互联网隐私安全-你的QQ/邮箱密码是怎样泄露的
# 内容摘要
- 什么是"社会工程学"
- 黑客是怎么利用"社会工程学"骗取账号密码
- 常见的密码泄露方式
- 其他网站注册账号
- 撞库
- 钓鱼网站
- 手机越狱/root后安装了流氓软件
- 使用密码管理器管理你的账号、密码
# 什么是"社会工程学"
维基百科对"社会工程学"的定义是:社会工程学 (opens new window) 指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系中,这一行为一般是被认作侵犯隐私权的。
维基百科-社会工程学:https://zh.wikipedia.org/wiki/社会工程学 (opens new window)
简单来说,就是通过正常手段欺骗别人,来骗取相关信息。例如历史上著名的:草船借箭、调虎离山、空城计等都是"社会工程学"的典型案例。
# 黑客是怎么利用"社会工程学"骗取账号密码
在互联网发展的早期(大概2008年以前吧,没有一个绝对时间线),由于软件技术规范设计的缺陷,黑客们的确可以通过技术手段入侵系统后台,盗取到用户信息(身份证号码、电话、密码等)。但是随着软件技术的发展,规范设计不断完善,黑客们通过技术手段盗取用户信息的难度已经比你中千万元彩票的几率还低了(即便如此,软件系统中依然存在各种漏洞,并且不管技术如何发展,绝对安全的系统是不存在的)。
在2019年的今天,偶尔还是会出现个别人QQ、邮箱密码被盗的情况。我就有收到过朋友发送的QQ、微信信息,一眼看上去就知道是账号被盗之后发出来的。
黑客们常用的盗取用户密码的手段不是通过"技术"入侵网站系统,或者在用户电脑(手机)安装了病毒程序,来盗取用户密码。而是利用"社会工程学"来欺骗用户,让用户在不知不觉中提交了自己的密码。
来看下电影《我是谁,没有绝对安全的系统》中一个片段,麦克斯如何用几句话就骗到2个巧克力甜圈的。
麦克斯在垃圾桶里面随便找到了一张购物清单,理直气壮去找售货员说少了2个巧克力甜圈,而售货员看他语气理直气壮,还要找经理出来,心里感到一点害怕,就把2个巧克力甜圈给了他。
视频中可以总结一下几点:
- 没有绝对安全的系统
- 最大的安全漏洞并不是程序设计本身
- 人类才是最大的安全漏洞
- 很显然,这些手段是很容易识破的
# 常见的密码泄露方式
常见的密码泄露方式有这几种:在其他网站注册账号、撞库、钓鱼网站、手机越狱/root后安装了流氓软件。大部分都是网民对网络安全意识薄弱造成的。而这些问题都能够很轻易的避免,只要有一点点的安全意识,黑客将无从下手。
# 在其他网站注册账号无意之间提交了邮箱/QQ密码
当你无意中访问到这个页面的时候(方便未成年人访问,已打码),心里很可能在想,就注册一个账号,也不是很麻烦啊。比起你的好奇心,你愿意为此注册一个账号。
于是你点击了注册按钮,开始注册账号。
输入了用户名、密码、邮箱后,搞定!开始愉快的看视频。
这是一个再正常不过的上网行为了,会有什么问题呢?
问题在于,不少人为了嫌麻烦,很多网站(App)都使用了相同的密码。毕竟,我们有各种各样的账号(QQ、微信、邮箱、苹果账号、支付宝、百度网盘等等)。在你注册的时候你输入了自己常用的邮箱,并且使用了和邮箱密码相同的密码,这样一来你的邮箱账号和邮箱密码就都提交给了这个网站后台,他们当然就知道你的邮箱密码了,如果这个网站不怀好意,拿你提交的账号、密码去尝试登录你的邮箱,一试之后发现居然能够登录。而刚好,你又使用的是QQ邮箱,并且是数字邮箱,那么又可以通过QQ号去尝试,结果居然也能登录。这样一来你的邮箱/QQ密码就泄露了。
很显然,防范的手段非常简单:
不同网站使用不同的密码
现在最新版本的手机,或者是浏览器,都能够为你自动保存网站(App)密码了,并且可以给你自动生成不同的复杂密码。
最好不要直接使用数字的QQ邮箱
QQ邮箱是支持绑定自定义英文账号的,如果你有自己的域名。还可用自己的域名绑定到QQ邮箱,这里不再说明详细设置步骤,只放两张截图,自行研究
ps:当然现在很多App都开启了设备锁,或者是2步验证才能正常登陆,即便你的密码泄露,别人还是无法登录你的账号。而这些都是都是在长时间与黑客攻防之间的较量发展而来的,软件系统设计也在越来越完善。
# 其他网站漏洞,泄露了你的密码数据
当然,也不是所有的网站都会"不怀好意",大部分网站还是老老实实、遵纪守法。你提交的密码仅仅作为你登录的凭证,不会用于其他用途。
但是有一天,这些"老老实实"的网站,因为系统设计的缺陷,不小心泄露的后台数据库,大量用户账号被黑客拿到。这其中就有你在这个网站注册的账号和密码。黑客就通过拿到的这些账号去其他网站上尝试看能不能登录。例如:QQ、微信、微博、支付宝、苹果icloud、百度网盘等等。如果能登录的,就备注一下。可以用你的账号发广告,或者卖给其他黑产买家。
在之前,就出现过一次真实的案例:由于网易邮箱数据泄露,黑客把拿到的网易邮箱账号密码去尝试登陆苹果ID,导致大量用户苹果账号密码泄露。这是一件很恐怖的事情,你的通讯录、视频、照片,黑客都可以拿到。而这件事之后,苹果上线了2步验证功能,用户可以开启必须要在其他设备确认后才能登陆icloud。避免更多用户数据被泄露。
防范手段跟之前的一样,不同的网站(App),不要使用相同的密码。
# 钓鱼网站
钓鱼网站,可以理解为伪装成其他网站的网站。例如别人可以开发一个跟腾讯网站一模一样的页面,让用户以为自己正在访问的网站就是腾讯站点。
但是这个有什么用呢?
在很久之前你可能听说过或者收到过这个消息:"今天是马化腾(的女儿?)生日,转发此消息到20个群,登录这个页面可以获得20个Q币。http://www.qq.co/gift (opens new window)。我刚试了,已经收到Q币"。
不少人收到信息后还真的去访问这个页面,反正就试试呗,要是真的就赚了,假的也没什么损失嘛。然后根据提示"登录"QQ账号,这个登录界面看起来跟腾讯的一模一样,心里的顾虑也更低了一点。
如果你输入了真的QQ账号和密码,那你的账号、密码就提交到钓鱼网站后台了,也就自己把密码告诉了人家。
自己看一下网站域名你会发现,这个域名(这个域名是虚构的,但实际情况类似)跟腾讯qq.com的域名少了个字母"m",并不是腾讯官网。所以这是个伪造的腾讯网站。
但是有些情况单从网站域名,肉眼很难分辨清楚,可以看下这个你可能访问的是「假的苹果官网」 (opens new window)https://mp.weixin.qq.com/s/QXrOHpYZ7OR7YgOF9i4sSQ。但是最新版本的浏览器已经修复了这个漏洞。
防范手段:
- 看清楚域名地址
- 提高自我判断意识,不要轻易相信一些虚假的信息,很多时候免费的东西往往更加昂贵。
# 手机越狱/root后安装了流氓软件
手机越狱(android手机叫root)后,可以安装很多功能强大的App,喜欢折腾的人,往往喜欢把手机越狱。
但是我强烈建议小白用户最好不要给手机越狱。在获得强大功能的背后,存在更多的弊端。
先说一下什么是手机越狱:我们的手机操作系统中会区分多个角色的账号,比如普通用户和超级用户(就是root用户)。普通用户只能操作自己路径下的文件,无法访问系统文件,对系统权限有着严格的限制。而root用户则是操作系统的管家,可以访问、管理任何文。举个例子:假如某个App获得了root权限,那么它可以访问其他任何App的文件数据,假如其他App的数据没有加密,那么拥有root权限的App就可以窃取其他App的用户数据了。
一般来说,android手机越狱相对简单,很多人为了获得一些所谓"强大"功能的App,把手机越狱,往往得不偿失。
# 使用密码管理器管理你的密码
上面很多地方都提到,防范密码被盗的最好办法就是不要都使用同一个密码。那么我有这么多的账号,都是用不同密码的话,怎么记得了这么多呢?一个很好的办法就是使用密码管理器,将账号密码统一在一个地方管理,我们只需要记住密码管理器的密码就可以了。
关于密码管理器,后面有时间再专门细说。可以看知乎这篇文章:有什么值得推荐的密码管理软件? (opens new window)https://www.zhihu.com/question/27338793
我本人在用的密码管理器是KeePass,虽然比起其他密码管理器来说,功能太简陋,但是对我个人而言已经足够了。免费、开源,支持各种平台操作系统:android、ios、windows、mac、linux。它不需要服务器(更安全),本地管理一个数据文件,再通过google drive同步,就能实现多个终端同步密码了。
当然,现在手机和浏览器(chrome)都内置了密码管理器,不需要在额外使用其他密码管理器(不过不同品牌的设备之间就无法同步了),还能自动填充账号密码,不需要我们记住。在方便的同时,你可能不一定知道这些软件功能是怎么发展而来的。
# 最后
软件技术在不断发展,曾经的漏洞、缺陷都会越来越完善,越来越安全。看了这篇文章你应该了解到一些网络安全意识,了解什么是"社会工程学",它除了在黑客中运用,还可以在很多地方用到。
- 01
- 旧电脑安装windows11最简单的方法-绿色又健康,附激活脚本11-08
- 02
- 小白入门级NAS首选,开箱即用,不折腾,打造你的家庭影院09-29
- 03
- 工信部出手,查一下你的手机号都注册了哪些网络账号09-26