14

互联网时代 我们每个人都是【小透明】

 2 years ago
source link: https://segmentfault.com/a/1190000040904693
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

互联网时代 我们每个人都是【小透明】

几年前,我提交了一个漏洞:几百万机票火车票订单用户名明文密码泄露。

邮箱,用户身份证,姓名,密码,手机号等重要字段都可以直接明文读取,当时是利用mongodb数据库的未授权访问脚本,稍加修改,批量扫描后发现的漏洞,有国内多家科技媒体跟进报道,搞的我压力也很大,因为数据没有泄露,只是存在漏洞被我提交到360。

这种就属于未能遵循简单基础的安全原则,锅可以由商家背。

但很多情况,锅不能简单的由商家背。因为这个世界不存在没有漏洞的系统,很多基础的开源的协议或者软件本身存在着大量的漏洞,在没有被发现之前,它们被认为是安全的。但一旦被发现有漏洞,影响巨大。

比如之前广为人知的openssl心脏出血漏洞(OpenSSL心脏出血漏洞全回顾),这个漏洞使攻击者能够从内存中读取多达64KB的数据,而openssl作为安全套接层协议ssl的开源实现,在各大网银、在线支付、电商网站、门户网站、电子邮件服务等重要网站上被广泛使用。

这种情况下,锅由谁来背很难界定,因为没人能保证自己开发的程序没有漏洞。

个人信息的泄露在今天已经严重到了什么地步?

大多数大家觉得足够信任的网站,可能已经被攻破,相关信息在暗网deepweb上被明码标价出售比如这里是Linkedin早期泄露的数据,在暗网上最早被明码标价5个比特币:

这是另外一个知名博客网站Tumblr的数据,出售价格为0.188比特币:

在比如之前很火热的美国大选所有50个州的投票数据,对你没看错,是全美50个州。。。被标价12个比特币(现在知道比特币最大用处了吧,o(╯□╰)o)

从暗网买家展示的数据截图来看,包含的信息很丰富,地址,电话,性别等等:

一些私密小圈子的间谍木马软件源码,包含ios,安卓,wp,黑莓平台,当时标价12比特币。
在这里插入图片描述
很多数据最初从暗网上被标价后,进而慢慢被一些团体释放到互联网上,这中间的时间间隔可能长达数月甚至数年。所以我是不信任网站单方面的承诺的,因为这种承诺本身就很脆弱。

对普通人的生活有多大的影响?如何防护?

简单说,可轻可重。如果落入诈骗团伙手里,就重一些,但如果自己足够警觉有基本的防护意识,那也没事,如果落入推销人员手里,基本也没太大关系,无非就是多几条骚扰广告短信。怕就怕自己没有基本防护意识的同时还落入诈骗团伙手里,那就有点倒霉了。所以日常有一点防护意识还是很重要的。

简单举几个比较广泛的诈骗例子:

1、精准机票退改签短信诈骗

曾女士的手机上收到了前两天购买的从贵阳到三亚的航班取消短信。短信内容不仅详细说出自己的姓名,且航班信息也准确无误,曾女士便以为是航空公司发来的短信,随即拨打了短信中的电话进行改签。经过“客服”的指导,曾女士在ATM取款机上被骗走了29500元钱。
在这里插入图片描述
2.精准淘宝订单退款诈骗

小丁说,前两天,在淘宝商城一家店看中了一件短裤,价值39.2元,下了订单后不到20分钟,她接到一个福建的电话,对方自称是淘宝该店阿里旺旺的客服:

“丁××您好,您是不是今天下午6点半买了一件39.2元的短裤?由于支付宝系统升级,您提交的订单异常,资金被冻结,所以需要您重新登录并确认购买,并且暂时不要登录淘宝和阿里旺旺,您登录QQ吧,我教您怎么操作。”

接到电话后,小丁说对方知道她的姓名和电话,所说的信息都很准确,所以她就信以为真。

登录QQ并加为好友后,“客服”又说了一系列教小丁同学怎么操作的话,由于着急去上自习,小丁也不清楚“客服”讲的那些怎么操作。此时,“客服”说帮小丁用QQ远程操作,可没想到最后“客服”在骗取她的钱财。

在小丁的电脑被远程控制后,“客服”又让她输入支付宝账户动态密码,以确认支付。输入后“客服”又让小丁确认账户有多少金额,她说自己卡上有六七百元钱。退出远程控制,小丁看到确认支付界面上显示已支付-0.01元,她以为支付错误就重新支付了。

与此同时,她的手机收到了短信提示,账户被扣了627元。由于急着去上课,小丁关了电脑赶紧去教室,也没有注意到手机上的信息。晚上九点半下自习后,小丁在认真看完信息后感到事情不妙。给购物的网店打电话询问,网店客服人员告诉她没有这件事情。

具体分析:上述两种其实都是类似的手法,通过截取到的用户订单信息,获得用户信任后实施诈骗,这里用户订单信息获取方式,很多是利用系统漏洞,也有部分是伙同公司内部员工获取。

对普通用户来说,核实发短信和打电话是否是官方电话尤为重要,此外需要杜绝离开平台的交易,比如离开淘宝自有退款流程,不走支付宝进行退款QQ李鬼诈骗QQ被盗号了?

【网络安全技术文档】

更大的骗局还在后面!

广东省公安厅通报,近日在全省公安机关“3+2”专项打击行动中,破获全国最大的QQ诈骗集团案,先盗QQ号长期监控,后冒充老总要求转款,深圳某股份公司财务李某被骗走3505万元。目前警方已刑拘疑犯39人,冻结资金4800余万元。据了解,该案是目前全国QQ诈骗涉案金额最大的一宗案,也是冻结款项最大的诈骗案。

具体分析:这种很多是模仿目标qq,从头像到签名到说说,利用其他社工数据对目标qq进行踩点分析,进而实施诈骗。总之,大家需要有一些基本防护意识,这样就很难被骗,也不需要过于担心。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK