iPhone 被盜後的經歷讓我覺得有些網路安全意識可以講一講
前段手機被盜,一直在被小偷那邊釣魚,套我的密碼和驗證碼,煩不勝煩,而且發現他們越來越有技巧了,所以總結了自己平時的經驗,希望對你有用,以後不會損失錢財,以及 iPhone 被鎖機敲詐;)
整個故事有點長,所以有個「太長不看脫水版」,還有個說出我的「不開心讓大家開心開心版」,歡迎自取。
太長不看版:
- 如果 iPhone 有指紋識別,那記得去把手機鎖改為長密碼。
設置方法 : 進入設置 - Touch ID 和密碼 - 修改密碼,輸入密碼的時候,鍵盤上方有個密碼選項,點擊然後用自定義字母數字密碼。
- 重要賬號的所在網站如果提供了類似兩步驗證的東西,一定要開!一定要開!!一定要開!!!比如蘋果最新的雙重認證(進入設置 - iCloud - 點擊最上方的 Apple ID - 安全性,然後打開最下面的雙重認證)。
- 重要賬號的密碼要和常用密碼分開!郵箱密碼是重要密碼!這大半年,已經看到過很多郵箱密碼或者 Apple ID 密碼被泄露,然後 iPhone 被鎖受到敲詐的。(一個簡單的方法,每個網站的密碼可以在常用密碼中插入網頁域名,比如常用密碼是 password,那麼淘寶的密碼可以設置為 taobaopassword,隨便插在哪兒,只要你能記住就行)
- 任何要輸入賬號密碼的地方,要留心下網址是否是官網(不要被下面這個假網址騙了,一定要找到域名後面的第一個斜杠,很多釣魚網站故意把網址弄很長,然後把最前面偽裝成官方域名)。微信裡面的話,可以下拉看域名:
- 任何讓你把驗證碼給他的電話都不要信!不要有任何僥倖心理!就算電話號碼是官方電話(因為有辦法改)!就算他說他是官方客服!就算說你的被盜手機被扣留在了官方店!其他敏感身份信息不確定的,那就先掛電話,然後去打官方客服確認。
說出我的不開心讓大家開心開心版:
上個月新 iPhone 發布會的前夜,北京下起了雨。當我左手提著一袋子東西,用拿著傘的右手撥開商場出口的塑料門帘的時候,耳機里放著的 Podcast 聲音沒了。當時第一反應是誰打電話來了, 等我把傘從右手換到左手,用右手去褲兜拿手機的時候,才發現耳機被拔了, iPhone 被偷了。這個時候再回頭看周圍也晚了,小偷已經跑了……
雖然之後回想了下被偷的過程,發現「下雨/塑料門帘/兩手都在忙」這三個條件都具備了,小偷才有比較好的機會。總結了褲兜還是豎直或緊的比較好(拿手機的時候比較困難或者容易被發現),耳機還是不要用自帶的(小偷一看就知道這是 iPhone),兩隻手都提東西的時候用手機所在的那邊的手來提東西另一隻手開門比較好(小偷能施展的空間比較小)。
然後通過 Find My iPhone 將手機設置為丟失模式之後,以為這事就結束了,因為我以為華強北技術已經可以直接暴力解鎖刷機了。但是事實上,為了將手機解開,被盜手機產業鏈中其他部分開始參與了進來。
首先肯定是直接從以前泄露出去的密碼庫里匹配,匹配到了那手機就解鎖了,這是最容易的方法(這一步其實是我猜的 ˊ_>ˋ)。如果沒有匹配到,那他們就開始利用郵件/iMessage/日曆推送來發送釣魚網址來套取 Apple ID 密碼,以你的手機正在被申請激活/正在插入 SIM 卡等等理由,詢問你是否要阻止。
這種方式對於一般有點安全意識的人已經無效了,因為查看網址就行了,比如不是 http://apple.com 下面的網址要求輸入 Apple ID 密碼的時候都要留個心眼。這裡有一點要注意,有一些釣魚網站,使用 http://apple.wobushipianzi.com 這樣的來釣魚,不要被騙了,要以第一個斜杠前面的(即 http://wobushipianzi.com) 為準。如果這裡 Apple ID 的密碼泄露了,那可就不是丟失手機被洗白的事情了,以後使用這個 Apple ID 的手機就都有可能被他們鎖了,然後敲詐的!!!
(這裡插一句,最近 iPhone 很多人都收到了日曆廣告,解決辦法:遭遇 iOS 日曆廣告?別急,可以這樣解決)
當釣魚網站遲遲沒有釣到密碼的時候,他們就要開始採取電話釣魚了,他們會偽裝成蘋果客服,而且顯示的電話號碼就是上海的蘋果客服電話(021-60425100)。電話接通後,裡面會說有人拿著你的手機去官方店解鎖,被他們發現然後扣留了手機,問你手機是不是被盜了,然後告訴你需要你提供信息來確認手機是你的。
當聽到這裡的時候,我還僥倖了下,我手機要回來了啊。但是接下來他們的一句話讓我意識到這是個釣魚電話,具體不記得什麼了,反正是讓我等下把手機拿到的驗證碼給她。驗證碼給她!驗證碼給她!!!(這裡要感謝下淘寶,第一次認識到這種釣魚就是訂單信息被泄露接到了類似電話。)
我反問了一句「你是說驗證碼嗎」之後,她立即就掛了電話。之後幾天還接了兩次,一次誤報了我的手機型號,另一次本打算直接罵,但身邊有同事,所以只說了句「不知道,只知道是你們偷的」。沒想到她掛電話前還回了句,說「我還以為你是扔了的呢」!!!
這手機估計是要遭拆解了,然後拿去賣零件了(╯-_-)╯╧╧
PS: 之前看到有安全從業人員黑進了釣魚網站,拿回了手機,真是羨慕。這幾天他們也不發釣魚郵件,也沒有電話了,估計手機已經被拆機賣零件了,慘。
推薦閱讀:
※銀行「失火」的真實原因
※谷歌為Play Store內所有APP買單,發現漏洞就送1000美元
※從雅虎數據泄露事件看安全問題的安全性
※恆星幣也被黑客盯上了,價值40多萬美元的恆星幣被盜
※(譯) 利用DNS重綁定繞過同源政策