本文以從事網(wǎng)絡(luò)安全多年的角度來(lái)看,總結(jié)一些常見(jiàn)的網(wǎng)絡(luò)安全對(duì)應(yīng)策略分析,當(dāng)然如果有一些概念錯(cuò)誤或其他誤導(dǎo)。歡迎大家指正。先說(shuō)一些錯(cuò)誤的概念:
1.對(duì)于企業(yè)而言,信息安全是技術(shù)人員的工作。
普通員工如果不注重安全很容易被突破。內(nèi)網(wǎng)安全往往是由非技術(shù)人員的疏忽造成的。
某巨頭互聯(lián)網(wǎng)公司內(nèi)網(wǎng)曾因某員工不安全的電腦導(dǎo)致ARP欺騙,導(dǎo)致內(nèi)網(wǎng)dns解析遭受感染,在內(nèi)網(wǎng)正常電腦的正常用戶(hù)的訪問(wèn)本公司網(wǎng)址居然被轉(zhuǎn)移到木馬網(wǎng)址。.
某信息安全上市公司因銷(xiāo)售人員安全意識(shí)淡泊個(gè)人電腦被入侵,導(dǎo)致內(nèi)網(wǎng)穿透,信息泄露很久后被發(fā)現(xiàn)。全員信息安全意識(shí)培訓(xùn)非常重要。
2.良好的上網(wǎng)習(xí)慣,不亂下文件,不點(diǎn)開(kāi)奇怪的文件,不上奇怪的網(wǎng)站,個(gè)人電腦就不會(huì)中病毒。
裸奔有理的論調(diào)特別流行,15年前,從尼姆達(dá)病毒起,病毒和木馬就已經(jīng)具有了主動(dòng)攻擊性,他們根本不需要你點(diǎn)擊和打開(kāi),會(huì)主動(dòng)在網(wǎng)段內(nèi)掃描和入侵有缺陷的主機(jī)。
3.裝好殺毒軟件,打好補(bǔ)丁,就不會(huì)被入侵被黑掉。
0day攻擊可以輕松穿透殺毒軟件和打好最新補(bǔ)丁的系統(tǒng)。
解釋一下0day:我們知道每隔一段時(shí)間,微軟,蘋(píng)果或其他系統(tǒng)廠商都會(huì)公布安全漏洞,發(fā)布安全補(bǔ)丁,然后用戶(hù)就會(huì)及時(shí)打補(bǔ)丁防止被入侵,那么我們想一個(gè)簡(jiǎn)單的問(wèn)題,
這個(gè)漏洞是系統(tǒng)廠商公布的時(shí)候才出現(xiàn)的么?
在漏洞被系統(tǒng)廠商發(fā)現(xiàn)之前請(qǐng)問(wèn)誰(shuí)能防止基于這個(gè)漏洞的攻擊?.
很遺憾,事實(shí),就是,沒(méi)有,所以,在安全漏洞沒(méi)有被系統(tǒng)廠商發(fā)現(xiàn),或者被發(fā)現(xiàn)但安全補(bǔ)丁沒(méi)有發(fā)布之前,這段時(shí)間,基于這個(gè)安全漏洞的攻擊,就統(tǒng)稱(chēng)為0day,所以0day實(shí)際上不是一種技術(shù)形式,而是一種時(shí)間的概念,未公開(kāi)的漏洞是廣泛的,長(zhǎng)期存在的。
有一種說(shuō)法叫做長(zhǎng)老漏洞,什么是長(zhǎng)老漏洞呢?比如說(shuō)有款微軟的操作系統(tǒng)漏洞,當(dāng)微軟發(fā)現(xiàn)這個(gè)漏洞的時(shí)候,其存在時(shí)間已經(jīng)超過(guò)了10年。那么,這十年是否一直沒(méi)有被人發(fā)現(xiàn)呢?很遺憾,只是沒(méi)有被微軟發(fā)現(xiàn)而已,在某些技術(shù)高手手里,這是一個(gè)通殺的入侵工具,想想可怕不。
那么,誰(shuí)手里有0day呢,第一,各國(guó)軍方,美國(guó)有,中國(guó)也有,俄羅斯有,以色列有,韓國(guó)有,日本也會(huì)有。第二,各大安全公司。
有人會(huì)說(shuō),安全公司不是要講操守,發(fā)現(xiàn)漏洞不是應(yīng)該公告么?有些會(huì)公告,有些不會(huì),為什么不會(huì)呢?因?yàn)橛袝r(shí)候需要,比如說(shuō),兩個(gè)安全公司去搶一個(gè)軍方的訂單,軍方說(shuō)了,你來(lái)檢測(cè)一下我的系統(tǒng),給我一個(gè)報(bào)告吧,如果你手里沒(méi)有0day,你可能就競(jìng)爭(zhēng)不過(guò)手里有0day的同行。
你對(duì)手拿到了人家服務(wù)器的權(quán)限你沒(méi)拿到,你不就丟單了么,你說(shuō)其實(shí)你漏洞挖掘比對(duì)手強(qiáng),不過(guò)你都公告了(你公告了系統(tǒng)廠商就有補(bǔ)丁了,有補(bǔ)丁了人家軍方的運(yùn)維也不是吃閑飯的,早就補(bǔ)了,明白這個(gè)邏輯不。),你看微軟,google給你一沓感謝信呢,你想想軍方領(lǐng)導(dǎo)人怎么想,尼瑪另一家隨時(shí)可以入侵我,而你不能,你讓我跟你合作,我傻啊。
第三,很不幸,一些個(gè)人高手和黑產(chǎn)手里也有,存在0day交易的地下黑市,簡(jiǎn)單說(shuō)個(gè)數(shù)字概念,比如微軟給TK教主發(fā)現(xiàn)的漏洞和利用方法發(fā)獎(jiǎng)金,10萬(wàn)美元,大家覺(jué)得了不起,這是TK教主比較有操守,如果這個(gè)漏洞放到黑產(chǎn)的地下黑市里,100萬(wàn)美金都可以賣(mài)掉你信不信。
一個(gè)高危漏洞,在黑產(chǎn)手里的話(huà),其價(jià)值是極為巨大的,很多人讓我寫(xiě)寫(xiě)黑產(chǎn),但我不敢,實(shí)話(huà)說(shuō),我惹不起他們。我不敢寫(xiě)黑產(chǎn)。寫(xiě)黑產(chǎn)我互聯(lián)網(wǎng)的業(yè)務(wù)不要碰了。
那么問(wèn)題來(lái)了,為什么系統(tǒng)廠商不給很高的獎(jiǎng)金去獎(jiǎng)勵(lì)安全專(zhuān)家呢?而讓漏洞流向黑產(chǎn)?這里還真不是錢(qián)的問(wèn)題,而是存在一個(gè)悖論,如果系統(tǒng)廠商,對(duì)漏洞的獎(jiǎng)勵(lì)過(guò)高,會(huì)存在一個(gè)管理風(fēng)險(xiǎn),如果獎(jiǎng)金激勵(lì)太大,那么系統(tǒng)廠商的開(kāi)發(fā)工程師真有可能會(huì)故意留一些看上去很不小心的問(wèn)題點(diǎn),然后將這個(gè)問(wèn)題點(diǎn)泄露給第三方的安全專(zhuān)家,分享獎(jiǎng)金。所以,很多時(shí)候,利弊權(quán)衡,并不能只看一面。
解釋一下,漏洞挖掘什么叫漏洞挖掘,就是針對(duì)某個(gè)系統(tǒng),某個(gè)應(yīng)用,去分析其弱點(diǎn)并挖掘其可被利用的漏洞,其結(jié)果又分為高危漏洞和低危漏洞,高危一般是可以取得系統(tǒng)控制權(quán),或者利用系統(tǒng)執(zhí)行一些危險(xiǎn)的操作。低危往往是可能導(dǎo)致系統(tǒng)不穩(wěn)定,或者存在一些非機(jī)密信息泄露的可能。
發(fā)現(xiàn)漏洞和找到漏洞利用方法是兩個(gè)步驟。
有的時(shí)候安全專(zhuān)家發(fā)現(xiàn)一個(gè)可能?chē)?yán)重的漏洞,比如一個(gè)權(quán)限很高系統(tǒng)服務(wù)在一個(gè)偏僻的系統(tǒng)調(diào)用處存在一個(gè)溢出點(diǎn)。但這時(shí)只能說(shuō)這可能是一個(gè)高危漏洞,有時(shí)候系統(tǒng)廠商會(huì)認(rèn)為這個(gè)漏洞無(wú)法利用,當(dāng)作低危漏洞來(lái)處理,這種情況以前很常見(jiàn),但一旦找到漏洞利用方法,這才是實(shí)現(xiàn)一個(gè)完美的漏洞挖掘。所以微軟很多對(duì)安全專(zhuān)家的重獎(jiǎng)不是因?yàn)榘l(fā)現(xiàn)了一個(gè)漏洞,而是提供了一個(gè)非常巧妙的漏洞利用方法。所以公眾可能理解黑客是黑掉一個(gè)網(wǎng)站,或者黑掉一個(gè)賬戶(hù),而漏洞挖掘不是這樣的概念,一旦發(fā)現(xiàn)一個(gè)高危漏洞,比如說(shuō),發(fā)現(xiàn)微軟操作系統(tǒng)的高危漏洞,可能所有這個(gè)版本的用戶(hù)的電腦都可以被入侵,比如說(shuō)發(fā)現(xiàn)mysql數(shù)據(jù)庫(kù)的一個(gè)高危漏洞,可能所有使用mysql數(shù)據(jù)庫(kù)服務(wù)并且存在外網(wǎng)訪問(wèn)接口的都可能被入侵。
所以漏洞挖掘的高手,他們并不是針對(duì)特定網(wǎng)站,特別目標(biāo)去分析,他們的目標(biāo)是主流的系統(tǒng)和應(yīng)用。然后一旦有所成就,幾乎就等于手里掌握了可以橫掃互聯(lián)網(wǎng)的核武器。在這種情況下,你去說(shuō)黑掉幾個(gè)網(wǎng)站了不起,人家就只能呵呵了。
攻擊應(yīng)對(duì)策略:暫無(wú)。不過(guò)也不用過(guò)于緊張,如果你不是特別特別有價(jià)值的目標(biāo),一般人不會(huì)用0day對(duì)付你?;ヂ?lián)網(wǎng)上有一次經(jīng)典的0day攻擊事件,被一個(gè)商業(yè)安全公司捅出來(lái)的,目標(biāo)直指伊朗核設(shè)施,實(shí)施者是誰(shuí)你猜猜看?
4.我輸入可信的網(wǎng)站地址,訪問(wèn)的網(wǎng)站一定是安全的
錯(cuò),DNS劫持可能讓你即便輸入了正確的網(wǎng)址,也會(huì)進(jìn)入錯(cuò)誤的網(wǎng)站。
DNS劫持是一種常見(jiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn),但其實(shí)這里并不只有一種攻擊途徑,有很多途徑可以劫持。從你的主機(jī)開(kāi)始,病毒木馬可能會(huì)改寫(xiě)你的電腦的host文件,或者改寫(xiě)瀏覽器的鉤子,導(dǎo)致你訪問(wèn)的目標(biāo)網(wǎng)址被導(dǎo)向其控制者的手里。如果你的主機(jī)是安全的,不能保證你鄰居會(huì)不會(huì)用arp欺騙來(lái)干擾你。
這里說(shuō)句公道話(huà),arp欺騙曾經(jīng)猖獗一時(shí),對(duì)網(wǎng)民上網(wǎng)帶來(lái)的傷害特別大,改寫(xiě)host和瀏覽器掛鉤子也曾是中國(guó)互聯(lián)網(wǎng)常見(jiàn)的毒瘤,360崛起后這些東西從某種角度基本上沒(méi)有了(其實(shí)還有,一會(huì)說(shuō)),我知道很多人討厭360,但這個(gè)事實(shí)還是必須承認(rèn)的,
當(dāng)然,3721是瀏覽器鉤子的鼻祖。你的鄰居也安全,你訪問(wèn)的就安全了?你上網(wǎng)是不是默認(rèn)配置dns的,電信接入商耍流氓在中國(guó)太普遍了。那么你強(qiáng)設(shè)了可信任的dns,你訪問(wèn)網(wǎng)址就安全了?GFW的能力相信大部分人并不真正了解,為了本站的合法運(yùn)營(yíng),此處忽略多個(gè)案例。
剛才說(shuō)道,某種程度上,瀏覽器鉤子和劫持不常見(jiàn)了,但不是真的沒(méi)有了,只是特別惡意的基本被遏制了,但是依然有一種常見(jiàn)的,而且極具中國(guó)特色的,大家見(jiàn)怪不怪早就習(xí)慣的劫持行為,你們?nèi)绻褂胕e瀏覽器,輸入錯(cuò)誤網(wǎng)址或文字的時(shí)候,按照正常邏輯,應(yīng)該是跳轉(zhuǎn)到bing的搜索頁(yè),早前應(yīng)該是msn的搜索頁(yè),但是很遺憾,在中國(guó)你幾乎不可能看到這一幕,各種安全工具設(shè)置的瀏覽器鉤子早將這個(gè)訪問(wèn)劫持了,僥幸沒(méi)有劫持,也會(huì)被電信運(yùn)營(yíng)商劫持。
這就是我們最常見(jiàn)而又最麻木的dns劫持,這個(gè)原因是因?yàn)槔骀?,因?yàn)閷?duì)用戶(hù)體驗(yàn)來(lái)說(shuō)不是危害,所以沒(méi)人覺(jué)得不對(duì),不展開(kāi)了。
移動(dòng)互聯(lián)網(wǎng)還存在假基站的問(wèn)題,假基站在國(guó)內(nèi)目前也很猖獗,能不能劫持DNS我不是很明確,但是偽造來(lái)電號(hào)碼是穩(wěn)穩(wěn)的,今天我還看到朋友圈有人說(shuō)親戚收到移動(dòng)官方發(fā)來(lái)短信,點(diǎn)過(guò)去鏈接操作結(jié)果被詐騙了幾千元,投訴移動(dòng)沒(méi)有效果云云,我一看就是中了假基站的騙子短信。所以誤以為信息是官方發(fā)送的。移動(dòng)上網(wǎng)其實(shí)也是存在風(fēng)險(xiǎn)的。
此外,蹭免費(fèi)wifi也存在dns劫持風(fēng)險(xiǎn)。
5.百度,新浪這種公司是安全的,所以我在這里的帳號(hào)也是安全的。
錯(cuò)誤:彩虹庫(kù)和撞庫(kù)攻擊屢屢突破巨頭防線(xiàn)。
(1)解釋一下彩虹庫(kù),社工庫(kù)
還記得csdn爆庫(kù)事件么,很多很多很多論壇社區(qū)的用戶(hù)庫(kù)都被黑客入侵并拿到過(guò),有些是明文密碼的被黑客100%拿到帳號(hào)密碼,有些僅僅做了md5的被80%拿到,有些做了md5+md5的也差不多被80%拿到,除了做隨機(jī)salt的幾乎都被破的七七八八。(密碼加密時(shí)的加鹽(salt)是什么)
黑客們將彼此拿到的數(shù)據(jù)庫(kù)里的用戶(hù)名和密碼,合并在一起,就是社工庫(kù),也叫彩虹庫(kù)。這個(gè)庫(kù)的規(guī)模特別大,而且一直還在激增,實(shí)際上,社工庫(kù)的歷史特別的悠久,當(dāng)你從媒體上看到的時(shí)候,已經(jīng)流行了很多年了
(2)解釋一下,撞庫(kù)攻擊
由于很多用戶(hù)習(xí)慣在多個(gè)網(wǎng)站用同樣的帳號(hào)和密碼,所以一旦A網(wǎng)站的用戶(hù)密碼透露,有經(jīng)驗(yàn)的黑客會(huì)去嘗試用同樣的帳號(hào)密碼去b網(wǎng)站嘗試,這就是所謂撞庫(kù)攻擊,新浪也好,百度也好,很多巨頭都飽受撞庫(kù)攻擊的侵?jǐn)_,而且很多帳號(hào)密碼因此被泄露。
我在大約七八年前的時(shí)候一個(gè)安全圈的朋友曾把我百度的帳號(hào)密碼發(fā)給我,讓我趕緊去改密碼,我大吃一驚,以為百度的帳號(hào)系統(tǒng)被入侵,后來(lái)詢(xún)問(wèn)才知道是因?yàn)閷?duì)方通過(guò)社工庫(kù)拿了我的帳號(hào)密碼,隨便一試就發(fā)現(xiàn)其實(shí)我在很多網(wǎng)站用的同樣的密碼,包括百度。
應(yīng)對(duì)策略:不同網(wǎng)站密碼保持不同;或者對(duì)高安全需求的網(wǎng)站強(qiáng)化密碼。
6.我的密碼很復(fù)雜,別人一定不會(huì)破解
錯(cuò)誤,獲取你的權(quán)限,其實(shí)未必需要你的密碼,通過(guò)找回密碼來(lái)暴力破解的以前非常常見(jiàn)。
以前很多郵局都是有通過(guò)生日和回答問(wèn)題來(lái)重設(shè)密碼,通過(guò)程序暴力破解生日(最多5分鐘)+猜測(cè)問(wèn)題,是攻破很多小姑娘郵箱的絕招。
騰訊出過(guò)一個(gè)案例,以手機(jī)短信驗(yàn)證碼來(lái)重設(shè)密碼,但短信密碼只有4位數(shù)字,暴力破解只需要9999次,程序員輕松搞定。
應(yīng)對(duì)策略:驗(yàn)證碼,而且是變態(tài)的驗(yàn)證碼是防止程序暴力測(cè)試的重要方案。
SQL注入和跨站腳本是獲取用戶(hù)權(quán)限非常常見(jiàn)的攻擊方式,流行超過(guò)15年,至今仍然廣泛可用。)
其原理是程序員在編寫(xiě)程序中對(duì)用戶(hù)輸入或?yàn)g覽器傳遞參數(shù)校驗(yàn)不夠嚴(yán)謹(jǐn),黑客可以將可執(zhí)行代碼植入到正常的輸入或參數(shù)中,導(dǎo)致程序員的代碼被改寫(xiě),其中SQL注入是改寫(xiě)數(shù)據(jù)庫(kù)查詢(xún)腳本,跨站腳本是改寫(xiě)瀏覽器的可執(zhí)行腳本,但均可未授權(quán)獲得用戶(hù)身份并執(zhí)行危險(xiǎn)操作。很多巨頭在此跌過(guò)跟頭,至今不絕。
某知名安全論壇管理員曾因?yàn)檎搲绦虿粔驀?yán)謹(jǐn),被人用跨站腳本發(fā)帖拿走權(quán)限。
2000年左右的時(shí)候,SQL注入幾乎可以入侵一切用戶(hù)登錄系統(tǒng)?,F(xiàn)在情況好多了,但并未絕跡。
7.其他概念:
(1)嗅探偵聽(tīng)
互聯(lián)網(wǎng)數(shù)據(jù)傳輸會(huì)經(jīng)過(guò)很多設(shè)備,通過(guò)特定軟件截獲傳輸?shù)臄?shù)據(jù),可能會(huì)包括很多的敏感信息,包括不限于網(wǎng)站登錄的帳號(hào)密碼,郵件帳號(hào)密碼等等。
應(yīng)對(duì)策略:http是明文傳輸,https是加密傳輸,telnet是明文傳輸,ssh是加密傳輸,很多明文傳輸?shù)膮f(xié)議還有對(duì)應(yīng)加密傳輸?shù)膮f(xié)議,敏感的瀏覽和登錄行為盡可能使用加密傳輸方式。
當(dāng)然,加密傳輸也存在證書(shū)風(fēng)險(xiǎn),中間人攻擊,這是另外一個(gè)話(huà)題,所以還是要裝好的瀏覽器和安全工具,如果提示證書(shū)可能有問(wèn)題,還是要小心一點(diǎn)。(提示證書(shū)有問(wèn)題不代表一定有問(wèn)題,評(píng)估一下自己操作的敏感程度)
世界上最大的嗅探偵聽(tīng)都在政府手里,美國(guó)有棱鏡,中國(guó)有敏感詞。
(2)權(quán)限繞過(guò)
系統(tǒng)對(duì)權(quán)限的授權(quán)判斷不嚴(yán)謹(jǐn),被人繞過(guò)驗(yàn)證獲得權(quán)限。
說(shuō)個(gè)例子,好像是windows98吧,具體版本不記得了,出了一個(gè)中文輸入法權(quán)限繞過(guò)漏洞,理論上你必須輸入帳號(hào)和密碼才能進(jìn)入系統(tǒng),但是輸入帳號(hào)的時(shí)候可以調(diào)用輸入法,輸入法有個(gè)幫助選項(xiàng),打開(kāi)幫助找詞條可以點(diǎn)擊進(jìn)入瀏覽器,進(jìn)入瀏覽器后就可以直接輸入c:了,后面就一馬平川,你可以通過(guò)瀏覽器點(diǎn)開(kāi)cmd命令,然后命令行執(zhí)行任何操作,系統(tǒng)就完全在你掌控了。
從整個(gè)操作流程而言,幾乎沒(méi)什么技術(shù)含量,就是一個(gè)設(shè)計(jì)漏洞,系統(tǒng)驗(yàn)證就被繞過(guò)了。
(3)分布式拒絕服務(wù)攻擊
用超過(guò)系統(tǒng)承受能力的請(qǐng)求,流量導(dǎo)致目標(biāo)系統(tǒng)無(wú)法正常響應(yīng),實(shí)現(xiàn)攻擊效果。
這里也包括非常多類(lèi)型:
針對(duì)協(xié)議弱點(diǎn)的攻擊,比如syn flood。實(shí)施成本特別低,追溯難度極高,曾經(jīng)特別流行。
針對(duì)流量帶寬的攻擊針對(duì)應(yīng)用程序的計(jì)算資源的攻擊針對(duì)域名解析的攻擊,六省斷網(wǎng)事件就不用解釋了。;有段時(shí)間網(wǎng)易也被人打掛了半天,至今也沒(méi)個(gè)啥說(shuō)法出來(lái)。你去看夢(mèng)幻西游蘋(píng)果市場(chǎng)的暢銷(xiāo)榜,從沖榜到第一名開(kāi)始,夢(mèng)幻西游連續(xù)幾個(gè)多月一直是第一名,其中只有一天是第二名,就是那天,被人打掛了幾個(gè)小時(shí)。
目前黑產(chǎn)這個(gè)領(lǐng)域規(guī)模特別大,以攻擊威脅收保護(hù)費(fèi)是常見(jiàn)手段,據(jù)說(shuō)很多p2p金融公司都交過(guò)保護(hù)費(fèi)了。這個(gè)我也只能說(shuō)這么多,理由很簡(jiǎn)單,我真惹不起。
(4)緩沖區(qū)溢出
漏洞挖掘的一個(gè)重要幾乎領(lǐng)域,原理是因?yàn)槌绦蛑袑?duì)數(shù)據(jù)段的長(zhǎng)度判斷不夠嚴(yán)謹(jǐn),導(dǎo)致數(shù)據(jù)段超出內(nèi)存數(shù)據(jù)區(qū)間,從而覆蓋代碼執(zhí)行區(qū)間,如果數(shù)據(jù)中在溢出點(diǎn)處編寫(xiě)了精心設(shè)計(jì)的代碼,黑客的這部分代碼就會(huì)以相關(guān)服務(wù)程序的權(quán)限執(zhí)行,從而實(shí)現(xiàn)黑客目的。
大部分系統(tǒng)級(jí)別的高危漏洞來(lái)自于緩沖區(qū)溢出,蘋(píng)果越獄的某些版本技術(shù)似乎也來(lái)自于緩沖區(qū)溢出技術(shù)的實(shí)現(xiàn)。但因?yàn)檫@個(gè)太技術(shù)化,可能普通用戶(hù)理解起來(lái)會(huì)比較困難。
黑客入侵更多是一種思維方式,正常的程序員寫(xiě)程序是認(rèn)為用戶(hù)會(huì)正常請(qǐng)求和訪問(wèn)他的系統(tǒng),對(duì)異常的處理都是非常簡(jiǎn)單的,而黑客的想法是偽造各種不正常的請(qǐng)求,欺騙系統(tǒng),導(dǎo)致系統(tǒng)脫離其正常的執(zhí)行流程,從而獲得黑客所期望的結(jié)果,比如獲取權(quán)限,或獲取資料。
今天講這些以科普為主,面向感興趣的人員,技術(shù)名詞不展開(kāi),有興趣的可以去自行搜索。其他一些名詞如APT,我自己也不是能解釋得很清楚,也建議自行搜索。
電影里那些啪啦啪啦敲鍵盤(pán)試密碼的,都不是黑客,黑客沒(méi)那么SB。大部分入侵不需要去試密碼。需要試的人家用程序去撞庫(kù)。其他安全理念基于社交網(wǎng)絡(luò)和公開(kāi)信息,進(jìn)行詐騙的行為越來(lái)越常見(jiàn),
個(gè)人建議如下:
不要太頻繁暴露個(gè)人行蹤,特別是有錢(qián)階級(jí)。
不要過(guò)于頻繁暴露個(gè)人隱私。
對(duì)一些可疑的信息要做多次驗(yàn)證,特別是借錢(qián)信息,不是說(shuō)不信任朋友,而是你要小心你朋友可能被盜號(hào)了。很多人不在乎這個(gè),覺(jué)得自己安全意識(shí)很高,不怕人騙,你的親戚朋友呢?你的父母呢?
舉個(gè)例子:如果一個(gè)騙子,通過(guò)微博或微信朋友圈,知道你的行程,上飛機(jī)了,又知道航班晚點(diǎn)了,又知道你所在的公司和出行的目的,給你父母打電話(huà),說(shuō)是你同事,和你一起出差去哪里做什么,現(xiàn)在你出了車(chē)禍急需用錢(qián)進(jìn)手術(shù)室,你父母第一時(shí)間反應(yīng),給你打電話(huà),你在飛機(jī)上收不到,你父母又不知道航班晚點(diǎn)了,他們什么感覺(jué)?是不是會(huì)迫不及待的去給騙子付款!不要以為這樣的事情不會(huì)發(fā)生。我之前沒(méi)少在朋友圈得瑟商務(wù)艙的旅程,但是我絕對(duì)不會(huì)在飛機(jī)出發(fā)前發(fā)這些照片,而一定是落地后甚至一兩天后。如果你想炫耀一些行程,我建議,留一些時(shí)間差。
