人工客服
獲取報價
獲取資料
方案定制
項目合作
售后服務
咨詢熱線
400-608-6677 轉810
400-608-6677 轉810
2019-04-10
2326
神州明達-小明
近日看完央視的315晚會,覺得消費者活的真辛苦啊……買東西時要小心刷信譽的淘寶店、吃東西時要小心刷評價的商戶點評、刷卡的時候要警惕復制信息盜走血汗錢的信用卡騙局……甚至,連掃個二維碼、下個app、連個wifi都不安全了。我已經不敢碰我的手機了,我覺得它要炸。這二維碼里……有毒!
“瞧一瞧看一看~ 掃個二維碼就送小禮物!”——這樣的一個小操作,就能往你的手機里安裝惡意軟件、盜取個人信息和銀行卡號密碼……哎呀這個世界好危險……小編我要去改各種密碼了。這有可能嗎?如何防范?這種盜竊錢財的方式早在2014年就被315曝光過,原理和通過短信發木馬鏈接給受害者的原理差不多。一位前黑客水波特別演示了犯罪分子常用的如何利用國外服務器入侵國內安卓智能手機用戶的過程。
方法一:
1. 架設國外服務器,并植入一段病毒程序;
2. 已短信的形式將病毒鏈接地址發給一個陌生的安卓機,利用安卓系統的短網址功能將發件人偽裝成某位親朋好友;
3. 如果點擊鏈接地址,會自動安裝一個桌面小工具,此時病毒植入,個人信息已被盜取。
方法二(目測就是本次315中的方法):
1. 將病毒壓縮成二維碼,并偽裝成淘寶賣家優惠券;
2. “掃一掃”后,手機屏幕根本不會顯示病毒下載到手機中,而手機機主的手機號碼、銀行賬號等重要信息已經暴露了;
3. 再用短信驗證的方式篡改對方的密碼,即可將對方賬戶的資金轉走。整個過程只需要幾分鐘就完成了,
二維碼,也分好壞?二維碼都是日本研發的QR碼,是開源的、通用的,因此基本不具備安全防護能力。二維碼本身沒有毒,給它加帶毒的鏈接才“有毒”。——給你一個鏈接不敢亂點,給你個二維碼你就放心大膽去掃了?它們本質上是一樣的。二維碼分為通用的和非通用的兩種。1. 通用二維碼,在市場上占主導,所有的二維碼識別軟件都能讀出;2. 非通用二維碼,推出的公司有自己的編碼格式,要特定的軟件才能識別。注意:有毒二維碼與普通二維碼本身并沒有區別!那怎么預防?為了防止中毒,最好不要隨意去掃一些來歷不明的商家的二維碼。通常來說,報紙、雜志等出版刊物上的二維碼相對安全,但也很難說。更不要上什么奇怪的網站、掃什么奇怪的小app里的二維碼……小心一點為妙呀!當心!那不是App!聽說手機上被安裝了惡意應用程序后,它會暗中扣你話費、甚至替用戶發送費用確認短信……嚇死人如何躲開吸費APP?
.jpg)
簡而言之小編提醒各位看官:不要亂裝應用!不要亂裝應用!!不要亂裝應用!!!因為實在太重要所以說三遍。怎么算不“亂”裝呢?答案就是:盡量從相對靠譜的渠道下載應用。什么是相對靠譜的渠道?系統商的大型官方市場(比如蘋果AppStore和并不存在的Google Play Store)、大型渠道和手機廠商的官方市場(比如Amazon Appstore、小米市場、應用匯等)。
那什么是不靠譜的?搜索引擎搜出來的各類“破解版”應用不靠譜;蘋果越獄后才能使用的除了Cydia之外的所有應用市場不靠譜;Cydia內除了BigBoss源之外,自行添加的軟件源,可信任程度需要自行判斷
與此同時,正如315晚會上所展示的,那些名字特別誘惑的雜七雜八的App都不靠譜。點一個“確認年滿十八歲”就能看到【嗶——】、【嗶——】和【嗶——】的東西?
呵呵,都是沖著你錢包來的。
還有別的能做的嗎?嗯,再強調一下:給重要賬號設一個獨一無二的復雜密碼是有必要的。或者給各類網站按重要性排幾個檔次,每個檔次之間的密碼相互分開。
與此同時,普通用戶請盡量不要越獄、不要Root。這兩個操作會極大地降低你手里設備的安全性。如果要基于國內的環境下一個簡要結論的話,給常見移動系統的安全性排個序,會是這樣的:未越獄iOS > 未Root Android > 已Root Android > 已越獄iOS數據安全到底有多重要?還請大家多在心里掂量一下。
已經被亂扣費了,咋整?
請向運營商和工信部投訴,并在備份了自己重要數據之后初始化機器,來盡可能減少自身的損失。
只是個免費WiFi?快別傻了好了好了我啥都不干了,我連個WiFi逛逛淘寶總好了吧?在2015年的央視315晚會上,就找過一個戴著眼罩的工程師來現場演示如何通過公共WiFi獲取用戶手機的操作系統、正在運行的App等信息,甚至還可以獲取到用戶手機中存儲的郵箱、密碼等隱私信息:而今年的315晚會更是現場測試:連上一個免費WiFi后,只要打開消費類軟件,訂單和消費記錄統統被提取!包括你的電話號碼、家庭住址、身份證號碼、銀行卡號、甚至哪天幾時你看了一場什么電影……
這是怎么做到的?Moonwalker 網絡工程師:我們把數據包當做“信件”來看一下吧。張三喜歡用牛皮紙做信封、并且常用黑色鋼筆;李四喜歡用銅版紙做信封,常用藍色圓珠筆。如果我做了一個假郵筒,那么根據這些“特征碼”就可以大概判斷出是誰發送的信,也就是你在用什么操作系統、是哪些APP發送的數據。接下來就是如何截獲用戶名密碼,很多人設置客戶端郵箱時,都沒注意到這樣一個選項:“使用安全鏈接(SSL)”
.jpg)
本來,你發送的郵箱、用戶名、密碼甚至郵件內容,都是明文的。如果這樣一封信被投到了一個假的郵筒,那么假郵筒的擁有者就可以隨意查看你的信件內容了。但是張三和李四約定好一套加密方式:寫信的時候會把字母A替換成C,把字母B替換成Z等等,這樣別人看到的就是一堆亂碼了。而SSL就是一種更為復雜和安全的加密方式。
我們瀏覽網站的時候會看到有些網站是https:// 開頭的,而不是http:// ,這類網站就是使用了SSL加密技術(不過現在注重安全的網站都會升級為TLS,安全等級更高)。不過呢,把A替換成C,B替換成Z這樣寫起信來速度很慢,SSL也會導致速度變慢,所以有些網站會把網頁上部分重要內容使用SSL加密,部分內容使用明文傳輸。這是種折衷方法,但依然有被中間人攻擊篡改頁面、密碼被盜的風險~
選SSL就好了,是不是!有密碼就有解密手段,SSL也可以用sslstrip來破解,原理就是制作一個假的服務器證書來欺騙客戶端。
當然,瀏覽器也不傻,它們會給你彈出這樣一個警告:如果這是個惡意網站,而你又點了忽略……呵呵。普通用戶要怎么避免?
使用公共wifi的時候一定要注意,不要在http:// 開頭的網址上輸入密碼等信息!不要使用同一
