一個安全從業者的賬號被盜自救指南

02-02

編者按：現如今，賬號被盜是個很尋常的事情，很多時候只需要改個密碼就沒事了。但也有改密碼搞不定的時候，賬號反反覆復被盜，這時的你可能想起要找個「懂電腦」的朋友看看。本文作者Ryan McGeehan就是這樣一位「懂電腦」的國外朋友，他對國外主流服務賬號的安全設置了解得非常細緻，並總結成了文章。雖然國情有別，但相關機制都有相通之處，希望能對大家有所借鑒。

發生賬號泄漏後，當事人需要做很多工作。很多時候，僅僅「重置密碼「是不夠的。

向當事人提供應急安全建議，如果考慮不全面，則會導致Ta再次受到傷害。

一次高水平的攻擊，有無數方法可以保持對賬號的二次訪問權。幾乎每款產品都會有一些這樣的小缺陷，比如重置密碼功能。

為了真正調查清楚賬號泄漏事件，解除其威脅，我們不僅需要重置密碼，還要把一些可能遺留問題的小角度清理乾淨。

過去大概半年時間裡，Ryan McGeehan記錄了大多數在線郵箱、社交網站上需要檢查的奇怪設置，這份清單非常全面，目前來說應該適用於所有服務。

從安全設備開始檢查賬號

首先需要排除惡意軟體攻擊因素，我們可以新買一台電腦或者使用不在本次影響範圍的電腦開始檢查。

如果你希望儘快消除威脅，那麼可能需要還原/回滾系統。

解除手機簡訊綁定

運營商過往有過諸多極其惡劣的安全違規案例，比如簡訊轉發、簡訊轉移、SIM卡補登記等。在這種情況下，你可能需要考慮設置Google語音簡訊號碼或者找一個可靠的手機。

如果你已經弄過某種方式排除簡訊或移動網路相關攻擊，那麼就不需要做了。

重置密碼

如果你認為自己的郵箱也受到影響，那麼應該優先鎖定和檢查郵箱，否則後續的重置密碼操作，只是給攻擊者添加樂趣而已。

啟用二次驗證/登錄驗證

為重要賬號啟用二次驗證，記得找個可靠的手機，並且優先選擇動態口令應用而非簡訊。

註銷登錄狀態的會話

在操作過程中，你需要注意賬號設置里有沒有奇怪的改動，並確保攻擊者不會拿到登錄會話。

清理可疑的賬號授權

幾乎所有大公司都有一個開放應用平台，用來授權外部應用使用你的賬號信息。

有一些外部應用利用漏洞可以保留對賬號的訪問許可權，你應該仔細檢查，有沒有陌生、可疑的應用。

如果事情非常棘手，可以考慮重新註冊個賬號。

保護關聯賬號

像Instagram、Facebook、LinkedIn等產品都有「賬號連接」功能，可以將發布的內容同步過去。快速檢查一遍，看看這裡有沒有陌生賬號，以及你之前設置的賬號是否正常。

檢查恢復地址

許多服務的設置有個不起眼的功能，叫恢復地址，用來郵件找回賬號控制權的。檢查它是否被修改過。

檢查恢複電話

和上條類似，綁定電話也需要檢查一遍。

檢查郵箱的過濾、轉發和同步設置

許多人的郵箱設置了超多的郵件過濾條件，這裡要特別注意，小心攻擊者偷偷留下一條「重置密碼郵件轉發」規則。

郵箱的所有郵件轉發功能也需要檢查。

客戶端郵件同步功能也是一個出口。

重新設置「應用程序專用密碼」

為了照顧某些不支持二次驗證登錄的場景/應用，比如郵箱客戶端，我們會設置一個對應的專屬密碼。

檢查下有沒有奇怪的變動。如果可以，把之前的所有專屬密碼全部刪掉，重新設置一遍。

檢查帳號驗證設備

有些服務把設備作為二次驗證的裝備，比如iCloud，你需要注意這種情況。

Facebook里的可信聯繫人

Facebook的可信聯繫人功能，可以讓信任的FB賬號獲得你賬號的控制權，你需要檢查這個功能設置的聯繫人是否有問題。

Facebook里的遺產聯繫人

Facebook的遺產聯繫人功能，可以通過死亡證明來將賬號轉移給其他人，看看有沒有被設置陌生賬號。

Facebook圖片登錄

Facebook還有個圖片登錄功能，你需要確保這裡沒有任何陌生設備。

做完這些，賬號還是被盜？

如果你梳理完上邊各項檢查後，還反覆遭遇盜號，那麼可能是有些因素沒考慮到。

瀏覽器擴展

仔細檢查瀏覽器里的擴展。請記住，許多看似正規的擴展，也可能有問題，你應該搜索看看它們是否有黑歷史。

設備

如果瀏覽器沒問題，問題還可能出在設備上，比如存在某些未能檢查到的惡意軟體。

鍵盤監控器

檢查下你的鍵盤是否存在物理監聽裝置，說不定有人惡作劇或者搞物理攻擊呢。

網路

考慮下中間人攻擊或流量劫持，電腦上是否有工作公司的證書（CA）、信譽不佳機構的證書。

最不可靠因素：人

再想想，你真的沒在其它地方登錄過嗎？

本文來自Medium，嘶吼略有刪減，如若轉載，請註明原文地址：一個安全從業者的賬號被盜自救指南更多內容請關注「嘶吼專業版」——Pro4hou