事实上,即使你已经很注意了通讯上的安全,你的信息仍然可能由于其他原因而被泄漏。比如著名的如CSDN和天涯论坛的用户帐户数据被黑客窃取,还有就在前几个月如家酒店的入住记录以及QQ群信息的泄漏,以及最近几天(2014年3月下旬)发生的携程用户信用卡等详细用户信息泄漏等,这种隐私的泄漏对个人来说是很无助的,对个人和社会造成的负面影响因为没有相应的法律保障也得不到赔偿。 这种把某个网站整个用户数据库偷出的来行为,在黑客行话里叫“拖库”,就是将网站的数据库数据全部拖下来,因为谐音,也经常被称作“脱裤”。黑客拖下来的用户信息数据库一般不会马上向大众公开,而是会在黑色产业链上进行交换和买卖,这在行话里叫“洗库”,和金融领域里的“洗钱”类似。这里最关键的问题是很多人对不同的网站也习惯用同样的用户名和密码,这就有很大风险,因为黑客会用拖库里的帐户密码再来尝试登录不同的网站,甚至是尝试登录淘宝和京东,如果帐户密码一样,就会让黑客登录上你的淘宝帐户从而转走你帐户里的钱。这种用已窃取帐户去尝试登录其他网站的操作在黑客行话里叫做“撞库”。所以千万不要用同样的用户名和密码来注册多个网站帐户,尤其是网银、淘宝等涉及金钱往来的网站帐户一定要用不同的用户名和密码。二五八集团的商务卫士会自动注册几千个商贸网站,但是都使用随机算法生成仿真的密码,之所以要使用这种不好记忆的随机密码也是为了防止被“撞库”。 你可能好奇黑客是怎么拖库的,其实方法有很多,最主要的是利用服务器或Web应用的漏洞侵入服务器直接拿到数据,还有造好陷阱让管理员进来从而拿到管理员身份的水坑攻击,造陷阱的方法也有多种,比如通过伪造一个看起来和正常网站页面一样的钓鱼页面,然后通过邮件钓鱼手段来吸引管理员访问。 钓鱼其实是一种社工手段,社工是社会工程学的简称,社工就是专门研究如何让你毫不怀疑地做实际上有风险的操作,比如让你打开一个看似很安全的word文档,但是这个word文档利用了Office Word的一个严重的提权漏洞,从而可以在你的机器上做任何操作。现实生活里的诈骗犯很多就是使用社会工程学的方法的,由于在网络上更难被抓住,社工也成了黑客的必备方法,因此也需要我们对日常信息的真实性提高警惕。
|