要偷走一个用户的密码,应该只有两个路径,一是主动,一是被动;所谓主动,就是人家设了一个局,你自己将密码送过去了,比如各种假冒app、钓鱼网站;所谓被动,那是为你提供服务的网站或app被黑客攻击,导致保管用户密码的数据库被盗 【曲高强/文】去年年底CSDN密码泄露的消息出来时,作为一名混迹于互联网的IT专业人士,我自认为这玩意儿离我远着呢,后来又陆续爆出人人网、51CTO、天涯、多玩等论坛的数据库泄密事件后,我隐约觉得,好像这些网站我还真的经常登录呢!但是,我依然认为,这事儿离我远着呢,直到发生了下面这件事儿,我才意识到,危险竟然是已经找上了我。 前一段时间,朋友发给我一个网站,说这个网站出售多达数百万用户的密码,每个月只需要50元,你可以任意查询用户名和密码,网站还提供免费试用服务,出于好奇,我输入了我自己的两个QQ号、163邮箱、Gmail邮箱来看看,试用服务会隐去查询到结果的中间两位,但是,当我看到隐去了两位的密码时,我足足愣了一分钟,尽管中间是两个星号,但是从两头露出的字符,我十分确定,这就是我的密码!!! 这不由得让我想起几个月前,我的QQ莫名其妙遭遇盗号事件,他们盗用了我的QQ并且向我的好友发消息,借钱或者在线购买一些虚拟的物品,结果我一个高中同学被骗了1400多元钱,尽管后来通过腾讯公司的朋友找回了QQ号,并更改了密码,但是无论是金钱损失,还是名誉损失,都已经对我造成了很严重的伤害。 [img]http://pic.yupoo.com/weixiaoyun/CNd7u5Oo/7XJhd.jpg[/img] 你可以试试安全宝来查查你的密码是否泄露 现在回过头再看看这个网站提供的服务,我仿佛看到了无数犯罪分子,他们的成本可能就这每个月几十元,而得到的确实是以百万计的用户名和密码,这些用户名和密码被他们逐一验证并制定出各种不同的欺诈骗局,比如QQ欺诈、邮箱欺诈等等,也许某一个犯罪团伙,工作了半年多,终于轮到了我的QQ号和密码,也成功从我朋友身上赚到了! 尽管我已经全部修改了我的各种账号的密码,但是我依然心有余悸,一方面,我不知道什么时候泄露了这些密码,因为我自我感觉安全意识还算良好;另一方面,我不知道我还会不会泄露新的密码,因为我依然感觉安全意识不算太差,可问题就在于,我的的确确泄露了我的密码,而且也很有可能继续泄露,怎么办? 如果要偷走一个用户的密码,应该只有两个路径,一个是你主动,一个是被动;所谓主动,就是你遇到了姜太公,人家设了一个局,你自己将密码送过去了,比如各种假冒app、钓鱼网站;所谓被动,那是为你提供服务的网站或者app被黑客攻击,导致保管用户密码的数据库被盗,对于大公司来说,这种情况发生的概率极少,但是对于中小企业或者各种小型创业公司来说,发生的概率还是极大的。 下面举几个例子吧,让我们一起来看看自己是如何丢东西的。 第一个例子是山寨app或者网站。第三方应用市场的火爆让很多用户感到很方便,须不知,连安卓市场本身都对应用的审核迷迷糊糊,第三方市场对立面应用的审核尤其让人不放心,目前包括淘宝、当当、美团、凡客、京东、亚马逊甚至工商银行在内,都存在一个乃至数个极其类似的假冒或者山寨版的app,而且尤其可笑的是,有的山寨应用用户评价里面明明写着,这是假的!!,但是其下载量却超过官方的下载量。山寨app除了骗取下载和安装以外,最直接危险就是直接窃取到用户的真是用户名和密码,然后呢……你懂的。 [img]http://pic.yupoo.com/kuusisto/CNd9qmMD/V4gcf.jpg[/img] 第二个例子是捆绑代码app或者网站。这类app应该归于木马和病毒的范围,或者具有恶意窃取用户信息的不可靠app的范围。抛开app厂商刻意搜集用户数据的不说,但从app的安全角度,安卓市场就尤其堪忧,去年记者在新加坡参加一个诺顿安全论坛时,曾经亲眼目睹测试工程师将一款排在热门下载前几名的游戏下载,然后捆绑一组恶意控制代码之后,重新打包上传,很快该应用就上架。当用户下载后,玩游戏时,没有任何不良反应,但是,当工程师开始控制该手机时,无论是遥控拨号还是远程关机,以及远程控制下载卸载,都是轻轻松松,如果你现场看到,一定会心惊肉跳的。 [img]http://pic.yupoo.com/jemilou/CNd9LhlC/9Aq91.jpg[/img] McAfee帮我找出“政法委书记”这本书的app实际上是有害的 第三个例子是在线购物骗局。这就是典型的占小便宜吃大亏的案例,一个典型的案例是前一段时间某网站推出的2元购买移动电源的活动,很多用户信以为真,纷纷下单,须不知,这连运费都赚不回来的买卖,能有多可靠!于是,很多用户在被骗走了真实的用户名、电话号、地址等等个人信息,包括你常用的用户名和密码。 第四个例子是授权账号登陆。现在很多网站都在推开放平台,开放接口,尤其以QQ、微博、微信等等流行,比如很多专注于某些领域的热门论坛,用户甚至都不需要注册,只需要根据网站的提示,采用授权账号登陆就行,亲爱的朋友,当你将在十几个网站、论坛都不断的输入你的qq号和密码、你的微博账号和密码来登陆时,你安心吗?如果你习以为常,到了某个网站,突然你发现,明明正确的用户名和密码,怎么总是提示错误呢?恭喜这个网站,它成功的窃取到你的用户和密码。 还有很多例子都不一一而举,我写这篇文章的目的不是为了吓唬你,因为我切切实实感受到了危险,最后也给大家提供一些应对策略: 1)谨慎选择第三方应用市场,尤其是安卓手机用户,涉及到社交网络、网银等方面的应用,还是去官方网站下载吧。 2)如果实在要在应用市场,对于不确定的app应用,记得去看看用户评论,看看下载量的异常情况,安装app后,看看它的关于界面里面的版权信息。 3)无论是手机还是平板,或者笔记本电脑,一定找一套安全软件来当你的第三只眼。它们对假冒和危险app或者网站的鉴别能力,超过人眼。 4)尽量将自己的密码复杂化,但是同时不同的账户不要使用同样的密码,尽管你记起来会稍显麻烦,但是,想办法将它记录在不同的地方。如果能够定期更换,那更好了。 5)不要相信天上掉馅饼的好事,也不要贪图小便宜,便宜没好货这句话一定要记住。 6)如果你以前在浏览器提示你是否保存密码时,经常选择“是”,那么从今天开始,选择“否”。如果你真想找个软件来保管你的密码,记得选个大公司的产品。 [img]http://pic.yupoo.com/luoruihua/CNd7CrOT/Nv4v3.jpg[/img] 我常用诺顿网页安全的登录助手来帮我管理密码
