看完了315晚會,我已經不敢碰我的手機了……

tracy     2016-11-21     3     檢舉

看完了315晚會,我已經不敢碰我的手機了……

看完央視的315晚會,覺得消費者活的真辛苦啊……買東西時要小心刷信譽的淘寶店、吃東西時要小心刷評價的商戶點評、刷卡的時候要警惕複製信息盜走血汗錢的信用卡騙局……甚至,連掃個二維碼、下個app、連個wifi都不安全了。

我已經不敢碰我的手機了,我覺得它要炸。

看完了315晚會,我已經不敢碰我的手機了……

「瞧一瞧看一看~ 掃個二維碼就送小禮物!」

——這樣的一個小操作,就能往你的手機里安裝惡意軟體、盜取個人信息和銀行卡號密碼……

看完了315晚會,我已經不敢碰我的手機了……

這有可能嗎?如何防範?

這種盜竊錢財的方式早在2014年就被315曝光過,原理和通過簡訊發木馬連結給受害者的原理差不多。一位前黑客水波特別演示了犯罪分子常用的如何利用國外伺服器入侵國內安卓智慧型手機用戶的過程。

方法一:

1. 架設國外伺服器,並植入一段病毒程序;

2. 已簡訊的形式將病毒連結地址發給一個陌生的安卓機,利用安卓系統的短網址功能將發件人偽裝成某位親朋好友;

3. 如果點擊連結地址,會自動安裝一個桌面小工具,此時病毒植入,個人信息已被盜取。

方法二(目測就是本次315中的方法):

1. 將病毒壓縮成二維碼,並偽裝成淘寶賣家優惠券;

2. 「掃一掃」後,手機螢幕根本不會顯示病毒下載到手機中,而手機機主的手機號碼、銀行帳號等重要信息已經暴露了;

3. 再用簡訊驗證的方式篡改對方的密碼,即可將對方帳戶的資金轉走。整個過程只需要幾分鐘就完成了!

二維碼,也分好壞?

二維碼都是日本研發的QR碼,是開源的、通用的,因此基本不具備安全防護能力。二維碼本身沒有毒,給它加帶毒的連結才「有毒」。——給你一個連結不敢亂點,給你個二維碼你就放心大膽去掃了?它們本質上是一樣的。

二維碼分為通用的和非通用的兩種。

1. 通用二維碼,在市場上占主導,所有的二維碼識別軟體都能讀出;

2. 非通用二維碼,推出的公司有自己的編碼格式,要特定的軟體才能識別。

注意:有毒二維碼與普通二維碼本身並沒有區別!

那怎麼預防?

為了防止中毒,最好不要隨意去掃一些來歷不明的商家的二維碼。通常來說,報紙、雜誌等出版刊物上的二維碼相對安全,但也很難說。更不要上什麼奇怪的網站、掃什麼奇怪的小app里的二維碼……小心一點為妙呀!

看完了315晚會,我已經不敢碰我的手機了……

當心!那不是App!

聽說手機上被安裝了惡意應用程式後,它會暗中扣你話費、甚至替用戶發送費用確認簡訊……嚇死人了!!

如何躲開吸費APP?

簡而言之就是:

不要亂裝應用!

不要亂裝應用!!

不要亂裝應用!!!

因為實在太重要所以說三遍。

怎麼算不「亂」裝呢?

答案就是:儘量從相對靠譜的渠道下載應用。

什麼是相對靠譜的渠道?系統商的大型官方市場(比如蘋果AppStore和並不存在的Google Play Store)、大型渠道和手機廠商的官方市場(比如Amazon Appstore、小米市場、應用匯等)。

那什麼是不靠譜的?搜尋引擎搜出來的各類「破解版」應用不靠譜;蘋果越獄後才能使用的除了Cydia之外的所有應用市場不靠譜;Cydia內除了BigBoss源之外,自行添加的軟體源,可信任程度需要自行判斷。

與此同時,正如315晚會上所展示的,那些名字特別誘惑的雜七雜八的App都不靠譜。

點一個「確認年滿十八歲」就能看到【嗶——】、【嗶——】和【嗶——】的東西?

呵呵,都是衝著你錢包來的。

還有別的能做的嗎?

嗯,再強調一下:給重要帳號設一個獨一無二的複雜密碼是有必要的。或者給各類網站按重要性排幾個檔次,每個檔次之間的密碼相互分開。

與此同時,普通用戶請儘量不要越獄、不要Root。這兩個操作會極大地降低你手裡設備的安全性。

如果要基於國內的環境下一個簡要結論的話,給常見移動系統的安全性排個序,會是這樣的:

未越獄iOS > 未Root Android > 已Root Android > 已越獄iOS

數據安全到底有多重要?還請大家多在心裡掂量一下。

已經被亂扣費了,咋整?

請向運營商和工信部投訴,並在備份了自己重要數據之後初始化機器,來儘可能減少自身的損失。

只是個免費WiFi?快別傻了

好了好了我啥都不幹了,我連個WiFi逛逛淘寶總好了吧?

呵呵。

在2015年的央視315晚會上,就找過一個戴著眼罩的工程師來現場演示如何通過公共WiFi獲取用戶手機的作業系統、正在運行的App等信息,甚至還可以獲取到用戶手機中存儲的郵箱、密碼等隱私信息:

看完了315晚會,我已經不敢碰我的手機了……

而今年的315晚會更是現場測試:連上一個免費WiFi後,只要打開消費類軟體,訂單和消費記錄統統被提取!包括你的電話號碼、家庭住址、身份證號碼、銀行卡號、甚至哪天幾時你看了一場什麼電影……

看完了315晚會,我已經不敢碰我的手機了……

這是怎麼做到的?

Moonwalker 網絡工程師:

我們把數據包當做「信件」來看一下吧。

張三喜歡用牛皮紙做信封、並且常用黑色鋼筆;李四喜歡用銅版紙做信封,常用藍色原子筆。如果我做了一個假郵筒,那麼根據這些「特徵碼」就可以大概判斷出是誰發送的信,也就是你在用什麼作業系統、是哪些APP發送的數據。

接下來就是如何截獲用戶名密碼,很多人設置客戶端郵箱時,都沒注意到這樣一個選項:

「使用安全連結(SSL)」

本來,你發送的郵箱、用戶名、密碼甚至郵件內容,都是明文的。如果這樣一封信被投到了一個假的郵筒,那麼假郵筒的擁有者就可以隨意查看你的信件內容了。但是張三和李四約定好一套加密方式:寫信的時候會把字母A替換成C,把字母B替換成Z等等,這樣別人看到的就是一堆亂碼了。而SSL就是一種更為複雜和安全的加密方式。

我們瀏覽網站的時候會看到有些網站是https:// 開頭的,而不是http:// ,這類網站就是使用了SSL加密技術(不過現在注重安全的網站都會升級為TLS,安全等級更高)。

不過呢,把A替換成C,B替換成Z這樣寫起信來速度很慢,SSL也會導致速度變慢,所以有些網站會把網頁上部分重要內容使用SSL加密,部分內容使用明文傳輸。這是種折衷方法,但依然有被中間人攻擊篡改頁面、密碼被盜的風險~

選SSL就好了,是不是!

有密碼就有解密手段,SSL也可以用sslstrip來破解,原理就是製作一個假的伺服器證書來欺騙客戶端。

當然,瀏覽器也不傻,它們會給你彈出這樣一個警告:

看完了315晚會,我已經不敢碰我的手機了……

如果這是個惡意網站,而你又點了忽略……呵呵。

普通用戶要怎麼避免?

使用公共wifi的時候一定要注意,不要在http:// 開頭的網址上輸入密碼等信息!不要使用同一個密碼註冊多個網站!如果你的網絡服務提供商不可信任(比如房東直接從交換機拉一條網線給你),那麼也要小心密碼被盜或個人信息泄露。

別連不可信的公共Wi-Fi(公共VPN、代理伺服器等也算)、別在不可信的網絡環境下進行敏感操作。與此同時,如@Moonwalker 所說的,不要無視瀏覽器的證書錯誤提醒!不要亂裝安全證書,否則HTTPS也救不了你!

同時,向開發商多提提意見,指望他們能快點更新、加強一下安全措施吧……

一定程度上說,大型APP開發商對信息處理的完善程度會比小開發商要靠譜。雖然目前中國的信息安全意識還普遍較為落後,但開發商信譽作為一個簡要的判斷手段,還是比較有效的。

一個AI這個世界好危險……我去改密碼了。