数据窃贼如何诱骗受害者?又该如何击败他们?

译文
安全
虽然高科技骗术和狡猾的技术漏洞无疑被一些窃贼所采用,但韦里逊的报告表明,大多数窃贼依赖人类的基本弱点从事不法勾当。尤其是,报告研究的成功的数据泄密事件中有63%涉及弱密码、默认密码或被盗密码,近三分之一的所谓的网络钓鱼邮件实际上是由不知情的收件人打开的。

随你怎么说在数字领域胡作非为的窃取,不能否认的一点是,他们也算煞费苦心。毕竟,据韦里逊公司最近发布的《2016年数据泄密调查报告》声称,这些骗子继续在成功地窃取数以百万计的企业和个人数据及记录,该报告去年分析了多达10万起的数字安全事件。

[[167973]]

虽然高科技骗术和狡猾的技术漏洞无疑被一些窃贼所采用,但韦里逊的报告表明,大多数窃贼依赖人类的基本弱点从事不法勾当。尤其是,报告研究的成功的数据泄密事件中有63%涉及弱密码、默认密码或被盗密码,近三分之一的所谓的网络钓鱼邮件(见下​​文)实际上是由不知情的收件人打开的。传达的这个信息很明确:你的数字世界比你想象的更容易受到攻击。然而令人鼓舞的是,保护自己也远比你想象的来得容易。

网络钓鱼:骗子们的惯用招术

一个动机强烈的窃贼可能有众多方法企图访问你的数据,可能会运用众多的手段,比如信用卡诈骗、身份窃取、税务欺骗和直接盗取银行账户等等。但是正如韦里逊的报告显示,屡试不爽的方法仍然是网络钓鱼攻击。

虽然有几个种类,但网络钓鱼攻击基本上就是窃贼伪装成友好的或可靠的一方,或者借助专业人士所说的社会工程学伎俩,企图获取敏感的个人信息,比如用户名和密码。

攻击通常以电子邮件这种方式进入,该邮件貌似来自你熟悉的某家公司或某个人发来的:你的银行、Facebook或你的电子邮件提供商。电子邮件的内容可能说,你需要更新密码,或者你的帐户已被攻入,需要更新或者采取另外某种紧急的、似乎完美的措施,还附有一个链接,你应该点击该链接来解决这个问题。

这时候麻烦随之而来。这个链接会把你带到看起来一样的假冒网站,你在上面输入用户名和密码后,窃贼现在立即可以访问你交出的任何帐户,无论是活期存款账户,还是Gmail地址。一种不大常见的情形是,链接可能改而促使你的设备企图下载和安装某种恶意软件,恶意软件同样会大搞破坏――它可能从你的电脑窃取数据,记录你的击键内容,或者被用于发动拒绝服务攻击,不一而足。

韦里逊的报告明确指出,这些攻击已变得非常狡猾,因而非常成功。韦里逊在一次旨在分析效果的试验中发现,大约三分之一的收件人实际上打开了网络钓鱼邮件,大约12%实际上点击了邮件里面所附的链接――整个过程平均用时不到两分钟。(相比之下,直接邮件或垃圾邮件被认为大获成功,但它得到的点击率也只有4.4%)。幸好,如果你知道要寻找什么的话,像这样的网络钓鱼攻击很容易挫败;请点击这里(https://blogs.mcafee.com/consumer/spot-phishy-email/),可以大致了解如何发现并避免网络钓鱼攻击。

如何判断你已经被钓

不像庞大的公司企业,你可能没有一个专设的IT部门每天24小时地工作,确保技术系统顺畅运作、解决任何安全问题。这就意味着你得密切关注自己的数字领域。正如韦里逊的报告着重表明的那样,这往往说起来容易做起来难。虽然90%以上的数据泄密事件在几分钟就得逞,但大多数好几周、甚至好几个月都没有被发现。

对于个人来说,需要留意几个蛛丝马迹,它们可能表明你已经被钓,需要采取行动。

密切关注你所有账户上的每月交易,如果你的生活方式允许的话,可以考虑设置较低的交易限额。要是觉得哪里不对劲,就要赶紧向银行机构反映情况。信用冻结并非万无一失,却是值得考虑采用的另一道防线。

同样,窃贼觊觎的绝不仅仅是你的银行密码,他们已意识到可以利用社交网络消息,诱骗其他的潜在受害者。正因为如此,要留意在你时间线(timeline)中的帖子,或者你并没有编写的直送短信。

请注意,虽然上述可能预示着你已经被钓,它也可能表明你的电子邮件帐户受到了危及,这种情况通常不是那么可怕。

清除骗子:如何收拾残局?

一旦你发现自己成了诡计的受害者,实际上会很麻烦,但你并非没得救了。第一步是在电脑上运行反病毒扫描,确保没在使用被感染的电脑。

一旦你确定电脑干净,随后进入到平常使用的所有网站和服务,尤其是金融和社交类网站和服务,还有电子邮箱,将原密码改成安全的新密码。(点击此处:https://blogs.mcafee.com/consumer/5-tips-for-changing-passwords-post-heartbleed/,即可查看关于如何创建真正安全的密码的技巧。)但愿这会尽量减小恶意的网络钓鱼者所能引起的破坏。

联系你的财务帐户,提醒他们留意异常交易;可能的话,就要通过电话或短信通知对方。

最后,进入到你的所有订阅服务,比如iTunes、Google Play和Netflix等,锁定设备,然后设置一个新密码。这样一来,任何人都无权使用你的帐户来进行购买,并迫使他们重新登录才能获得访问权。

不用说,为了确保基本的安全,更新设备的软件至关重要,这意味着已知的安全漏洞已被堵住,当然运行反病毒软件也很重要。不过除此之外,对付网络钓鱼最有效的保护措施也是如今最珍贵的资产之一:常识。不管电子邮件是谁发来的,都不要轻易点击电子邮件中的链接――而是剪切粘贴到Web浏览器,并认真阅读地址。要是觉得是可疑邮件,它很可能就是。

原文标题:How data thieves hook victims — and how to beat them

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2016-07-04 14:44:40

数据51CTO IT技术周刊

2016-07-27 18:46:31

网络安全技术周刊

2022-06-10 07:44:07

黑客网络攻击

2021-06-26 07:22:41

勒索软件攻击数据泄露

2022-02-16 11:01:30

僵尸网络恶意软件FritzFrog

2022-08-26 14:00:41

DDoS网络攻击数据泄露

2024-03-06 08:03:09

2021-08-06 10:01:53

勒索软件网络攻击数据泄露

2018-12-21 14:49:23

2011-03-14 11:41:16

2020-12-02 10:06:17

勒索软件漏洞黑客

2020-02-19 08:23:14

数据泄露漏洞信息安全

2021-08-12 14:48:19

物联网智能建筑IoT

2011-12-13 14:11:35

微软AndroidWP

2021-07-18 08:33:56

TrickBot恶意软件网络安全

2021-10-29 13:44:03

BlackMatter勒索软件解密器

2009-03-09 17:19:53

2009-10-22 10:38:06

菲律宾黑客

2013-09-13 13:47:50

2013-05-14 10:42:47

恶意软件Android恶意软件应用程序
点赞
收藏

51CTO技术栈公众号