这些“陷阱” 你能否一一识破
互联网时代的到来使我们每个人都处于信息的洪流之中,这其中就藏着一双双狡诈的眼睛,他们随时盯着你的一举一动,看准时机便伸出罪恶之爪。你不经意泄露的每条信息,都可能成为他们的目标。他们把这些信息收集起来,就能对你进行完整的画像,为你定制专属骗局,试图榨干你身上的每一丝价值。在此大背景下,我们必须加强网络安全意识,一点一点加以防范,努力填补自己在信息使用方面知识的不足,才有可能安全自保。
诈骗电话是怎么进行伪装的
山东女孩徐玉玉遭遇诈骗电话后不幸身亡,曾引发社会的广泛关注。有一部叫做《巨额来电》的电影曾披露过电信诈骗的内幕,诈骗电话的背后有着一整套分工流程,每个流程的实施者也都有着相应的称呼──菜商、卡头、话务员、车手、水房等。“菜商”出售公民信息,“卡头”办理用于转账的银行卡,“话务员”一般分为一线话务员和二线话务员,在这条拨打诈骗电话的流水线上,前者负责开场,后者紧跟收网,“车手”负责集中提取账款,“水房”负责洗钱。
当你的个人信息被骗子拿到后,类似这样的电话就来了:“喂,您好,这里是社保局,您办理的社保卡涉及多家医院骗保,社保局现将冻结您的医保卡账号……”“喂,您好,我是公安局刑侦支队民警,由于您的身份信息泄露,其名下银行卡涉及洗钱等犯罪活动……”
有受骗事主称,在接到一自称法院公证室的男子电话后,对方以需要缴纳无犯罪保证金、办理加急结案手续费等理由为名先后骗取了自己200余万元。事主回忆称,自己一开始还很警觉,但仔细看过手机上显示的电话号码后,就逐渐放松警惕了:“骗子打来的电话显示的就是社保局、公安、法院的电话号码啊。”
在这样的电信诈骗链条中,骗子使用到的工具是改号软件。网络安全极客、《一本黑》的作者东东做了一个实验,他在网络上通过关键词搜索很容易就找到了贩卖改号软件的,用120元买了软件,开户后里面竟然还有30元话费可以用。东东尝试了一下,通过这种软件可以将手机号修改成任意的11位号码,拨打这种电话的费用也只要每分钟0.95元。
为什么拨打出去的电话号码可以修改为任意的号码?东东说,改号软件其实就是一种网络电话,而来电显示就相当于一个数据包,在通讯过程中这些数据是可以被修改的。
实际上,这种改号软件修改号码主要是通过一个中间IP平台或者转换器来实现的,也就是说这类通话并不是通过点对点式直拨电话来实现的,中间存在一个“传话人”,这个“传话人”才有修改号码的权限。而通讯运营商根本无法识别这种非法的改号技术,所以也就不能对这种被改过的号码进行拦截或屏蔽。
针对这种经过改号软件修改过号码的来电该如何辨别呢?东东说,最简单的方式就是回拨。假如对方的来电是通过改号软件修改过的,只要按照显示的号码回拨过去,对方是无法接听的。
一张照片也会暴露所有信息
前段时间引爆网络的“霸座男”事件让人们领略了人肉搜索的威力,而如今人肉搜索已经不新鲜了,取而代之的是人脸搜索。
极客“我堂堂一个熊猫”说,现在有一种搜索引擎,放上一张你的照片,就可以找到所有你发布过照片的社交媒体账号。如一家新加坡企业就推出了一款基于人脸识别的情报搜索工具,只要输入一张人脸照片和姓名,就能找到领英、推特、脸书、Google+、Instagram、微博、豆瓣等数个社交媒体上的该照片用户的主页。这个软件还会综合这些社交媒体的内容出具报告,报告中会包含性别、年齡、所在地、电子邮箱等很多个人信息。还有一种App更为可怕,只需一张照片,就可以获知面孔主人在公开互联网上的所有信息。除了这两款App,Facebook的DeepFace目前也已经能实现将人脸图片和社交网站用户精准匹配。总之人脸搜索并不是幻想,而是真真切切地发生在我们身边。
“我堂堂一个熊猫”说,人脸搜索所带来的危害不仅仅是隐私暴露,隐私的暴露往往只是开端,真正的影响来自人脸搜索这种人力无法完成的事情在变得轻而易举之后,所产生的蝴蝶效应。比如犯罪分子进行诈骗时,偷偷拍下一张目标受害者的照片,然后进行人脸搜索,从而通过微博、豆瓣等获知对方的隐私信息,再伪装成很久没有联系过的老熟人,以此博得受害者的信任。
如何应对这种人脸搜索呢?“我堂堂一个熊猫”说,首先要提升网络安全意识,别随便就发自拍。同时社交媒体网站也有责任提醒用户,个人照片的发布有可能存在被人脸搜索的风险。此外,也可以从技术手段进行防范,例如社交媒体可以设置权限,防止人脸图像被第三方“爬虫”抓取。
另外,有些软件对恶意的人脸搜索提前进行了预防,比如前面提到过的Facebook的DeepFace,一旦有用户照片被他人上传,软件就会对用户进行提醒,用户可以选择申诉侵犯隐私,要求删除照片,或是为自己的面孔打码。在某种程度上讲,这也算是保护自己隐私,逆向防范人脸搜索了。
网络密码怎么轻易被破解了
互联网时代,账号相当于一道门,而密码就是钥匙。现实生活中,大多数人QQ、微信、电商平台等账号都使用同一个密码,这也就导致了只要知道你其中的一个密码,那么你其他平台的密码也就形同虚设。
网络安全极客东东说了这样一件事。小李接到声称是一家电商平台客服的电话,说其购买的产品有质量问题,为不影响其购物体验,平台已为其办理了退款手续,并愿以3倍的价格做出赔付,还发给小李一个赔付链接。小李开始挺警惕,觉得可能是诈骗电话,但电话那头的“客服”却不急不躁:“先生,我们已经为您办理了退款手续,您可以登录自己平台的账号进行查看,平台已经为您上传了赔付入口,只要点击申请即可获得我们平台的3倍赔付。”小李带着疑惑登录了自己的平台账号,果真在订单页面看到了“退款中”3个字。并在自己的收货地址处看到了“客服”所说的赔付入口。于是彻底打消了疑虑的小李按照“客服”的指示进入所谓的“赔付入口”,输入了自己的各种账号密码。最终小李的账号被盗刷。
所谓的“客服”到底是如何成功钓到小李的敏感信息的呢?东东说,在黑客技术里有两个专有词汇──“拖库”和“撞库”。黑客用技术手段入侵一个防护性能比较低的网站或平台,取得大量用户账号和密码的行为,就叫做“拖库”。然后拿这些账号和密码到其他网站,例如支付宝、QQ、微信、淘宝等进行批量尝试登录的行为,就叫做“撞库”。撞库时,只要匹配成功,黑客就可以把这些账号数据贩卖给诈骗团伙,然后对账号的主人进行精准诈骗。这是黑客窃取个人信息最常用的手法之一,而且只要拿到一批可以登录的用户账号和密码,就可以盗取更多的个人信息。
东东说,对那些总爱在不同网站或平台使用同一个密码的人来说,黑客只要知道其中的一个密码,那么你的其他平台也就大门顿开了。
有时登录一个账号,光有手机号码还不够,还需要填写短信验证码。对这种情况,东东说,有的平台针对验证码没有做防护策略,即验证码没有时效性,可以一直重复输入。黑客就可以通过类似“枚举”的方式把验证码“猜”出来,加上若该平台的验证码只有4位数,就更是大大降低了“猜测”的难度。在拿到验证码以后,黑客就可以登录受害者的账号,从而实施诈骗。
有没有办法来破解这些黑操作呢?东东说,可以在各大平台发布“蜜罐”。这是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析。然后整合大数据,对诈骗团队的手法、技术、团队进行分析,并查找到信息泄露的源头。在平台发生内鬼窃取数据的时候也会做出应急响应,将威胁情报反馈给平台的安全防护端,从信息泄露的源头上进行防范。同时对已知的诈骗团伙和可疑的网络电话进行监控,如果发现某平台的用户正在遭遇电话诈骗,还可以第一时间向该平台发出通知,并且提供被诈骗用户的联系方式,平台就能第一时间告知用户。在此基础上,能够帮助平台寻找数据泄露点,及时修复漏洞,并向公安机关提供破案线索。
(摘自《北京晚报》2018年9月2日) (蔡文清)
诈骗电话是怎么进行伪装的
山东女孩徐玉玉遭遇诈骗电话后不幸身亡,曾引发社会的广泛关注。有一部叫做《巨额来电》的电影曾披露过电信诈骗的内幕,诈骗电话的背后有着一整套分工流程,每个流程的实施者也都有着相应的称呼──菜商、卡头、话务员、车手、水房等。“菜商”出售公民信息,“卡头”办理用于转账的银行卡,“话务员”一般分为一线话务员和二线话务员,在这条拨打诈骗电话的流水线上,前者负责开场,后者紧跟收网,“车手”负责集中提取账款,“水房”负责洗钱。
当你的个人信息被骗子拿到后,类似这样的电话就来了:“喂,您好,这里是社保局,您办理的社保卡涉及多家医院骗保,社保局现将冻结您的医保卡账号……”“喂,您好,我是公安局刑侦支队民警,由于您的身份信息泄露,其名下银行卡涉及洗钱等犯罪活动……”
有受骗事主称,在接到一自称法院公证室的男子电话后,对方以需要缴纳无犯罪保证金、办理加急结案手续费等理由为名先后骗取了自己200余万元。事主回忆称,自己一开始还很警觉,但仔细看过手机上显示的电话号码后,就逐渐放松警惕了:“骗子打来的电话显示的就是社保局、公安、法院的电话号码啊。”
在这样的电信诈骗链条中,骗子使用到的工具是改号软件。网络安全极客、《一本黑》的作者东东做了一个实验,他在网络上通过关键词搜索很容易就找到了贩卖改号软件的,用120元买了软件,开户后里面竟然还有30元话费可以用。东东尝试了一下,通过这种软件可以将手机号修改成任意的11位号码,拨打这种电话的费用也只要每分钟0.95元。
为什么拨打出去的电话号码可以修改为任意的号码?东东说,改号软件其实就是一种网络电话,而来电显示就相当于一个数据包,在通讯过程中这些数据是可以被修改的。
实际上,这种改号软件修改号码主要是通过一个中间IP平台或者转换器来实现的,也就是说这类通话并不是通过点对点式直拨电话来实现的,中间存在一个“传话人”,这个“传话人”才有修改号码的权限。而通讯运营商根本无法识别这种非法的改号技术,所以也就不能对这种被改过的号码进行拦截或屏蔽。
针对这种经过改号软件修改过号码的来电该如何辨别呢?东东说,最简单的方式就是回拨。假如对方的来电是通过改号软件修改过的,只要按照显示的号码回拨过去,对方是无法接听的。
一张照片也会暴露所有信息
前段时间引爆网络的“霸座男”事件让人们领略了人肉搜索的威力,而如今人肉搜索已经不新鲜了,取而代之的是人脸搜索。
极客“我堂堂一个熊猫”说,现在有一种搜索引擎,放上一张你的照片,就可以找到所有你发布过照片的社交媒体账号。如一家新加坡企业就推出了一款基于人脸识别的情报搜索工具,只要输入一张人脸照片和姓名,就能找到领英、推特、脸书、Google+、Instagram、微博、豆瓣等数个社交媒体上的该照片用户的主页。这个软件还会综合这些社交媒体的内容出具报告,报告中会包含性别、年齡、所在地、电子邮箱等很多个人信息。还有一种App更为可怕,只需一张照片,就可以获知面孔主人在公开互联网上的所有信息。除了这两款App,Facebook的DeepFace目前也已经能实现将人脸图片和社交网站用户精准匹配。总之人脸搜索并不是幻想,而是真真切切地发生在我们身边。
“我堂堂一个熊猫”说,人脸搜索所带来的危害不仅仅是隐私暴露,隐私的暴露往往只是开端,真正的影响来自人脸搜索这种人力无法完成的事情在变得轻而易举之后,所产生的蝴蝶效应。比如犯罪分子进行诈骗时,偷偷拍下一张目标受害者的照片,然后进行人脸搜索,从而通过微博、豆瓣等获知对方的隐私信息,再伪装成很久没有联系过的老熟人,以此博得受害者的信任。
如何应对这种人脸搜索呢?“我堂堂一个熊猫”说,首先要提升网络安全意识,别随便就发自拍。同时社交媒体网站也有责任提醒用户,个人照片的发布有可能存在被人脸搜索的风险。此外,也可以从技术手段进行防范,例如社交媒体可以设置权限,防止人脸图像被第三方“爬虫”抓取。
另外,有些软件对恶意的人脸搜索提前进行了预防,比如前面提到过的Facebook的DeepFace,一旦有用户照片被他人上传,软件就会对用户进行提醒,用户可以选择申诉侵犯隐私,要求删除照片,或是为自己的面孔打码。在某种程度上讲,这也算是保护自己隐私,逆向防范人脸搜索了。
网络密码怎么轻易被破解了
互联网时代,账号相当于一道门,而密码就是钥匙。现实生活中,大多数人QQ、微信、电商平台等账号都使用同一个密码,这也就导致了只要知道你其中的一个密码,那么你其他平台的密码也就形同虚设。
网络安全极客东东说了这样一件事。小李接到声称是一家电商平台客服的电话,说其购买的产品有质量问题,为不影响其购物体验,平台已为其办理了退款手续,并愿以3倍的价格做出赔付,还发给小李一个赔付链接。小李开始挺警惕,觉得可能是诈骗电话,但电话那头的“客服”却不急不躁:“先生,我们已经为您办理了退款手续,您可以登录自己平台的账号进行查看,平台已经为您上传了赔付入口,只要点击申请即可获得我们平台的3倍赔付。”小李带着疑惑登录了自己的平台账号,果真在订单页面看到了“退款中”3个字。并在自己的收货地址处看到了“客服”所说的赔付入口。于是彻底打消了疑虑的小李按照“客服”的指示进入所谓的“赔付入口”,输入了自己的各种账号密码。最终小李的账号被盗刷。
所谓的“客服”到底是如何成功钓到小李的敏感信息的呢?东东说,在黑客技术里有两个专有词汇──“拖库”和“撞库”。黑客用技术手段入侵一个防护性能比较低的网站或平台,取得大量用户账号和密码的行为,就叫做“拖库”。然后拿这些账号和密码到其他网站,例如支付宝、QQ、微信、淘宝等进行批量尝试登录的行为,就叫做“撞库”。撞库时,只要匹配成功,黑客就可以把这些账号数据贩卖给诈骗团伙,然后对账号的主人进行精准诈骗。这是黑客窃取个人信息最常用的手法之一,而且只要拿到一批可以登录的用户账号和密码,就可以盗取更多的个人信息。
东东说,对那些总爱在不同网站或平台使用同一个密码的人来说,黑客只要知道其中的一个密码,那么你的其他平台也就大门顿开了。
有时登录一个账号,光有手机号码还不够,还需要填写短信验证码。对这种情况,东东说,有的平台针对验证码没有做防护策略,即验证码没有时效性,可以一直重复输入。黑客就可以通过类似“枚举”的方式把验证码“猜”出来,加上若该平台的验证码只有4位数,就更是大大降低了“猜测”的难度。在拿到验证码以后,黑客就可以登录受害者的账号,从而实施诈骗。
有没有办法来破解这些黑操作呢?东东说,可以在各大平台发布“蜜罐”。这是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析。然后整合大数据,对诈骗团队的手法、技术、团队进行分析,并查找到信息泄露的源头。在平台发生内鬼窃取数据的时候也会做出应急响应,将威胁情报反馈给平台的安全防护端,从信息泄露的源头上进行防范。同时对已知的诈骗团伙和可疑的网络电话进行监控,如果发现某平台的用户正在遭遇电话诈骗,还可以第一时间向该平台发出通知,并且提供被诈骗用户的联系方式,平台就能第一时间告知用户。在此基础上,能够帮助平台寻找数据泄露点,及时修复漏洞,并向公安机关提供破案线索。
(摘自《北京晚报》2018年9月2日) (蔡文清)