04 四月 2016
女朋友把手机丢了...是在上公交车时, 女朋友第二个上车, 头一个上去的黑色羽绒服男上车后问师傅是否去XX地, 师傅说不去, 黑羽绒服男就又挤下了车. 上车坐定一会, 女朋友就发现手机不见了. 再打关机. 女朋友说上车前确定手机还在 ,可以肯定就是那个黑衣服男偷得.
之后补卡, 改密码等等善后事宜暂且不表. 且说说后续一些列发展引起我对互联网安全的思考.
用iphone手机的用户都知道, 一个iphone由一个appleid激活, 如果不进行反激活, 是无法登陆其他appleid的. 所以女朋友就打开了丢失模式. 当丢失的手机打开联网时定位并且锁定. 小偷不知道appleid的密码, 就无法解锁手机, 也就无法转手卖出.
头几天鸟无音信.
在一两周后, 女朋友邮箱接连收到邮件, 内容大概是:
> 您的iphone正在尝试解锁刷机, 如果是您操作, 请忽略; 如果不是您操作, 请登录Apple ID 服务中心进行取消操作. 该操作将在12小时后被允许.
署名是 Apple ID Service.
还好女朋友是对这种事情无从下手, 问我怎么办, 我比较警惕, 说转发给我, 我接到后打开, 发现这个邮件的格式和内容很正式. 但是很明显有以下几个问题:
apple.com, 而是一个其他的地址.打开这个链接, 是个和查找 iphone登录界面完全一样的页面. 当然, 这是个伪造的钓鱼网站, 如果女朋友自己打开这个并输入了appleid和密码, 那么账号密码就已经陷落了.
>注意: 如果是手机邮箱, 那么发件人的地址默认是隐藏的. 而且, 打开链接后网页的url也是隐藏的. 所以, 如果是手机打开邮件, 很难分辨真假.
可见, 被偷iphone手机, 由于其激活机制的特殊性, 产生了一条很色的产业链:
小偷 -> 网络诈骗技术者
小偷偷到手机后, 无法解锁, 只能卖给下线. 下线是大型的收购商, 来收购被偷的iphone, 然后进行批量的邮件进行钓鱼, 骗取密码解锁手机.
于是我告诉女朋友, 这种邮件都不要乱点, 不要输入你任何信息.
陆续几天, 还是有同样的伪造刷机警告发来, 女朋友都置之不理. 直到开始受到新的类型的邮件, 大概内容:
> 你的手机在我们公司, 我们无法解锁, 所以按照我们的收购价800块卖给你. 请看图片, 店铺地址.
女朋友经过上一波教训, 已经对互联网有一定的畏惧心理, 所以丝毫没动, 转发给我.
我收到后打开, 明显的, 日然是来历不明的邮箱地址. 而且, 店铺地址的链接也是来历不明的.
虽然是来历不明的链接, 我还是想点进去看看, 于是, 我进行了点击. 结果是:
空白页面...
为什么是空白页面呢, 怎么不是钓鱼网站了? 于是我打开chrome开发者模式, 重新打开链接, 有很多请求, 我意识到, 这可能是xss攻击.
有一个XXX.qq.com域名的请求, 中间进行了重定向, 然后又发送一个特殊url的请求, 这个url暂不公开, 可以假设为 xsssite.net
因为女朋友的appleid用的是qq邮箱. 所以如果对qq.com域名下的一个网页注入脚本的话, 当用户打开这个网页, 很可能能拿到这个用户的登录信息.
由于这次我是从转发的邮件打开的链接, 所以泄露的是我的登录信息, 所以并无大碍.(跨站脚本只是获取了你的登录状态, 能够一段时间内伪造登录状态, 而并不是获取了你的密码)
xsssite.net这个域名的请求包含的很多内容, 且这个网站就是一个xss攻击的平台. 关于这个xss攻击位置, 如何获取登录状态, 传递了哪些信息, 我还尚未去详细查看, 以后分享给大家.
我很感叹, 这个产业链远比我想象的发达:
小偷 -> 网络诈骗技术者 -> 黑客
后来, 由于一些事情, 还是在女朋友的登录状态打开一个这种连接, 对方登陆了女朋友的邮箱, 从而重置了appleid密码, 当然期间有apple的邮件, 但是女朋友以为是假的, 直接忽略掉了. 我没有及时得到消息, 还是让对方得逞了.
前面讲了女朋友的遭遇, 我又想起近几年几次密码泄露, 信息泄露的事件, 深感互联网安全非常重要, 豺狼虎视眈眈, 但是绝大多数人丝毫没有防范意识. 所以我想了一些关于互联网安全的知识, 提示, 以及应对措施. 给大家普及一下.
请看乌云网, 白客们所发现的各种系统漏洞. 触目惊心.
几年前csdn的数据库泄露事故, 余威犹在. 后续几次京东, 7k7k等网站的大量用户密码泄露都是这次事故的后遗症.
黑色产业链早已超乎你我的想象. 道高一尺魔高一丈. 你的一切都时时刻刻被攻击者盯着, 不要有侥幸心理.
密码与社会工程学
社会工程学: 一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法.
举个例子, 最简单的社会工程学案例, 就是根据你的生日来推测你的银行卡密码. 根据人们慵懒的习惯, 尝试123456, asd123, abcd 等方便输入的习惯来推测你的密码. 所以说, 根据你的个人信息, 比如生日, 身份证号, 门牌号, 亲友生日, 名字拼写, 短语拼写等任何对你有意义的字符序列, 都会被认为是你的潜在密码. 依靠计算机的自动化, 计算效率, 可以不停的对大量的用户数据进行尝试破解.
所以我们应该避免使用和自身信息有关的密码
安全并不在你的掌握之中
使用随机的, 比较复杂的密码, 就可以确保账号安全了么? 很遗憾, 不是的.
因为你的密码不仅仅是你自己要保管, 你所注册的网站, 应用也需要保管. 所以, 你所使用的网站, 应用是否在安全上做足了必要的功夫, 是很重要的.
前几年CSDN数据库泄露, 大量用户资料被盗, 令人震惊的是他们的密码是明文的....
根据用户们懒惰的习惯, 不愿意记很多密码, 于是可以假设用户们都喜欢用同一套用户名密码来登陆所有网站,应用. 一时间, 大量网站,应用被撞库成功.
原则上, 网站是不会保存明文密码的, 他们所保存的是对你的密码进行不可逆加密后的密文, 每次你登陆输入密码, 网站会对输入的密码进行同样的不可逆加密, 然后与保存的密文进行对比来验证正确性. 这样在网站数据库泄露时, 用户密码至少不会以明文显示在盗窃者面前.
同时, 网站也不应该仅仅用md5简单加密. 如今对于简单通用的加密手段, 黑客已经有数量庞大的样本来进行比较, 所以, 简单通用加密的效果已经接近明文了.所以, 加密时加入随机的salt, 是常用的方法.
避免所有账号都是同一密码. 可以简单分成几级账号密码, 你的关键应用比如qq号, 支付宝, 邮箱等的密码, 一定不要与注册小网站的密码一样.
不要轻易进行注册, 尤其对于小网站, 他们的技术相对于薄弱, 安全工作做得不够. 建议小网站都使用第三方认证的方式
二步验证
在输入密码后, 需要再进行一次密码验证.
One Time Password: 一次性密码, 每个密码只在一次, 或者很短的时间内有效. 下次登录或认真, 就会用不同的密码.
这个已经非常常见了, 比如常见的手机验证码, 暴雪战网的安全令牌.
如果你的账号可以开通二步验证, 强烈推荐开通, 虽然每次耽误点时间, 但是可以对你的账号进行非常好的保护.
Apple ID, Google账号, QQ邮箱(使用qq安全中心) 等都支持二步验证, 建议都去开通一下吧
你的安全老巢
你的邮箱有多重要? 如果你的邮箱被别人登陆:
1. 首先, 你的个人信息被别人一览无余. 而且, 有的同学还喜欢用邮箱来作为记事本.
2. 可以随时重置你的各种网站, 应用的密码!
独立密码
如果你使用网易, QQ, 新浪等不管是什么邮箱, 要设置独立密码! 如同女朋友邮箱被登录的教训. 如果你在网易, QQ, 新浪的账号登录状态被xss攻击获得, 那么攻击者可以直接进入你的邮箱!
这些大网站, 大企业的安全做得很好不用担心? 我承认, 这些大企业的核心业务是没有问题的, 关键在于这些企业家大业大, 设计的方面非常多, 部门也非常多, 甚至分布在不同的地点, 所以不可能所有的地方都能做好安全措施. 女朋友这个例子中, 应该是QQ的大粤网中论坛的漏洞, 被进行了xss攻击.
话说回来, 林子大, 什么鸟都有, 你不能保证这些企业当中有黑客的存在. 就像你找人做了个保险箱, 你不能保证这个人是不是留了一把钥匙, 或者在保险箱你不知道地方做了个机关. 尤其对这些企业的非核心业务的技术人员, 并不事都是经过严格考核进来的.
不要轻易在浏览器中从邮箱中打开连接
切记, 邮箱中的不确定连接不要轻易就打开, 尤其实在浏览器环境下使用邮箱的时候. 预防xss攻击.
如果打开链接, 发现有异常, 查看请求记录, 如果有疑似xss攻击, 果断退出登录状态, 修改密码. 然后把该链接提交给出现漏斗的网站.(技术工作者)
如果要在浏览器中打开链接, 请使用"隐身窗口中打开", 据我所知Chrome, 以及使用Chrome内核的浏览器基本都支持
当你的手机丢了, 第一件事, 补卡. 让丢失的卡不能再使用.
当你的手机落入别人手中, 又能正常使用, 那么它可以使用很多应用的二步验证.
作为一些应用的密保手机, 它能够充值你这些应用的密码.
手机丢了先补卡
如果你觉得本文对你有帮助和启发, 可以转发给其他人, 以示提醒.