數據竊賊如何誘騙受害者?又該如何擊敗他們?
譯文隨你怎么說在數字領域胡作非為的竊取,不能否認的一點是,他們也算煞費苦心。畢竟,據韋里遜公司最近發布的《2016年數據泄密調查報告》聲稱,這些騙子繼續在成功地竊取數以百萬計的企業和個人數據及記錄,該報告去年分析了多達10萬起的數字安全事件。
雖然高科技騙術和狡猾的技術漏洞無疑被一些竊賊所采用,但韋里遜的報告表明,大多數竊賊依賴人類的基本弱點從事不法勾當。尤其是,報告研究的成功的數據泄密事件中有63%涉及弱密碼、默認密碼或被盜密碼,近三分之一的所謂的網絡釣魚郵件(見下文)實際上是由不知情的收件人打開的。傳達的這個信息很明確:你的數字世界比你想象的更容易受到攻擊。然而令人鼓舞的是,保護自己也遠比你想象的來得容易。
網絡釣魚:騙子們的慣用招術
一個動機強烈的竊賊可能有眾多方法企圖訪問你的數據,可能會運用眾多的手段,比如信用卡詐騙、身份竊取、稅務欺騙和直接盜取銀行賬戶等等。但是正如韋里遜的報告顯示,屢試不爽的方法仍然是網絡釣魚攻擊。
雖然有幾個種類,但網絡釣魚攻擊基本上就是竊賊偽裝成友好的或可靠的一方,或者借助專業人士所說的社會工程學伎倆,企圖獲取敏感的個人信息,比如用戶名和密碼。
攻擊通常以電子郵件這種方式進入,該郵件貌似來自你熟悉的某家公司或某個人發來的:你的銀行、Facebook或你的電子郵件提供商。電子郵件的內容可能說,你需要更新密碼,或者你的帳戶已被攻入,需要更新或者采取另外某種緊急的、似乎完美的措施,還附有一個鏈接,你應該點擊該鏈接來解決這個問題。
這時候麻煩隨之而來。這個鏈接會把你帶到看起來一樣的假冒網站,你在上面輸入用戶名和密碼后,竊賊現在立即可以訪問你交出的任何帳戶,無論是活期存款賬戶,還是Gmail地址。一種不大常見的情形是,鏈接可能改而促使你的設備企圖下載和安裝某種惡意軟件,惡意軟件同樣會大搞破壞――它可能從你的電腦竊取數據,記錄你的擊鍵內容,或者被用于發動拒絕服務攻擊,不一而足。
韋里遜的報告明確指出,這些攻擊已變得非常狡猾,因而非常成功。韋里遜在一次旨在分析效果的試驗中發現,大約三分之一的收件人實際上打開了網絡釣魚郵件,大約12%實際上點擊了郵件里面所附的鏈接――整個過程平均用時不到兩分鐘。(相比之下,直接郵件或垃圾郵件被認為大獲成功,但它得到的點擊率也只有4.4%)。幸好,如果你知道要尋找什么的話,像這樣的網絡釣魚攻擊很容易挫敗;請點擊這里(https://blogs.mcafee.com/consumer/spot-phishy-email/),可以大致了解如何發現并避免網絡釣魚攻擊。
如何判斷你已經被釣
不像龐大的公司企業,你可能沒有一個專設的IT部門每天24小時地工作,確保技術系統順暢運作、解決任何安全問題。這就意味著你得密切關注自己的數字領域。正如韋里遜的報告著重表明的那樣,這往往說起來容易做起來難。雖然90%以上的數據泄密事件在幾分鐘就得逞,但大多數好幾周、甚至好幾個月都沒有被發現。
對于個人來說,需要留意幾個蛛絲馬跡,它們可能表明你已經被釣,需要采取行動。
密切關注你所有賬戶上的每月交易,如果你的生活方式允許的話,可以考慮設置較低的交易限額。要是覺得哪里不對勁,就要趕緊向銀行機構反映情況。信用凍結并非萬無一失,卻是值得考慮采用的另一道防線。
同樣,竊賊覬覦的絕不僅僅是你的銀行密碼,他們已意識到可以利用社交網絡消息,誘騙其他的潛在受害者。正因為如此,要留意在你時間線(timeline)中的帖子,或者你并沒有編寫的直送短信。
請注意,雖然上述可能預示著你已經被釣,它也可能表明你的電子郵件帳戶受到了危及,這種情況通常不是那么可怕。
清除騙子:如何收拾殘局?
一旦你發現自己成了詭計的受害者,實際上會很麻煩,但你并非沒得救了。第一步是在電腦上運行反病毒掃描,確保沒在使用被感染的電腦。
一旦你確定電腦干凈,隨后進入到平常使用的所有網站和服務,尤其是金融和社交類網站和服務,還有電子郵箱,將原密碼改成安全的新密碼。(點擊此處:https://blogs.mcafee.com/consumer/5-tips-for-changing-passwords-post-heartbleed/,即可查看關于如何創建真正安全的密碼的技巧。)但愿這會盡量減小惡意的網絡釣魚者所能引起的破壞。
聯系你的財務帳戶,提醒他們留意異常交易;可能的話,就要通過電話或短信通知對方。
最后,進入到你的所有訂閱服務,比如iTunes、Google Play和Netflix等,鎖定設備,然后設置一個新密碼。這樣一來,任何人都無權使用你的帳戶來進行購買,并迫使他們重新登錄才能獲得訪問權。
不用說,為了確保基本的安全,更新設備的軟件至關重要,這意味著已知的安全漏洞已被堵住,當然運行反病毒軟件也很重要。不過除此之外,對付網絡釣魚最有效的保護措施也是如今最珍貴的資產之一:常識。不管電子郵件是誰發來的,都不要輕易點擊電子郵件中的鏈接――而是剪切粘貼到Web瀏覽器,并認真閱讀地址。要是覺得是可疑郵件,它很可能就是。
原文標題:How data thieves hook victims — and how to beat them
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
