2014年9月25日 16:27 來源:毒霸安全月報(bào)月初,多名好萊塢影星艷照在全世界的社交媒體廣泛傳播�����,艷照門事件完全跨越國界����,這一事件讓人們對蘋果的iCloud服務(wù)安全憂心忡忡。 
[1] 眾多好萊塢女星隱私照片被黑客泄漏
有安全公司指出���,蘋果公司“找回我的iPhone”服務(wù)存在安全漏洞���,可以允許黑客窮舉密碼,這一漏洞可能是艷照泄露的幕后真兇���。但更多的證據(jù)表明�,這起事件�,因當(dāng)事人使用iCloud服務(wù)不當(dāng),與黑客撞庫的關(guān)系更加密切���。 由于大量網(wǎng)民存在重復(fù)使用密碼或者密碼過于簡單的問題����,許多網(wǎng)站由于安全漏洞被黑客拖庫。被黑客掌握的網(wǎng)民數(shù)據(jù)庫可能已經(jīng)影響全球超過10億人����,幾乎所有互聯(lián)網(wǎng)的重度使用者或多或少有用戶名密碼落入黑客之手。這個(gè)龐大的數(shù)據(jù)庫����,會被黑客用來嘗試登錄那些重要的網(wǎng)絡(luò)服務(wù),比如社交媒體�、郵箱服務(wù)和云存儲服務(wù)。 iCloud未在全球提供雙步驗(yàn)證����,并且默認(rèn)并未引導(dǎo)用戶使用。建議用戶使用雙步驗(yàn)證:第一步使用用戶名密碼���,第二步使用手機(jī)驗(yàn)證碼或動態(tài)密碼。雙重驗(yàn)證通過�����,才能登錄成功?���;蛘哧P(guān)閉iCloud服務(wù),操作步驟:打開iPhone或iPad的設(shè)置->iCloud->將照片流或視頻流關(guān)閉����。 
[2] 開啟icloud兩步驗(yàn)證服務(wù)增強(qiáng)安全性
使用其他云存儲服務(wù)的用戶,也需要檢查自己是否開啟雙步驗(yàn)證�,安全專家建議網(wǎng)民不要將那些絕對屬于機(jī)密的信息上傳到云存儲空間。 艷照門的擴(kuò)散也引起另一個(gè)麻煩��,由于大量獵奇的網(wǎng)民四處尋找好萊塢影星艷照���,許多不懷好意的人開始利用好萊塢女星艷照傳播病毒���,他們將病毒木馬重命名為艷照相關(guān)的文件,欺騙網(wǎng)民打開��。一旦中招�����,電腦或手機(jī)就被入侵���,可能導(dǎo)致賬號被盜��,或被安裝流氓軟件���。 
[3] 偽裝為艷照“播放器”的流氓病毒被攔截
[4] 伺機(jī)傳播的手機(jī)木馬程序被攔截
在艷照門事件稍作平息之后�,緊接著發(fā)生493萬Gmail用戶賬號密碼泄露事件����,該事件的性質(zhì)和艷照門事件并無本質(zhì)差別。 
[5] 493萬Gmail用戶的賬號密碼遭遇泄露
同樣��,要解決這個(gè)風(fēng)險(xiǎn)���,需要啟用Gmail的兩步驗(yàn)證���。 
[6] 開啟Gmail兩步驗(yàn)證服務(wù)增強(qiáng)安全性
這么多的密碼是怎么落到黑客手里的呢?有許多可能的途徑�,問題可能出在管理用戶數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)商,也可能出在用戶自己身上��。比如自己經(jīng)常在一些網(wǎng)站提交個(gè)人信息����、網(wǎng)絡(luò)填表、見到網(wǎng)店打折促銷發(fā)大獎就不能自制……�����。除了這些之外�,還有一種威脅幾乎不為人所知,那就是WiFi釣魚�。 金山毒霸安全中心和烏云網(wǎng)近期做了測試,在公共場所使用一個(gè)路由器偽造CMCC的釣魚WiFi�,瞬間有數(shù)十人的手機(jī)或Pad自動連接。這些移動設(shè)備一旦掉入WiFi釣魚陷阱�����,就會自動同步聯(lián)網(wǎng)上傳數(shù)據(jù)�����。不幸的是����,這些數(shù)據(jù)包,都會經(jīng)過黑客設(shè)置的陷阱�����。分析其中的數(shù)據(jù),就能得到大量用戶信息�,包括郵箱用戶名密碼、正在瀏覽的郵件內(nèi)容��、打開網(wǎng)盤訪問的照片等等���。 攻擊者通過釣魚WiFi拿到郵箱訪問權(quán)限之后��,可以繼續(xù)擴(kuò)大戰(zhàn)果:瀏覽所有郵件內(nèi)容�;假冒身份欺騙郵箱聯(lián)系人��;發(fā)送帶網(wǎng)絡(luò)釣魚或網(wǎng)頁攻擊類的郵件��;控制受害人微博����;查看受害者網(wǎng)購歷史記錄和12306的購票信息。 
[7] WiFi釣魚陷阱
怎么防止自己不幸掉入WiFi釣魚陷阱呢�?手機(jī)端安裝獵豹免費(fèi)WiFi,或者平常關(guān)閉手機(jī)或Pad的無線網(wǎng)卡����,需要上網(wǎng)時(shí)才打開。使用公共場所WiFi上網(wǎng)時(shí),避免使用高危操作��,比如在線購物�����、訪問網(wǎng)銀��、網(wǎng)絡(luò)理財(cái)�、處理電子郵件��、使用社交網(wǎng)絡(luò)等操作��。 本月的安全事件實(shí)在太多了����,就在大家對安全專家的建議無動于衷的時(shí)候,一條爆炸性的新聞出現(xiàn)在微博:扮演小龍女的李若彤遭遇電信詐騙�,損失100萬。 
[8] “小龍女”李若彤遭遇電信詐騙損失100萬
類似電信詐騙為什么會發(fā)生呢�?究其原因,又與個(gè)人信息泄露有關(guān)����。首先攻擊者得到李若彤助理的電話,簡簡單單幾句話��,就把助理嚇蒙了。乖乖把自己的電腦交給騙子遠(yuǎn)程控制��,親手把U盾插到電腦上���,配合騙子把銀行卡里的錢轉(zhuǎn)走100萬��。類似的電信詐騙頻繁發(fā)生�,曾有受害者一次被騙上千萬����。 今天,越來越多的網(wǎng)絡(luò)攻擊發(fā)生在智能手機(jī)上��。騙子們假冒中國電信積分換禮活動通過偽基站攻擊群發(fā)詐騙短信����,在短信中附帶釣魚網(wǎng)站鏈接。不明真相的網(wǎng)民手機(jī)打開釣魚網(wǎng)站����,會提交詳細(xì)的個(gè)人信息,這些信息落到騙子手里��,網(wǎng)銀資金就會被盜。 
[9] 詐騙短信暗藏手機(jī)網(wǎng)銀釣魚站點(diǎn)
更加不幸的是�,這些釣魚網(wǎng)站還存在嚴(yán)重安全漏洞,黑客入侵這些網(wǎng)站���,騙子們收集的銀行卡數(shù)據(jù)完全暴露���。憑表格中的卡號����、有效期、CVV�����、用戶名等信息��,可以在任何一家購物網(wǎng)站消費(fèi)�����。那些受害的用戶�,極有可能面臨不止一個(gè)小偷去盜刷銀行卡。這些信息暴露��,唯一的選擇是將舊銀行卡銷號,重新申請新卡���。 
[10] 用戶個(gè)人信息與網(wǎng)銀信息遭遇泄漏
通過這篇總結(jié)文章�,網(wǎng)民是不是覺得風(fēng)險(xiǎn)太多腦細(xì)胞不夠用了?����,F(xiàn)實(shí)就是這樣殘酷�,和全副武裝的網(wǎng)絡(luò)犯罪分子比起來,網(wǎng)民處于絕對劣勢�����。需要采取綜合措施保護(hù)我們的信息安全: 1) 在電腦和手機(jī)上安裝殺毒軟件�����,同時(shí)警惕那些來歷不明的軟件���,當(dāng)任何人試圖說服你關(guān)閉殺毒軟件��,或卸載殺毒軟件時(shí)����,堅(jiān)決說不。 2) 除了網(wǎng)銀等需要驗(yàn)證個(gè)人身份外���,其他網(wǎng)站應(yīng)盡量避免填寫自己的真實(shí)個(gè)人信息�。 3) 謹(jǐn)慎使用網(wǎng)盤等云端服務(wù)備份自己的隱私數(shù)據(jù)�����,可以本地加密以后再備份到云端�����。 4) 重要網(wǎng)銀����、郵箱等賬號使用獨(dú)立密碼���,避免其他密碼泄漏以后造成更進(jìn)一步的損失���。 5) 警惕詐騙電話,涉及到資金操作務(wù)必提高警惕����。
|
