刪刪刪刪刪別廢話。取消關注隱藏動態刪發言歷史好友。。。第8步:所有能用的安全功能開起來,比如支付寶的數字證書之類。第9步:隱藏所有真實頭像,如果你長的美算我沒說。
(五)網路安全:1、保管好信息存儲設備。
2、禁止文件共享:在不需要文件和列印共享時,關閉這些功能。文件和列印共享功能雖然非常有用,但也會暴露你的電腦,給予黑客尋找安全漏洞的機會。黑客一旦進入個人電腦,便能竊取隱私資料。3、定期備份重要數據:數據備份的重要性毋庸諱言,無論你的防範措施做得多麼嚴密,也無法完全防止「道高一尺, 魔高一丈」 的情況出現。如果遭到致命的攻擊,操作系統和應用軟體可以重裝, 而重要的數據就只能靠你日常的備份了。所以,無論你採取了多麼嚴密的防範措施,也不要忘了隨時備份你的重要數據,做到有備無患!4、網路雲端:保存文件時刪除文件中的個人隱私信息。重要文件進行加密存儲。
1、採用匿名方式瀏覽。
因為許多網站利用cookies跟蹤網友的互聯網活動,從而確定網友喜好。你可以在使用瀏覽器時關閉電腦接收cookie的選項,避免受到。cookies的追蹤。
2、盡量少登錄瀏覽器賬號。屏蔽Cookie的操作步驟為:首先用滑鼠單擊菜單欄中的『工具」菜單項,並從下拉菜單中選擇「Internet選項」;接著在選項設置框中選中「安全」標籤,並單擊標籤中的『白定義級別」按鈕;同時在打開的『安全設置」對話框中找到關於Cookie。的設置,然後選擇『禁用」或『提示」。主要搜索引擎的Cokie有效期各不相同:AOL Search是I年,google是2年,ASK是2年,MSN LIVE是13年,YAH00!是20年。到期時間越長,在線公司可以跟蹤特定Cookie的周期越長,谷歌似乎還可以在賬戶里進行設置。
3、進行任何網上交易或發送電郵前,切記閱讀網站的隱私保護政策,因為有些網站會將你的個人資料賣給第三方。4、安裝個人防火牆,以防止個人資料和財務數據被竊取。登陸瀏覽器賬號後,搜索、瀏覽信息,cookie等會上傳至網路保存,因此即使登錄瀏覽器賬號,也應及時進行隱私設置,刪除個人信息。
5、在網上購物時,確保己採用安全的連接方式。及時升級是非常重要的一環,否則防火牆的作用就沒有被完全發揮,被攻擊的可能性依然很大。此外,你還可利用保安軟體將重要資料保密,減少不慎把這些資料發送到不安全網站的可能性。
6、黑客有時會假裝成互聯網服務供應商的代表,並詢問你的密碼及個人資料謹記上網時不要向仟何人透露這些資料7、不隨意透露任何個人信息可以透過查看瀏覽器上方的閉鎖圖標(closedlockicon),以確定連接是否安全。
8、拒絕訪問不良站點在網上瀏覽信息時,經常會發現需要用戶註冊白已個人信息資料。對於這些情況,我們應該不要輕易地把白已的真實信息提交給他們,特別不要向任何人透露你的密碼。對自己發布的個人信息要深思熟慮,小要填寫過於詳細的個人信息,比如收入水平、婚姻狀況等,更小得隨意泄露個人信息,以防被小懷好意的人利用,進行詐騙或者商業推廣
9、定期清除緩存、歷史記錄以及臨時文件夾中的內容我們在上網時,應該注意一些黑客站點和一些不良站點。為了防止這些站點對白已機器的破壞,我們可以通過一些相關設置來拒絕這些站點。不要隨意瀏覽黑客網站、 色情網站。這點勿庸多說, 不僅是道德層面, 而且時下許多病毒、 木馬程序和間諜軟體都來自於黑客網站和色情網站, 如果你上了這些網站, 而你的個人電腦恰巧又沒有縝密的防範措施, 哈哈, 那麼你十有八九會中招, 接下來的事情可想而知。
10、警惕「網路釣魚」我們在上網瀏覽信息時,瀏覽器會把我們在上網過程中瀏覽的信息保存在瀏覽器的相關設置中,這樣下次再訪問同樣信息時可以很快地達到目的地,從而提高了我們的瀏覽效率。但是瀏覽器的緩存、歷史記錄以及臨時文件夾中的內容保留了我們太多的上網記錄,這些記錄一但被人利用,都將造成個人信息的丟失和安全危害。因此,我們應該定期清理緩存、歷史記錄以及臨時文件夾中的內容。
目前,網上一些黑客利用「網路釣魚」手法進行詐騙,如建立假冒網站或發送含有欺詐信息的電子郵件,盜取網上銀 行、網上證券或其他電子商務用戶的賬戶密碼,從而竊取用戶資金的違法犯罪活動不斷增多。公安機關和銀行、證券等有關部門提醒網上銀行、網上證券和電子商務用戶對此提高警惕, 防止上當受騙。
目前「網路釣魚」的主要手法有以下幾種方式:(1)發送電子郵件,以虛假信息引誘用戶中圈套。詐騙分子以垃圾郵件的形式大量發送欺詐性郵件,這些郵件多以中 獎、顧問、對賬等內容引誘用戶在郵件中填入金融賬號和密 碼,或是以各種緊迫的理由要求收件人登錄某網頁提交用戶 名、密碼、身份證號、信用卡號等信息,繼而盜竊用戶資金。
(2)建立假冒網上銀行、網上證券網站,騙取用戶賬號、密碼實施盜竊。
犯罪分子建立起域名和網頁內容都與真正網上 銀行系統、網上證券交易平台極為相似的網站,引誘用戶輸入 賬號密碼等信息,進而通過真正的網上銀行、網上證券系統或 者偽造銀行儲蓄卡、證券交易卡盜竊資金;還有的利用跨站腳本,即利用合法網站伺服器程序上的漏洞,在站點的某些網頁 中插入惡意 Html 代碼,屏蔽住一些可以用來辨別網站真假的 重要信息,利用 cookies 竊取用戶信息。
(3)利用虛假的電子商務進行詐騙
此類犯罪活動往往是 建立電子商務網站,或是在比較知名、大型的電子商務網站上 發布虛假的商品銷售信息,犯罪分子在收到受害人的購物匯款 後就銷聲匿跡。
(4)利用木馬和黑客技術等手段竊取用戶信息後實施盜竊活動。
木馬製作者通過發送郵件或在網站中隱藏木馬病毒等 方式大肆傳播木馬程序,當感染木馬病毒的用戶進行網上交易 時,木馬程序即以鍵盤記錄的方式獲取用戶賬號和密碼,並發 送給指定郵箱,用戶資金將受到嚴重威脅。
(5)利用用戶弱口令等漏洞破解、猜測用戶賬號和密碼。
11、不要貪圖方便選擇「保存密碼」 選項。不法分子利用部分用戶貪圖方便設置弱口令的漏洞,對銀行卡密碼進行破解。 實際上,不法分子在實施網路詐騙的犯罪活動過程中,經 常採取以上幾種手法交織、配合進行,還有的通過手機簡訊、QQ、MSN 進行各種各樣的「網路釣魚」不法活動。反網路釣魚組織 APWG(Anti-Phishing Working Group)最新統計指出,約有70.8%的網路欺詐是針對金融機構而來。從國內前幾年的情況看大多 Phishing 只是被用來騙取 QQ 密碼與遊戲點卡與裝備,但今年國內的眾多銀行已經多次被 Phishing 過了。可以下載一些工具來防範 Phishing 活動,如 Netcraft Toolbar,該軟體是IE上的Toolbar,當用戶開啟IE里的網址時,就會檢查是否屬於被攔截的危險或嫌疑網站,若屬此範圍就會停止連接到該網站並顯示提示。
這些帳號密碼會保存在網路中,一旦他人獲取你的瀏覽器帳號密碼就可以毫無阻礙的看到你所保存的帳號密碼。
(六)郵件安全:12不下載來路不明的軟體及程序, 不打開來歷不明的郵件及附件,後面詳說。
13、只在必要時共享文件夾14、網路社交:勿在貼吧、論壇、微博留下手機號、QQ號、郵箱等信息、各個網站盡量不要用相同用戶名,不要透露自己的QQ手機號等,網上發照片盡量將地址信息隱去,不要發自己的照片,網站對個人信息保密全開,域名保護開。
1、感染前預防「郵件病毒」
2、感染後應對「郵件病毒」(1)不要回復向您索取個人信息的電子郵件,以及不要撥打電子郵件中的陌生號碼。如有疑慮,可通過114提供的電話進行齊詢。
(2)在網路上提交信息的時候不要使用你的主要電子郵件地址,注意進行郵箱分級,使用重要性相當的郵箱。提交你的電子郵件地址可能會帶來垃圾廣告。如果你不想讓你的主要電子郵件賬號被洶湧而來的,並且是不想要的信息所衝擊的話,請考慮開設另一個電子郵件賬號專門為網路使用。請確保經常登陸你的賬號,這樣萬一廠商發送了改變隱私協議的內容你也能夠隨時了解。(3)不要開啟來路不明的郵件:許多黑客人侵主機的方式,都是先寄發內含人侵程序的E-mail給對方,騙取對方開啟附在郵件內的的執行文件,只要收件者在不知情的情況下執行了,人侵程序便無聲無息的進駐到計算機里,任由黑客進進出出,不僅竊取重要機密文件,甚至破壞掉整部計算機的硬碟資料。因此,如果你收到一封帶有附件的電了郵件,目附件是擴展名為EXE一類的文件.或者有一個好聽的名字,如『這是個好東東,你一定要試試」,「幫我測試一下程序」之類的話,這時千萬不能貿然運行它,因為這個不明真相的程序,就有可能是一個系統破壞程序或是具有木馬病毒的程序,我們應該立即刪除它。(4)小心郵件中的網頁:即使不含執行文件的郵件,都有可能是危險的!因為E-mail支持HTM格式的關係,使寄件者可以利用這個技術將郵件內容以網頁四ebPage)的方式寄出,而利用IE瀏覽器的安全漏洞。這些漏洞,可以讓黑客撰寫一些簡單的JAVA程序,只要上網者點擊上面的按鈕,就可能讓黑客從你的硬碟中竊取重要的文件(如,密碼文件等)。因此,就算你只是開啟網頁,都可能遭受黑客的人侵。禁止以HTML方式顯示郵件:如果郵件被接收後,預覽時自動用HTML方式顯示,就極容易感染網頁病毒,我們可以在客戶端工具中關閉信件預覽功能;用病毒防火牆監控郵件:在使用HTML方式瀏覽郵件前,請確保系統中己安裝了具備郵件監控功能的病毒防火牆(如金山毒霸,瑞星諾頓網路安全特警等。並且一定要啟用郵件監控功能。(1)立即斷開網路:當不幸遭遇病毒入侵後,應當立即斷開網路連接,以免病毒進一步擴散。
(2)備份重要文件:為了防止幾殺毒軟體誤殺或刪除還沒有處理完的文檔和重要的郵件,首先應將它們轉移備份到其他存儲設備上、)有些長文件名和未處理的郵件要求在Windows下備份,所以先不要退出 Windows等清除完硬碟內的病毒後,再來分析和處理這些文件為妥。(3)藉助殺毒軟體查殺病毒:關閉計算機後重啟,然後用一張乾淨的Dos啟動盤來引導、由於Windows卜的殺毒軟體可能無法運行,所以應準備一個Dos下的殺毒軟體以防萬一、在殺毒過程中,應盡量用兩種以上的工具軟體交叉清理,這樣查殺會更徹底。(4)更改密碼:登錄網路的用戶名、密碼、郵箱和QQ密碼等都應及時更改防止黑客己經在上次入侵的過程中知道了你的密碼。
3、避免「垃圾郵件」
廣義的「垃圾郵件」有不請自來的所謂的美眉、賺錢、政治性的、不良廣告性的、無聊的郵件;更加惡劣的還有人身攻擊的、攜帶病毒的、欺騙錢財的郵件等等。幾乎每個免費郵箱用戶都曾受到過這類垃圾郵件的騷擾,作為普通用戶,掌握一些必要的方法,就可以大大減少收到垃圾郵件的機率。
(1)申請免費郵箱的命名技巧:因為申請免費郵箱的人數眾多,這類郵箱往往是那些垃圾郵件的追逐對象,有些人乾脆用排列組合搜索用戶名的方式來發送郵件。但如果在用戶名里字母和數字混著用,或者在字母中間加一個連接符,例如:h-ang-Li@tom.com,郵箱收到的垃圾郵件就要相對少多了。(2)不隨意公開自己的郵箱地址:有許多用戶可能不明白,這些垃圾郵件製造者不知道自己的電子郵箱地址,怎麼能發給自己呢?其實並不是這些垃圾郵件製造者多麼神通,而是我們用戶在不經意間把自己的地址留在了Internet上。那些垃圾郵件製造者專用應用程序來搜索Internet上的E-mail地址。他們搜索的可能目標是各個網址、聊天室、網上討論區,以及其他任何能夠充實他們資料庫的地方,所以我們在需要提交自己郵件地址的網站上不要隨便提交自己的真實信箱地址。(3)啟用過濾反垃圾功能:在系統中安裝一個郵件過濾器,例如better垃圾郵件過濾器,SpamArrow垃圾郵件過濾器等,或利用郵件接收器木身的過濾反垃圾功能。採用垃圾郵件過濾功能可以說是最有效的防範措施,它在接收任何電子郵件之前預先檢查發件人的資料以及屬性將垃圾郵件過濾掉。(1) Foxmail的反垃圾功能
使用Foxmail提供的「遠程管理」功能,我們可以將垃圾郵件直接在伺服器端刪除而不用將其下載到本地。
在Foxmail窗口中點擊「遠程管理」按鈕,打開「遠程郵箱管理」對話框,點擊「帳號」下拉按鈕選擇要管理的帳戶,然後點擊「信息」按鈕,之後Foxmail將從伺服器上讀取郵件頭信息並在窗口中列出,由此可以判斷哪些郵件需要接收,哪些是可以直接刪除的。當作出判斷後,將那些要刪除的郵件選中,點擊右鍵,選擇「添加到黑名單」命令,系統要求確認,點擊「是」按鈕之後,以後來自這些地址的郵件將被自動認為是垃圾郵件,而這些發信地址也將自動歸入「黑名單」中、如果在選中之後點擊「刪除」按鈕,再點擊「執行」按鈕,可以直接在伺服器上刪除它們而不予以接收。
Foxmail能夠識別相當多的垃圾郵件,但並不能保證它能識別所有垃圾郵件,所以我們可以通過設置來讓Foxmail識別出更多的「垃圾郵件」、先手工將「垃圾郵件」全部移到「垃圾郵件箱」中,然後打開「反垃圾郵件設置」對話框,切換到「貝葉斯過濾」選項卡下,點擊「學習」按鈕,在「嚮導」窗II中點擊「按指定的類型學習」和「垃圾郵件」,並瀏覽找到存放垃圾郵件的文件夾,點擊「下一步」按鈕讓Foxmail學習、通過學習垃圾郵件,Foxmail將收集郵件中的特徵詞語,生成垃圾庫。當判別郵件時,則使用一定的演算法,根據「垃圾詞語」在郵件中出現的頻率,判定郵件是否為垃圾郵件。
(七)支付安全:(2)outlook的反垃圾郵件功能
在outlook中,允許我們設置垃圾郵件的保護級別:點擊「動作」菜單中的「垃圾郵件設置」命令、在「垃圾郵件選項」對話框的「選項」選項卡下,選擇垃圾郵件保護級別為「僅安全列表」,可以確保它只接收在「安全發件人」或「安全收件人」列表中的人員發來的郵件。設置保護級別為「僅安全列表」後,一定要將希望收到來信的聯繫人地址添加到安全列表中,否則將收不到來自他們的郵件。我們可以選中發件人所發的郵件,從右擊菜單中選擇「垃圾郵件一將發件人添加到『安全發件人名單」』,而將不受歡迎的地址加入「阻止此發件人」列表中,選中垃圾郵件,從右擊菜單中選擇「垃圾郵件一將發件人添加到「阻止此發件人名單」。如果經常收到來自某個域的垃圾郵件,則可將該域添加到阻止此發件人名單中、打開「垃圾郵件選項」對話框,切換到「阻止此發件人」選項下,點擊「添加」按鈕,然後在添加地址或域中輸入該域名稱,最後點「確定」退出。
(3)郵箱本身的反垃圾功能
很多郵件伺服器都提供反垃圾郵件功能,所以我們不僅要在客戶端軟體中置,進入郵箱後亦可設置反垃圾郵件,保證我們所收取到的郵件是己經被過濾過的乾淨郵件、例如進入Tom-163郵箱,點擊頁面左邊的「配置」,稍後我們可見到「郵件過濾」和「垃圾過濾」等選項、在「郵件過濾」中,我們可以自由設定郵件的接收規則,過濾不想收取的郵件,可設定符合條件的郵件自動轉發到指定地點等。在「垃圾過濾」中,我們可以自己設定拒收地址列表,如果郵件來自您的「拒收地址列表」中,這些電子郵件就不會發到您的郵箱,因而也不會出現在「收件箱」和「垃圾箱」文件夾中。
毫無疑問,預防「郵件病毒」和避免「垃圾郵件」是確保我們的電子郵箱免受攻擊的有效措施,對保護我們的電子郵件系統起到了很重要的作用。
1、只和有信譽的公司打交道。在網路上提交你的任何信息之前,請認真考慮回答以下幾個問題:你相信這筆交易嗎?對方是一個被證實擁有良好信譽的組織或公司嗎?在對方的網站上是否有關於保護使用者信息的隱私條款的提示?對方網站上是否有提供合法的聯繫方式?
2、避免在網路上提交信用卡信息。有的公司提供一個電話號碼,你可以通過撥打這個電話號碼來提交你的信用卡信息。雖然這並不能保證你的信息一定不會被損害,但是它起碼排除了在你提交信息進程中被黑客竊取信息的可能性。3、在網上購物時集中使用一張信用卡。為了將黑客可能竊取你的信用卡信息的潛在危險性降到最小,請考慮開設一個信用卡賬號專門為絡上的採購行為使用。將信用卡賬號的信用貸款額度保持在最小狀態以限制攻擊者能夠累積使用的消費總量。4、避免使用借記卡進行網路購物。信用卡通常提供很多種保護措施以防止身份被盜取,並且能夠限制你必須負責支付的貨幣總量。然而借記卡卻並不提供諸如此類的保護。因為借記卡里的現金會在瞬間被扣除掉,因此當一個攻擊者獲得了你的借記卡信息的時候,你可能連發現都來不及就被偷光你銀行賬號里所有的存款。5、網購時注意保護個人信息。盡量少填寫過於詳細的信息,如家庭住址等。6、不使用公共WIFI下進行支付操作。7、確認網站準確非釣魚網站。不點擊郵件鏈接、非官方網頁鏈接、簡訊鏈接進行支付操作。
(八)病毒防治:不多廢話,安裝防毒軟體。
其他:手機安全與網購安全等也應當引起我們足夠的重視,目前還未整理這方面的資料,等待完善。
內容整理自網上,多多包涵,侵刪。在立法規定層面。許多部門都對互聯網企業如何規範化收集、使用用戶個人信息,維護個人信息安全作出了相應規定:2012年12月28日,全國人大常委會發布《全國人民代表大會常務委員會關於加強網路信息保護的決定》;2013年9月1日,工信部實行《電信和互聯網用戶個人信息保護規定》;2016年8月1日,國家互聯網信息辦公室實行《移動互聯網應用程序信息服務管理規定》;2017年6月1日,全國人大常委會制定的《網路安全法》正式施行;同日,兩高出台《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,等等,均對網路運營者收集、使用個人信息的範圍與限度提出了規範化要求。
根據上述法律法規和司法解釋,個人信息是指以電子或者其他方式記錄的,能夠單獨或者與其他信息相結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括但不限于姓名、身份證件號碼、通信通訊聯繫方式、住址、賬號密碼、財產狀況、行蹤軌跡等。
在司法監管層面。為確保有效落實最新《網路安全法》對個人信息保護的相關要求,提升網路運營商對個人信息的保護水平,今年8月,中央網信辦、工信部、公安部、國家標準委等四部門組成專家工作組,聯合啟動隱私條款專項調查工作,開展個人信息保護提升行動。本次專項行動將分批選取重點網路產品和服務,對其隱私條款進行分析梳理,規範運營商收集、保存、使用、轉讓用戶個人信息的行為,督促整改不合法條款,希望通過評審與宣傳形成社會示範效應,從而帶動行業整體個人信息保護水平的提升。相關專家表示,對隱私條款進行評審只是第一步,之後還應由國家主管監管部門對履行情況展開監督檢查。
上述職能部門的舉措,是從宏觀意義上進行整體把控;除此之外,由行業內部進行規制,增強網路運營商的社會責任感、形成行業自律標準也是尤為關鍵的問題。
一、在用戶信息的收集使用上。總體而言,網路運營商應當遵守如下基本原則:(1)合法原則。運營商應在法律允許的範圍內製定服務條款的內容,不得違反法律與用戶的意願超出授權範圍採集個人信息。(2)相關原則。除與用戶另有約定外,不得收集與其提供的服務內容無關的用戶信息,也不得將收集來的個人信息用於提供服務之外的目的。(3)明示原則。在收集使用用戶信息之前,應以通俗易懂的合理方式向用戶具體明確地告知收集使用信息的用途與範圍,以及拒絕提供信息的後果,確保用戶的知情權,而不得以概括性的方式獲得授權。(4)自主原則。涉及用戶個人私密的信息,應充分尊重用戶的真實意願,真正賦予用戶自主選擇接受與否的權利,保障信息主體的參與權。
二、在用戶信息的保密維護上。運營商對收集來的用戶個人信息應當嚴格保密,並採取必要的技術保密措施保障信息安全,不斷提高網路安全的防護水平,禁止私自篡改、泄露或非法向他人提供。也就是說,要給運營商收集個人信息劃定一個底線,即收集個人信息是出於運營商提供服務的需要,那麼就一定要確保個人信息的安全,誰泄露了用戶的個人信息,就應該承擔相應的法律責任。此外,更要加大力度嚴厲打擊網路違法犯罪活動,以此來震懾不法分子。
除了上面提到的國家職能監管與網路運營主體內部規制以外,我們也應從自身做起,積極回應網路運營主體在信息收集和處理等環節中的詢問與互動請求,強化自身的參與意識和責任意識;並在參與的過程中不斷提升自我保護意識和能力,嚴守個人隱私防線,勇敢對侵犯自身合法權益的行為作鬥爭。總之,防止個人信息濫用、維護個人信息安全任重而道遠,還需社會各方的共同關注與努力。
推薦閱讀-多智時代:新一輪信息革命來臨,人如何量化自己?如何保護隱私? - 大數據 多智時代
頂級黑客歡樂解析:寶寶事件中人肉搜索的七種方法
作為敢搶奧運會頭條的男人,宋喆遭遇了圍追堵截。這次全民捉姦不僅是娛樂圈的狂歡,科技圈也神亂入了一下:
如果沒有廣大黑客技術愛好者的參與,狗仔們似乎也無法在幾天之內扒出宋喆的身世、愛好、住址、開房記錄,用體無完膚來形容毫不為過。
【網友總結的宋喆個人信息(保護公民隱私,敏感信息已被打碼)】
實際上,黑客們認真捉起奸來,可以獲得諸多讓人驚訝掉下巴的奇異信息。雷鋒網決定向頂級黑客請教一下,暫時拋開法律和道德因素,究竟怎樣人肉一個人呢?或者從反面來說,如果你不小心愛上了明星的媳婦而成為了全民公敵,如何避免被人肉的悲慘遭遇呢?
這次雷鋒網採訪到了擁有傲人娛樂氣質和專業黑客精神的安全研究員——360 網路攻防實驗室老大林偉。以下是乾貨。
一、iPhone——隨身攜帶的定時炸彈憋說話,掏出你的 iPhone。(如果你有的話)
打開:設置—隱私—定位服務—系統服務—常去地點
看到了沒,讓我猜猜,你去的次數最多的地方是你的家,而排名第二的,就是你的公司。如果覺得不夠詳細,點進去還有地圖。就是這麼驚悚。
【蘋果手機會默認開啟「常去地點」功能,完整記錄你的生活軌跡】
如果黑客搞到了你的 iCloud 賬號,用任意一台 iPhone 登陸,都可以獲得你常用的位置信息。所以如果你成為了全民公敵,就不要驚訝為神馬第二天就有人在你家樓下堵住你的去路。
當然,事情原本可以不用這麼複雜,看到「查找我的 iPhone」了嗎?
然而所有的信息都建立在你的 iCloud 被破解的基礎上。而 iCloud 的安全性, 很大程度上依賴於你的密碼強度還有密保郵箱的密碼強度。如果你的密保郵箱是網易,呵呵。
【宋喆的郵箱用於找回密碼的密保郵箱使用了相同的弱密碼,這導致黑客可以輕易修改他的郵箱密碼】
這一點都不可笑,宋喆的常用郵箱就是網易,這也是他被突破的關鍵點之一。從網上流傳的馬蓉自拍圖來看,這些圖片來源很可能是馬蓉或宋喆的 iPhone 手機。這表示很可能已經有黑客攻陷了二人至少一部手機。
二、弱密碼——紙糊的門鎖現實世界中的情況是,幾天之內宋喆的所有郵箱、人人網、京東賬號似乎都已經被攻破。黑客們是如何做到的呢?根據爆出的信息,林偉為我們簡單地梳理了一下他被「社工」的步驟:
1、手機號、身份證信息被網友通過社工庫泄露。(身份證上包含住址,但後來證明此居所已被出售。)
2、網易郵箱密碼被破解,牽連出背後的密保郵箱和其他常用郵箱。
3、利用郵箱登陸的人人網、豆瓣賬號被搞定。
4、與郵箱密碼相同或相似的京東、大眾點評、外賣 App 被攻破。
5、某電商收貨地址暴露,導致藏身住址被扒出,被媒體圍堵。
我們來追本溯源,這一切的一切都始自於郵箱被破解。眾所周知,網易並不給力,曾傳言被拖庫(用戶信息庫被黑客拖下來)。雖然官方否認,但多個渠道證明在黑產中流傳著完整的網易郵箱的用戶信息。
【在黑產中流傳的網易郵箱密碼庫】
正因為如此,才能在社工庫里看到宋喆的郵箱密碼。然而有一件事必須說明,那就是網站被拖庫,並不意味著你的密碼信息一定會被泄露。
科普一下。現在幾乎所有網站的用戶信息都已經被「加鹽」,即所有的用戶名和密碼都是在加密狀態被存儲的。即使黑客黑進了網站伺服器,拿到了你的密碼信息,也不能讀出明文,而是需要通過密碼字典破譯。破譯的難度和密碼的複雜度成正比。也就是說,如果你的密碼足夠複雜,以目前計算機的算力,仍然難以被破解。
事實上,看似精明的宋喆在網路安全意識方面還不及一個普通人,他的密碼之簡單令人髮指。確切來說,他的常用密碼只是自己名字的拼音,或者在前後加上自己的生日。這才造成了短時間內一連串賬號被破解的悲慘遭遇。
那麼問題來了,應該怎樣設置密碼才安全呢?
林偉告訴雷鋒網,密碼應該和電影一樣,至少分為三級:
第一級:
iCloud 密碼、微信 QQ 密碼、支付寶密碼,應該設置十位以上,數字字母符號混排的無意義字元(如果你喜歡記憶有語義的密碼,可以採用一個技巧,那就是用0代替o,用1代替i,諸如此類。)
第二級:
京東、團購、外賣等常用網站,設置八位以上,數字字母符號混排的無意義字元。注意密碼排列不能和第一級密碼有部分重合,否則一旦破譯了二級密碼,可以直接以二級密碼作為字典,輕鬆破譯一級密碼。
第三級:
一般網站,為了照顧自己的智商,可以採用容易記憶的相對較弱的密碼。同樣注意不能和其他兩級密碼有重複,否則極易功虧一簣。
【提供幾個高強度密碼供童鞋們參考,忘了別怪我】
三、微信朋友圈——潛伏+無間道你認識你的所有微信好友嗎?相信你一定會回答「不」。那麼,你又怎樣確定自己的朋友圈裡是不是潛伏著一個無間道呢?
如果你看到微信上有多年不見的老同學加你好友,看頭像還確實認識,你會通過驗證嗎?正常人十有八九會通過驗證。
然而事情的真相可能是:黑客通過你人人網上的公開信息和好友信息,拿到了你的老同學的照片和基本信息,然後躲在微信後面添加你為好友。
一旦通過,你的朋友圈便對黑客敞開了。想想看,你在朋友圈裡曬的每一張照片,每一個感想,都能成為黑客判斷你位置和性格的有力證據。
林偉說:
大多數人在朋友圈發送內容的時候,都沒有很高的警惕心。如果在陌生人添加你為好友,並且看起來可信度比較高的時候,你最好先對他屏蔽自己的朋友圈,然後添加好友,之後先查看對方的朋友圈,確定對方的身份可信之後,再對他放開朋友圈。
四、微博、人人網、豆瓣——再見,隱私
宋喆在事發後第一件事就是清空了自己的微博,看來他也意識到,自己在微博上發的信息,都會成為對自己不利的「呈堂證供」。然而,他沒有在第一時間清空自己的人人網。(一般人確實很難在第一時間意識到還有人人網這個神器的存在。)這導致了黑客搶先黑進了他的郵箱,更改了他人人網的密碼。很可能他已經無法登陸自己的人人網賬號。
【看起來,帝吧的朋友們已經佔領了宋喆的人人網】
你可能會問,宋喆為什麼不可以通過登陸郵箱把人人網密碼修改回來呢?答案是,他的郵箱被曝光出來之後,已經有潮水般的網友在世界各地嘗試登陸,進入了異常保護狀態,任何人都已經不能嘗試登陸。另外,就算沒有這種人肉 DDoS,之前提到,他的郵箱很可能已經被攻破並且改密,所以宋喆已經失去了對自己郵箱控制。
想想你都在人人網上做過什麼吧?這個已經有點過氣的社交平台,潛伏著你的所有黑歷史。以宋喆為例,在人人網上,你可以公開查詢到他的生日、從小到大的學校信息、他喜歡養狗、他的偶像是陳冠希、他的性格放浪不羈等等。
稍後會提到,在破解其他賬戶或郵箱的時候,這些個人信息會作為密保問題的答案,扮演破解的重要角色。
【王珞丹在微博中曬出的兩張圖片導致住所被網友定位】
再來說說微博,假設被人肉者沒有第一時間清空,所有人都可以公開查看他發布過的信息。因為發微博被人肉的事情,已經屢見不鮮:
王珞丹曾經因為發布了從窗口拍攝的圖片,被網友根據小區內景、窗口高度、光照情況,在幾小時內就定位到了她的小區、樓號和門牌號。
劉強東因為和女助理同時發布了同一盆西紅柿的照片,從而被網友懷疑出軌地下情。
【宋喆以自家鬥牛犬的名號開了微博「虎斑小DD的幸福生活」,網友據此照片定位到了他生活的小區】
作為一名擁有頂級安全意識白帽子黑客,林偉也會在微博、人人網抒發情感,但是他有一些發布微博的心得:
盡量不要拍攝包含過多信息量的照片,也盡量不要附帶地點信息。盡量不要使用某些人才能懂的暗語,因為如果有人盯上你的時候,暗語很容易被破解。
五、小號——隱秘線索牽出驚天秘密
人在做壞事的時候,一般會使用小號。
【宋喆在約姑娘的帖子里,透露的並不是常用的網易郵箱,而是一個 Hotmail 郵箱】
宋喆也明白這一點,所以在豆瓣約「群P」的時候,留下的並不是常用郵箱。但實際上,豆瓣把他的登陸郵箱和小號郵箱之間的關係聯繫了起來。
在註冊很多小號的時候,人們會選擇用一個獨立的郵箱,但是很多人往往不會新買一個電話號用來收驗證碼,即使有兩個手機號碼的人,也會選用生活或工作中的一個。這樣就會建立虛擬 ID 和真實身份之間的聯繫。
有的人會有小號 QQ,但是為了方便管理,往往會互相加好友,甚至拉群。在這種情況下,一旦 QQ 密碼被攻破,就很容易牽出你的小號 QQ。如果大小號使用相同的密碼,則很容易被一鍋端。
林偉說。
實際上,根據內部人士的爆料,宋喆的常用郵箱和小號郵箱使用了相似的弱密碼,這就導致了黑客直接衝進了宋喆的小號郵箱,看到了他黑暗的一面。
【宋喆的一個小號郵箱被匿名黑客攻破,向雷鋒網提供了截圖,未滿十八周歲禁止觀看】
不過,對於小號和身份的關聯,遠不止這麼簡單,林偉列舉了一些事實:
如果你使用同一台設備登陸過大號微信和小號微信,那麼在微信的大數據層面,就會為這兩個號碼建立一定的關聯。
如果你匿名用百度搜索過一些關鍵詞,還是會有廣告彈出在你的設備上。這些都是在服務提供商的大數據中強制關聯的。
這樣說來,安全級別最高的小號使用規範大概如下:
1、匿名申請一張電話卡
2、在專門的平台上申請一個臨時動態郵箱
3、以這個臨時郵箱作為密保郵箱,申請新的永久郵箱
4、使用全新的專用手機登錄小號,並且不在其他任何設備上登陸小號
5、兩部手機不能同時帶在身上,以防位置信息重合,產生關聯;嚴禁開啟 Wi-Fi,防止被釣魚定位。
相信我,如果宋喆用這種安全級別的小號約炮,全世界沒有幾個人能發現。
當然這種「高級小號指南」只是是玩笑。林偉概括了一下:如果想要用小號保護自己的隱私,就要儘可能做到虛擬身份和現實身份的割裂。
六、外賣,京東,淘寶——出賣你的收貨地址公眾對於宋喆的「圍剿」,最終讓網路上的人肉變成現實中的人肉。媒體最終根據種種信息成功堵截到了宋喆,這其中立功的關鍵,很可能是電商。
林偉相信,淘寶、微信這些巨頭企業對於用戶信息的保護級別是很高的,一般不會出現泄露。不過,如果前文提到的密碼分級沒有做好,會導致撞庫的發生(黑客破解了其他平台的密碼,從而用這些密碼嘗試登陸淘寶和微信)。
而例如大眾點評、餓了么、京東這些平台,其安全級別可能會弱於 BAT 的「親生」平台。
總之,電商信息的泄漏,會產生一個致命的影響,那就是你的收貨地址。這些收貨地址真實性是非常高的,而且極可能包括「被人肉者」和親友的全部常用地址。
【黑產中流傳的京東訂單泄露信息】
雖然娛樂記者沒有透露,但是林偉推斷,最終「線人」定位到宋喆的「藏身之所」(實際上是他為父母購置的新寓所),很可能是由於某個電商的收貨地址泄漏導致的。另外,如果宋喆的外賣軟體(例如美大、餓了么)的密碼已經被黑客掌握,一旦他在藏身之處點了外賣,收餐地址會馬上出賣他。
從電商和外賣平台泄露的信息,還不止這些。例如有黑客爆料,宋喆的京東購物記錄里,有大量的狗糧,因此判斷他可能會在早晚出門遛狗。
七、Wi-Fi——上帝之眼你可能並不相信,只要你的手機一直打開 Wi-Fi,理論上黑客可以採用一種方法,追蹤你的空間移動軌跡。
先來做個科普:
所有的手機只要打開 Wi-Fi,都會實時對外廣播自己曾經連接過的 Wi-Fi 名稱,而只要在信號範圍內存在相同名稱的 Wi-Fi,手機都會自動嘗試連接。
這是一個林偉都難以理解的奇葩行為。
林偉設想了這樣一種攻擊模式:
首先在宋喆家門口,用隨意設備搜索 Wi-Fi 信號,信號最強的即是宋喆家中的 Wi-Fi,Mark 下 Wi-Fi 名稱。
然後使用一種被稱為「大菠蘿」的 Wi-Fi 信號發射器,對外發送和宋喆家同名的Wi-Fi 信號。
最後把「大菠蘿」放在宋喆有可能經過的地方,一旦有手機連接上 Wi-Fi 信號,「大菠蘿」就會向控制者回傳信號。
【大菠蘿無線信號發射器(Pineapple Wireless)】
這樣的「大菠蘿」可以有許多個(如果你的捉姦經費足夠的話),布置在小區車庫門口、樓道門口,所有他可能會落腳的地點。這樣,就好像在城市中布滿了攝像頭,只要收到信號,就表明被追蹤者(或者家人密友)經過了此地。(可以通過連接設備的名稱判斷連接者的具體身份。)
「大菠蘿」不僅可以提供虛假的 Wi-Fi 信號,還可以提供真的 Wi-Fi 功能。只不過,在這些「釣魚 Wi-Fi」上傳輸的明文信息,都可以被攻擊者一覽無餘。
由於這樣的攻擊方式是建立在 Wi-Fi 的奇葩協議之上的,所以林偉也表示沒有太好的防禦方法。「在必要的時候才打開 Wi-Fi,是一個無奈的方法。」
還有哪些奇葩走位以上介紹了諸多在北京城「追逃」的方法。然而,遭遇人肉和社工的「全民公敵」有可能第一時間飛往國外。如何判斷一個人究竟是否「出逃」了呢?
「你聽說過航旅縱橫嗎?」林偉問。
【航旅縱橫】
很多經常坐飛機的童鞋都用過航旅縱橫,它可以完整呈現一個人所有的航班信息。在過去的版本中,你只輸入自己的身份證號,就可以查詢自己的航程。同樣,你輸入別人的身份證號,也可以查看別人的航程。
林偉告訴雷鋒網(搜索「雷鋒網」公眾號關注),在新版的航旅縱橫中,App 對查詢者的身份校驗變得更加嚴格,需要用戶上傳自己的身份證照片。
他說:
這種情況下,攻擊就比較麻煩了。因為你需要 PS 一個身份證。
沒錯,審核人員是很難分辨一個身份證的真偽的。
「另外有閃付功能的銀行卡也有一個奇葩的特性。」,林偉補充道,「如果你用 NFC 設備去讀取它,會得到最近十筆消費記錄。這種攻擊只需要用設備在對方身邊掃描一下就好,那些娛記圍堵到宋喆時,不應該僅僅採訪,還應該用這樣的設備掃描一下他。」
【使用特定NFC設備掃描卡片,卡號、持卡人姓名和身份證號,還有最近十筆交易記錄都可以被讀取出來/圖片由 360 獨角獸團隊提供】
林偉說,作為一個黑客,講究攻心為上。如果僅僅為了找到宋喆,那麼以上的技巧綽綽有餘。但是,人們更想要的是真相。而獲得真相的前提,則是宋喆和馬蓉兩人產生裂痕。
在林偉看來,網路上流傳的宋喆開房記錄,正是攻心的一種。客觀上來說,詳細到鐘點房的開房記錄,只有警方才能掌握。所以這份資料的來源似乎永遠不會有答案,警方自然也不會出面澄清。這樣的結果是,永遠無法有人證明這份記錄的真偽。進一步來看,假設這個開房記錄是黑客偽造,那麼在一定程度上就達到了加重二人相互猜忌的結果。
【網曝宋喆開房記錄】
猛然驚醒。原來黑客的最高境界,是在人的精神世界安插一個定時炸彈。
傳播正能量的時候到了。作為資深黑客,林偉深知法律和道德的邊界。
用社工方法入侵他人的賬號是非法的行為,人肉他人也是不道德的行為。之所以介紹這些攻擊方法,是因為在互聯網時代,每個人都面臨攻擊的威脅。知道進攻的方法,才能更有效地防禦。
他說。
從這一點上來說,宋喆的血淚史至少教會我們兩個道理:
看好自己的老婆,別動別人的老婆;
看好自己的密碼,別動別人的密碼。
轉自:頂級黑客歡樂解析:寶寶事件中人肉搜索的七種方法
在立法缺失的情況下,有必要通過行業協會督促網路運營商履行個人信息保護的義務,以尋求互聯網自治準則。
同時,加強網路信息行業自律也是與國際接軌的做法,可以使我國的互聯網企業參與到個人信息保護的國際話語體系中,以獲取主動權。
但是,我國對於互聯網行業自律的重視程度是不夠的,往往傾向於通過行政手段來調控互聯網發展。
在大數據時代下,國家有時也會顯得力不從心,相反一些行業組織卻更能了解大數據發展中的個人信息保護問題。
所以,我們應該充分發揮網路信息行業的天然優勢,加強行業自律,先由行業組織自行處理,國家保持一種謙抑干預的態度。
推薦閱讀:
※客戶資料/個人信息買賣的行業是怎麼運作的?
※領英如何計算可能認識的人?
※求救!大神!優步的賬號莫名其妙的被其他人修改?
※如何看待美國眾議院投票通過廢除奧巴馬網路隱私條例,將允許互聯網服務提供商販賣用戶行為數據?
※如何看待學信網被拖庫?
TAG:個人信息安全 |