|
摘要:本文對(duì)用戶信息的泄露途徑和如何保護(hù)用戶個(gè)人信息都做了簡(jiǎn)單的分析�����,并通過(guò)一個(gè)實(shí)例來(lái)展示了黑客如何利用網(wǎng)絡(luò)釣魚(yú)攻擊竊取到用戶的賬號(hào)、密碼���,希望就此給讀者帶來(lái)一個(gè)直觀的認(rèn)識(shí)�,認(rèn)清信息泄漏的嚴(yán)重性����。 本文對(duì)用戶信息的泄露途徑和如何保護(hù)用戶個(gè)人信息都做了簡(jiǎn)單的分析,并通過(guò)一個(gè)實(shí)例來(lái)展示了黑客如何利用網(wǎng)絡(luò)釣魚(yú)攻擊竊取到用戶的賬號(hào)��、密碼�����,希望就此給讀者帶來(lái)一個(gè)直觀的認(rèn)識(shí)�����,認(rèn)清信息泄漏的嚴(yán)重性����。 根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的報(bào)告顯示����,截至到2012年6月底���,中國(guó)的網(wǎng)民數(shù)量已經(jīng)達(dá)到5.38億���,是15年前的867倍,互聯(lián)網(wǎng)的普及率已達(dá)到39.9%�����?���;ヂ?lián)網(wǎng)的高速發(fā)展使得網(wǎng)絡(luò)已經(jīng)融入到大多數(shù)人們的生活、學(xué)習(xí)之中�����,然而人們?cè)谙硎芑ヂ?lián)網(wǎng)帶來(lái)便利的同時(shí)��,也深受個(gè)人信息泄露之苦�。雖然倒賣(mài)網(wǎng)站用戶數(shù)據(jù)早已形成了一個(gè)完整的黑色產(chǎn)業(yè)鏈,但此前一直并未受到廠商����、普通用戶的重視。直到去年以CSDN�����、天涯等大型網(wǎng)站為代表的泄密門(mén)事件被爆出后�,才引起了人們廣泛的關(guān)注。 
用戶信息泄露途徑 一�����、網(wǎng)站泄密 現(xiàn)在許多網(wǎng)站��、論壇都需要用戶注冊(cè)賬號(hào)后才能正常使用��。因此�,每個(gè)網(wǎng)民擁有多個(gè)賬號(hào)是很平常的事情。在注冊(cè)時(shí)���,網(wǎng)站一般都需要填寫(xiě)一些個(gè)人信息��,如常見(jiàn)的賬號(hào)���、密碼�����、郵箱等�����,像一些電子商務(wù)����、婚戀��、交友網(wǎng)站等還需要實(shí)名認(rèn)證�,要求填寫(xiě)的信息更加詳細(xì)。網(wǎng)站上的用戶數(shù)據(jù)主要通過(guò)三種方式泄露: 1.黑客利用網(wǎng)站存在的安全漏洞入侵網(wǎng)站����,盜取用戶數(shù)據(jù)庫(kù) 當(dāng)前國(guó)內(nèi)大部分網(wǎng)站都存在不同程度的安全漏洞,這些漏洞輕則會(huì)影響網(wǎng)站正常運(yùn)行�,重則會(huì)導(dǎo)致網(wǎng)站服務(wù)器淪陷,網(wǎng)站機(jī)密數(shù)據(jù)遭到泄露�,去年CSDN、天涯等大型網(wǎng)站就是因?yàn)榫W(wǎng)站存在安全漏洞導(dǎo)致用戶數(shù)據(jù)被黑客盜取。
大型網(wǎng)站如此�����,一些中���、小型的網(wǎng)站、論壇更是存在許多安全漏洞���,一個(gè)熟練的黑客可以在很短的時(shí)間內(nèi)入侵一個(gè)普通網(wǎng)站���,竊取到網(wǎng)站的機(jī)密數(shù)據(jù)。 2.網(wǎng)站內(nèi)部工作人員倒賣(mài)用戶信息 一些網(wǎng)站�����、論壇的工作人員因?yàn)楣ぷ餍再|(zhì)可以接觸到大量用戶資料信息���,其中一些不法之徒便通過(guò)倒賣(mài)網(wǎng)站用戶數(shù)據(jù)來(lái)牟利�,目前已經(jīng)發(fā)生過(guò)多起這樣的案例��。 3.通過(guò)撞庫(kù)攻擊����,竊取用戶數(shù)據(jù) 現(xiàn)在基本每個(gè)網(wǎng)民都擁有多個(gè)賬號(hào)��,其中很多人為了方便記憶��,多個(gè)賬號(hào)使用的都是同一密碼。這樣做導(dǎo)致的后果就是一旦某一賬號(hào)密碼泄露�����,很可能導(dǎo)致用戶的其他賬號(hào)也被盜�。 黑客運(yùn)用手中擁有或互聯(lián)網(wǎng)上公開(kāi)的用戶數(shù)據(jù)庫(kù)去嘗試登錄用戶注冊(cè)的其他網(wǎng)站,如果使用的都是同一密碼����,這樣就很容易中招。這樣的攻擊手段被形象地稱(chēng)為”撞庫(kù)“攻擊��。 
二�、社交、聊天工具泄密 現(xiàn)在許多人都熱衷于使用社交網(wǎng)站和網(wǎng)絡(luò)聊天工具��,并且在上面公布了自己的詳細(xì)信息����。如果權(quán)限設(shè)置不當(dāng)��,個(gè)人信息很容易被別有用心的人竊取��。 三�、利用社會(huì)工程學(xué)手段盜取用戶信息 社會(huì)工程學(xué)攻擊是一種通過(guò)對(duì)被攻擊者心理弱點(diǎn)�、本能反應(yīng)、好奇心���、信任�、貪婪等心理陷阱所采取的諸如欺騙���、傷害等危害手段,進(jìn)而獲取自身利益的手法���。它并不能等同于一般的欺騙手法����,社會(huì)工程學(xué)尤其復(fù)雜�,即使自認(rèn)為最警惕最小心的人,一樣會(huì)被高明的社會(huì)工程學(xué)手段損害利益���。 四�、利用釣魚(yú)攻擊竊取用戶信息 釣魚(yú)攻擊是指網(wǎng)絡(luò)不法分子通過(guò)釣魚(yú)網(wǎng)站實(shí)施的一種網(wǎng)絡(luò)欺詐行為,它其實(shí)屬于社會(huì)工程學(xué)的一種�����。這里把它單獨(dú)列出來(lái)是因?yàn)榻陙?lái)釣魚(yú)攻擊整體呈現(xiàn)上升趨勢(shì)�,其危害已經(jīng)超過(guò)此前肆虐的掛馬網(wǎng)站,很多用戶都受到過(guò)釣魚(yú)攻擊的危害�。 其中針對(duì)網(wǎng)上銀行、大型電子商務(wù)網(wǎng)站�����、社會(huì)上的熱點(diǎn)事件進(jìn)行釣魚(yú)攻擊的比例較大��,在一些重大節(jié)假日時(shí)釣魚(yú)網(wǎng)站的數(shù)量明顯增加��。 五�����、通過(guò)木馬�����、病毒竊取用戶隱私信息 黑客利用木馬盜取用戶的賬號(hào)����、密碼����,遠(yuǎn)程控制用戶電腦竊取隱私早已不是什么新鮮事了�,如多年前的”灰鴿子“就是一款非常著名的遠(yuǎn)程控制木馬,利用它���,黑客可以完全控制對(duì)方的電腦��,這時(shí)用戶在攻擊者面前已經(jīng)毫無(wú)隱私可言了�����。 利用釣魚(yú)攻擊竊取用戶賬號(hào)信息實(shí)例 現(xiàn)在我們通過(guò)在本地搭建一個(gè)釣魚(yú)網(wǎng)站程序來(lái)具體分析下釣魚(yú)網(wǎng)站是如何竊取用戶賬號(hào)信息的。 上面是筆者剛搭建的中國(guó)銀行的釣魚(yú)網(wǎng)站���,如果將這個(gè)網(wǎng)站的URL發(fā)送給目標(biāo)用戶�,通過(guò)社會(huì)工程學(xué)或其他技術(shù)手段誘使用戶在該頁(yè)面登錄自己的網(wǎng)上銀行����。一旦用戶在這個(gè)頁(yè)面輸入了自己的網(wǎng)銀賬號(hào)信息,點(diǎn)擊登錄按鈕后���,這時(shí)并不能成功登錄自己的網(wǎng)上銀行�,而是將自己的網(wǎng)銀賬號(hào)信息發(fā)送到黑客指定的后臺(tái)中了。 這樣用戶的網(wǎng)銀賬號(hào)信息就被盜取了�,整個(gè)獲取賬號(hào)信息的過(guò)程其實(shí)非常簡(jiǎn)單�����,只要找一套釣魚(yú)程序即可���,難點(diǎn)在于如何讓用戶相信這個(gè)就是真的網(wǎng)站���,誘使其輸入自己正確的賬號(hào)信息。
用戶信息安全防護(hù) 對(duì)于個(gè)人用戶來(lái)說(shuō)����,如何合理保護(hù)自己的個(gè)人信息不被泄露是很多人關(guān)心的問(wèn)題��。我們可以從以下幾個(gè)方面來(lái)做,最大程度地避免個(gè)人信息的泄露�,把潛在的風(fēng)險(xiǎn)和損失降到最低���。 1.提高自己的安全意識(shí),這一點(diǎn)非常重要����。 2.為賬號(hào)設(shè)置足夠復(fù)雜的密碼,一定不要使用類(lèi)似”123456“��,”password“之類(lèi)的弱口令作為密碼����。這樣的密碼非常容易被人猜到和暴力破解,還有密碼中盡量不要包含生日�����、手機(jī)號(hào)之類(lèi)的個(gè)人信息���。 3.如果有多個(gè)賬號(hào),請(qǐng)為這些賬號(hào)設(shè)置不同的復(fù)雜密碼���。 4.現(xiàn)在每個(gè)人都會(huì)擁有多個(gè)賬號(hào)���、密碼�����,這樣就很容易忘記或記錯(cuò)密碼�,給使用帶來(lái)不便�。可以將密碼加密�����,保存在加密軟件中���。 5.盡量不要在公共場(chǎng)所或他人電腦上登錄網(wǎng)站��,尤其是像網(wǎng)銀�、電子商務(wù)類(lèi)網(wǎng)站這樣非常重要的賬號(hào)�����。 6.不要輕易接收�����、打開(kāi)別人發(fā)來(lái)的文件�、郵件等�����。 7.不要隨便在互聯(lián)網(wǎng)上泄露自己的個(gè)人信息����。 8.安裝安全防護(hù)軟件�,定時(shí)掃描電腦,并及時(shí)升級(jí)病毒庫(kù)���。 總結(jié) 筆者認(rèn)為對(duì)于如何保護(hù)用戶的個(gè)人信息不受侵害���,需要從三個(gè)方面來(lái)做: 首先,需要建立完善的法律���、法規(guī)�����,通過(guò)法律的手段來(lái)保護(hù)用戶個(gè)人信息�。2012年12月28日����,十一屆全國(guó)人大常委會(huì)第三十次會(huì)議通過(guò)了《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》?�!稕Q定》規(guī)定:“任何組織和個(gè)人不得竊取或者以其他非法方式獲取公民個(gè)人電子信息���,不得出售或者非法向他人提供公民個(gè)人電子信息��。網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位有保護(hù)個(gè)人電子信息的義務(wù)���。政府有關(guān)部門(mén)及其工作人員對(duì)在履職中知悉的公民個(gè)人信息同樣負(fù)有保密和保護(hù)義務(wù)?!?/p> 其次,網(wǎng)絡(luò)服務(wù)提供商需要提高安全意識(shí)��,加大網(wǎng)絡(luò)安全方面的投入����。目前的現(xiàn)實(shí)情況并不樂(lè)觀,除了一些大型的互聯(lián)網(wǎng)��、安全公司��,其他公司對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和重視程度還遠(yuǎn)遠(yuǎn)不夠�����,這也是許多網(wǎng)站存在安全漏洞的一個(gè)原因。 最后���,用戶要養(yǎng)成良好的上網(wǎng)習(xí)慣���,提高安全意識(shí),盡量較少的公開(kāi)自己的個(gè)人信息�,以免給自己帶來(lái)不必要的損失。 人工智能 未來(lái)科技
|
