网络安全意识
网络安全 2021-08-10 20:27www.168986.cn网络安全知识
我最近是在小白圈疯狂地逛,忽然发现,在这个网络安全的意识上啊,太多人都是小白了,所以我就去了解了一下,整理出这么一篇文章来...
目录
对黑客的误解
盗号是很难的
钓鱼网站是啥
木马程序是啥
嗅探技术是啥
最重要的社工
密码泄露之后
密码设置技巧
文章很长,算是科普文吧,希望大家好好看看,我觉得是有帮助的。因为首先,现在很多人对技术本身是不了解的,他也很难知道,我随手点开的一个网站究竟意味着什么。所以很容易出现啥都不知道就莫名其妙的信息被侵犯,要不就是同样啥都不知道,但是很小心,哎,啥都不干,拿着几千块的手机、上万块的电脑,看看剧,聊聊天,这样...安全确实是安全倒是。
对黑客的误解
所谓对黑客的误解其实就是对黑客的神化,就好像黑客无处不在的渗透在生活的方方面面。可不至于噢,兄弟该起床了。
醒醒吧,真靠技术的骗子能有几个,真有技术的谁在乎那几块钱?
对不对?电影里都是假的,一行代码入侵一个公司也是不现实的。
你道听途说的那些大多数是骗子的手段,就是忽悠你,让你信,骗走你的信息顺便再整点钱,就是这么回事。
而且黑客也并不是万能的,不可能什么条件都没有就随随便便几行代码把你电脑干瘫痪,你觉得存在吗?
黑客攻击是需要条件的:两种,一种是针对系统,一种是针对你这个人。
要不然就是把微软拿下,从此在Windows的世界里横着走。
要不就是对你下手,就是目录里提到的钓鱼网站、木马程序之类的。
假如你能识别一下,再加上你一不小心还知道点知识,那被骗是基本不太可能的了。而且你觉得那种写钓鱼网站的算黑客吗?那就是弟弟,技术要求根本不高,大多数是结合着花言巧语才能骗到你。
总之就是,黑客没你想的那么牛逼,就算真的很牛逼,人家不会搭理你,就这么点事。
盗号是很难的
同样的还是那个道理。你遇到的骗子根本不是技术大牛,真正的黑客肯定是很稀有的,人家根本不会搭理咱们这些平民(不信你去搜搜,历史那些牛逼黑客做的事),所以只要明确了这一点,你就不仅可以站在道德的制高点鄙视他,你还可以站在技术的制高点鄙视他。
天地之间有杆秤啊~
那么说说盗号到底要怎么操作呢(因为我也没有这技术,你也别以为继续看能学会盗号),依然是两种,不然就是黑掉公司,拿下数据库,不然就是很低级的,简单来说就是骗。
但是假如真的有能拿下大公司(BAT)数据库的实力,靠这个获取到个人信息...这个是不太现实的。因为包括BAT、银行之类的,密码存到数据库中,不是直接存的,是加密过的。就算真的有人拿下了数据库,也不代表能知道你的密码。所以说这种方法来盗号,技术难度非常大,等价于不可能。
但是骗你就想对简单了,严格意义上来讲,骗你不算是盗号,基本是诱导你,让你亲手把账号密码提交给人家,顺手再换个绑。
他们的手段基本就是钓鱼网站
钓鱼网站是啥
钓鱼网站就是就是骗子自己写的网站,主要路数也就是仿造一些英雄联盟、王者荣耀的抽奖,要不就是游戏交易的网站,之类的
这些网站基本的原理就是,你在网站领奖或者交易游戏的时候,会填写你的账号密码,一旦点击了提交,你的信息就会上传到服务器,人家就获取到了
简单理解为就是,人家问你要账号密码,你就直接给人家了
他们的套路就是这样,我就遇到过。之前玩一个手游,有的人就在世界发言里疯狂发“收个号玩玩之类的”,然后他们会私下加你,和你说走平台交易,告诉你是什么平台,但是会说明是一个新兴的平台,安全性可以有保障,可以放心。然后在那里就是让你填写账户信息(大致走一下那些真正的平台的流程),最后来个人工客服,也不知道是咋弄的,就显示钱在交易中,你换个绑就到账,直接骗了不少人(当然不包括我)。
这个要怎么防范呢,毕竟骗子包装的相当好,花言巧语的。
学会识别钓鱼网站。钓鱼网站一般看域名就可以了,比如知乎,域名不管怎么样至少有zhihu这几个字母啊,假如是王者荣耀官方的抽奖活动,域名至少包括qq啊。当你知道是钓鱼网站了,那就不填就好了。
来历不明的链接就要注意一下。这里要说一个大家一直很担心的事情,就是害怕链接点击之后被盗号,中病毒之类的,这个我查过了,是不会的。陌生链接是可以点击的,只是不要随意填写信息就可以了。
使用关联登录也就是电脑登录QQ之后,点击头像登录,这样不管是不是钓鱼网站,都没事了。或者是你知道是假的,你也可以乱填,QQ填正确的,密码填错的,让他们多忙活一会儿,嘻嘻
可以点击网站顶部或者底部一些“关于我们”之类的,这样如果是钓鱼网站也是可以一眼就看出来的
木马程序是啥
木马程序在手机电脑都是存在的,这个技术要求相对要高,在骗子惯用的手段中,假如说钓鱼网站占80%的话,那剩下的20%得有15%用的是木马程序。如果非要把木马和我们平时说的病毒做个区分的话,大概是这个样子的。广义上来讲病毒包括木马和狭义上的病毒。而狭义上的病毒就是祸害我们的电脑手机用的,是有害的;而木马可以理解为没有直接的祸害电脑手机,更多的监控和利用你的电脑。
木马程序各种各样,干啥的都有。之前稍微有点知名度的就是“键盘记录器”,就是记录你键盘上按了哪些键用的,会在指定的一个盘见一个文件夹,储存按键记录,然后在你联网的时候,定期用邮件发给自己。作用不大
还有一个是手机上的,叫“短信拦截”那种的软件,这个很恐怖。会拦截你的短信,真中了基本上信息就全暴露。他们随便弄个忘记密码之类的,系统发的验证码,他们拦截之后获取。这样基本什么都交代了。
比如前段时间我练习的时候,(练习的技术难度比较低)弄得小马放到虚拟机里,那台虚拟机就完全被我控制了,我可以用他的做任何事。而假如是病毒的话,就不是为了控制,可能会有一些勒索病毒,或者那种疯狂占用CPU之类的。我个人觉得不管是病毒还是木马,反正都是为了搞你,没必要分的那么细…
而且现在病毒库都是一直在更新的,安个火绒能解决绝大部分问题,那极少部分就是在病毒库还没更新,有人就利用你没更新的那部分,成功绕过了检测。不过概率不大,一般不管他怎么加壳加花,都没用。
那怎么防范呢
根源上就是下载软件尽量去官网,或者一些正规的网站。什么是正规的网站的,基本大公司的都挺正规,什么腾讯软件中心,这个可以说很良心,软件也挺全的
再有就是安装杀毒软件了,小白玩家推荐360,因为360火。平常的我是推荐火绒。当然高端玩家,可能会选择在根源上解决,不用杀毒软件,那他们愿意咋着就咋着,和我关系也不大
嗅探技术是啥
嗅探技术,哎呀,这个嗅探和你平时看盗版,用那些解析软件里的嗅探可不一样。那种的可能就是嗅探到key之后解析掉那个视频,你就可以不开会员看视频了。但是这里的嗅探可不是为了看视频,是为了你的信息。
防嗅探,就是防内鬼。
怎么说?
因为嗅探是在局域网中操作的,什么是局域网呢,就比如说你们家或者公司连的宽带,好几台电脑电视用,这些设备就是出于统一局域网,还有最常见的WiFi,就是局域网,你连上了WiFi就处在局域网中。
嗅探技术就是在这些内网中操作的,嗅探技术可以监听密码,如果密码是加密的也没关系,是可以破解的。所以这个是真的有点厉害,技术要求也比较高。
如何防范:
不使用免费WiFi。假如你真急用又没网,那你可以想一下,自己是不是真的很急,没准多想一会儿就有网了呢...开个玩笑,尽量不要用免费的WiFi,因为在内网里秀你能秀死你。可能在大街上的免费WiFi是一个黑客放的,可能你新到的公司里有懂技术的同事,这些都是隐患,总之要小心一点。实在没办法了,在那种网络环境中聊聊天问题倒是不大
不要在不安全的网络环境下支付
家里的WiFi密码设置尽量复杂些。防止别人连上你家的WiFi,然后秀你一脸。其实现在大多数路由器都可以手机控制,有人蹭网直接拉黑就好了,或者平时家里人连上WiFi之后,就把WiFi隐藏
怎么样?是不是没想到还有这种被秀的方式。大家不要慌,这种技术要求高,不是很常见,只是平时注意提防就可以。另外就是那些比较危险的环境(聊天除外),比如支付宝什么的,都是有检测的,想被搞都是很难的。再啰嗦就还是那句话,真靠技术搞你的没有,都是骗你让你们自己交出账号密码…这个,就是社工!
最重要的社工
之前说的那些基本上是在和机器争斗,大多数是很好识别,并且也很好防范
这个社工啊,就是最恶心的,大多数人在互联网被骗也都是因为这个
所谓社工指的就是“黑客社会工程学”,想具体了解的可以去百度,大概可以理解为是有技术地骗人,之前的钓鱼网站就是一个活生生的例子。但是这门学科远远不只有网络诈骗这一条路,其高深程度我都有点不想去了解了,各种各样啊,为了你的信息,你的钱,不择手段。还有大家熟悉的人肉,都是这个范畴。
比如说你的熟人,知道你的各种信息,然后账号申诉,你那些密保问题他能答满分;比如说试你的密码,cbq19991122之类的;比如说之前说的结合钓鱼网站,忽悠你个底朝天;太多太多,但其实说白了就是通过你的已知不断的获取未知,最后得到你全部信息。这个未知到已知的过程,就是他忽悠你,人肉你的过程。想了解更多,请自行搜索“黑客工程案例”...
这个可以说真的是现在最常见的了,大家不嫌麻烦的话,真的可以去百度一下案列,长点心眼。甚至还有些书专门写这个的,根据需要甚至可以研究研究,但是看之前保证看完之后不出去行骗就行。
另外除了这种不轻易相信人,不对技术抱有幻觉之外,有一点就是,不要随便给别人发原图!
因为假如,你手机的相机打开了记录位置的功能
就像这样
然后又给别人发原图的话,会是这样的
根据海拔是可以推断你具体位置,根据高度甚至可以推测你在几楼。
在手机上,可以找到照片的详细信息,就可以看见了
没错我是在西南民大,告诉你们了也无所谓...
但后来我发现,大多数手机这个功能都是关闭的…WTF!
防范的方法呢:
不要轻信别人、不要贪图小便宜
不要用生日、手机号之类的作为自己的密码
很多地方可以不用自己的真实信息,比如一些只用一次的网站但却要求注册账号
尽可能少的留下自己的痕迹
不做违法的事(防人肉,毕竟我不犯人,人就不犯我)
不要给别人发原图
密码泄露之后
假如是QQ啥的被盗了之后,大家应该知道怎么做啊,申诉之类的都可以啊。
一些其他的就找客服我给你说,你出现的问题其他人早出现过了,肯定有客服是负责这个的,放心吧
如果没有,证明那是个垃圾公司,那那个账号不要也罢。
那有人说,号会被盗,岂不是很不安全。这个也可以放心,就像一些公司的程序员卖数据或者真的被黑客攻击,那些密码也是加密的,都是密文。公司管理员有权限,他也看不见你的密码。假如你的密码稍微复杂一点,基本就是破解不了的了。所以还是只要你不亲自交出去,基本可以认为是安全的。
之前网易出现过一次这样的事件,泄露了52g还是5.2g的用户邮箱和密码来着,忘记了。反正当时网上就有那些网站,说你填一下邮箱和密码,看你的泄露了没有。他本来是破解不了你的密码的,当时你这么一提交,你觉得他这次能不能知道你的密码了呢?
其实还是那句话,真正靠技术拿到你信息的,没几个。都是类似于这种,等价于披着互联网外衣的纯人工骗局,大家不要被虎到,里边没有很多的技术可言,稍微了解一下就可以识破了。
假如你你把你的账号密码提交了,或者真的被他暴力破解了,那么你的密码就有可能被用于撞库,就是拿着你这个密码,去测试你各种账号,没准就能试出来。他们为了一个账号,真的可以去不停的试...
那应该怎么设置密码才能更安全一点呢
密码设置技巧
首先 应该明确一点,重要的账号设置的认真一点,那些不是很重要的账号,随便设一个就可以了
另外 这里提供一些密码设置方法:
我觉得没什么必要,因为我才思学浅,实在想不出来新密码了。另外老是换容易忘...但是如果你记性好或者有经常换密码的习惯,那还是换比较好,因为确实对账户安全有所提高。
这也就差不多分享完了,单说几个比较重要的:
不管咋样,只要提到钱,基本就是骗子
不管咋样,只要和你要验证码的,就是骗子。要钱不能给,要验证码更不能给,验证码远比你想的重要的多
不要贪小便宜,不要动歪脑筋,遇到问题多想想
尽量学习一点电脑方面的知识。如果不学也没关系,还是记住我反复说的那句话,真正靠技术获取你的信息的没几个,大多数都是“社工”。当你知道他们那些人并没有什么技术,是不是在遇到什么链接就敢点了啊,平时也不用蹑手蹑脚的了
尽量少填个人信息,能填假的就填假的,能不填就不填
遇到问题,多百度,多知乎,多问问明白的人
遇到来路不明的东西,确实要小心。但是不要因此什么都不敢做
上一篇:网络信息安全类专业就业前景相当乐观
下一篇:网络安全教育