“互联网+”蓬勃兴起,加速了信息在互联网上的流动,也加剧了商业信息、个人信息泄露和滥用等潜在风险。一套密码用到底,免费WiFi随时蹭,买充电宝图便宜……上海信息安全行业协会在每年数十场的社区网络安全“科普行”中发现,普通百姓特别是“中国大妈”“中国大爷”们的网络安全常识几乎是“零起点”,许多“习惯性错误”让本可绕开的网络不安全随时降临。
第二届国家网络安全信息周的大幕刚刚落下,请随记者一起请教网络安全专家,数数那些识别网络安全陷阱的方法你掌握了几条,那些不安全的上网习惯你又中了几条。
周女士旅游时“蹭”了一间饭店的免费WiFi登录QQ,结果手机中毒,不法分子盗用她的QQ号诈骗她的亲朋好友,险些令她蒙上不白之冤。
市信息安全综合管理协会会长、上海交通大学信息安全工程学院李建华教授解释,一些黑客在真正的免费WiFi热点旁架设一个与其相似、甚至一模一样的免费WiFi热点,引诱用户上钩,然后逐步控制移动终端,窃取个人信息,进而盗取财产。“用户一旦连上这样的WiFi,手机就如同‘不上锁的保险柜’一样任人肆意妄为。”
李建华提醒,老百姓在公共场合连接WiFi时应避免使用无需密码、陌生的WiFi,选择运营商等正规机构提供且需要手机号码验证的WiFi热点。在公共WiFi环境中尽量不登购物网站或网银、支付宝等可交易的平台,尽量不输入各类个人密码。如必须登录,则尽量使用3G或4G进行移动支付、网购或聊天。“一些手机网民为节约移动数据流量,安装破解WiFi密码的手机工具,实际上这类软件很可能正是窃取机主隐私数据的元凶。”
此外,许多用户使用公共免费WiFi后,没有在手机或电脑里删除该热点。网络黑客伪造这类“同名同姓”的WiFi热点,用户手机或电脑会默认进入该热点范围,主动连接。不知不觉中,智能终端就遭伪造WiFi接管,通信信息很容易被窃取。所以,连接过公共场合未加密的WiFi信号后,要在手机中及时删除,或设置为“忘记”。
密码长达16字符,结果支付宝却在一周内被转走30余万元,苏州的张先生正是因为多个网站使用同一个账号和密码,被不法分子“撞库”窃财。
“‘撞库’是新兴黑客方式——恶意黑客先攻击网游论坛等安全薄弱的网络平台,获取用户的账号(通常为邮箱和手机号码)和密码,再将这些信息与某个网络支付工具进行批量登录试验。一旦用户名和密码一致,撞库就能成功。”李建华说,接下来,不法分子只需要通过短信、网聊等方式诱导市民点击恶意网址,一个木马病毒就会趁机植入并窃取手机银行转账必须的短信验证码,从而完成盗刷。
事实上,网络“黑产”的发展已经是长长的产业链条,前端是痴迷技术的专业技术人员不停开发新的攻击、木马、钓鱼等黑客产品;后端是更多非法人员参与网络诈骗。面对越来越产业化、链条化的网络“黑产”,老百姓的网络安全好习惯,需从“加密”个人密码开始。除增加密码长度、使用复杂的语法以及特殊字符等,定期更改密码更有助于增强安全性。
上海信息安全行业协会副秘书长张凯建议,分级别管理个人密码。浏览网站时注册的账户和密码,一号到底也无大碍;事关网银、第三方支付工具等个人财产的密码,必须与前者不同,必须使用复杂强密码,且定期更换。所谓复杂强密码,即尽量不要使用那些常规数字符号或字典里现成词语的拼音,最好大小写字母、数字和符号搭配使用。为了防止密码忘记,不妨动动笔,记在家里的本子上。
充电宝很普通,插入USB充电线,不消三四分钟,手机竟然黑屏打不开了!上海市信息安全行业协会专委会副主任张威在一次科普活动中,曾演示过黑屏后手机自启动,从未离手的手机,就被他人操控了。
“这是因为智能手机的充电线也是数据线,若充电宝植入恶意代码,就会顺线传输,植入被充电手机,用户却毫无觉察。接下来,手机就成为黑客的囊中之物,或锁屏勒索,或窃取手机中的私人信息。”张威指出,类似的恶意攻击最早出现在网络电脑上,从2014年开始通过充电宝蔓延至手机。国外数据显示,70%的被击中用户只能不得不被“敲诈”。因此,用户购买充电宝时,一定要到正规商家处购买或者认准品牌,千万不要图便宜。
今年2月,深圳市发生一起特大电信诈骗案,常某在3个月内被诈骗分子使用境外改号电话冒充公检法人员,结合仿冒最高人民检察院的钓鱼网站,骗取常某1127万元。“以法院传票、信息泄露等为由,使用改号软件伪装政法机关办公电话冒充执法人员是老套路。”李建华说近来这类诈骗有了“新花头”——要求事主自己新开账户,然后再通过引诱登录钓鱼网站,通过木马远程控制盗走账户内资金。
因此,李建华提醒市民不要轻信任何来历不明的电话和短信,尤其是所谓公检法和运营商的400电话。李建华反复强调,任何信息中的陌生网址链接都切勿轻易点击。“一旦点击,就等于主动与犯罪分子建立了通道,很可能中‘聚会陷阱’病毒。这种病毒可以在后台模仿机主向手机联系人发送诈骗短信,所以即使是亲朋好友发来的短信中有陌生网址也不要打开,都可能是诈骗渠道。”此外,还可在手机端安装专业手机安全软件,拦截识别绝大多数诈骗电话和诈骗短信,并查杀木马病毒。
上一篇:共建网络安全,共享网络文明
下一篇:DDoS攻击飙升 目标直指云