一个真实故事
背景
妹子把手机丢了...是在上公交车时,妹子第二个上车,头一个上去的黑色羽绒服男上车后问师傅是否去XX地,师傅说不去,黑羽绒服男就又挤下了车。上车坐定一会,妹子就发现手机不见了。再打关机。妹子说上车前确定手机还在 ,可以肯定就是那个黑衣服男偷得。
之后补卡,改密码等等善后事宜暂且不表。且说说后续一些列发展引起我对互联网安全的思考。
开端
用iphone手机的用户都知道,一个iphone由一个appleid激活,如果不进行反激活,是无法登陆其他appleid的。所以妹子就打开了丢失模式。当丢失的手机打开联网时定位并且锁定。小偷不知道appleid的密码,就无法解锁手机,也就无法转手卖出。
头几天鸟无音信。
在一两周后,妹子邮箱接连收到邮件,内容大概是:
您的iphone正在尝试解锁刷机,如果是您操作,请忽略; 如果不是您操作,请登录Apple ID 服务中心进行取消操作。该操作将在12小时后被允许。
署名是 Apple ID Service。
还好妹子是对这种事情无从下手,问我怎么办,我比较警惕,说转发给我,我接到后打开,发现这个邮件的格式和内容很正式。但是很明显有以下几个问题:
- 邮件来源地址不是
apple.com,而是一个其他的地址。 - 邮件中登陆Apple ID 中心的链接也不是官方的。
打开这个链接,是个和查找 iphone登录界面完全一样的页面。当然,这是个伪造的钓鱼网站,如果妹子自己打开这个并输入了appleid和密码,那么账号密码就已经陷落了。
注意: 如果是手机邮箱,那么发件人的地址默认是隐藏的。而且,打开链接后网页的url也是隐藏的。所以,如果是手机打开邮件,很难分辨真假。
可见,被偷iphone手机,由于其激活机制的特殊性,产生了一条很色的产业链:
小偷 -> 网络诈骗技术者
小偷偷到手机后,无法解锁,只能卖给下线。下线是大型的收购商,来收购被偷的iphone,然后进行批量的邮件进行钓鱼,骗取密码解锁手机。
于是我告诉妹子,这种邮件都不要乱点,不要输入你任何信息。
继续
陆续几天,还是有同样的伪造刷机警告发来,妹子都置之不理。直到开始受到新的类型的邮件,大概内容:
妹子经过上一波教训,已经对互联网有一定的畏惧心理,所以丝毫没动,转发给我。
我收到后打开,明显的,日然是来历不明的邮箱地址。而且,店铺地址的链接也是来历不明的。
虽然是来历不明的链接,我还是想点进去看看,于是,我进行了点击。结果是:
空白页面...
为什么是空白页面呢,怎么不是钓鱼网站了? 于是我打开chrome开发者模式,重新打开链接,有很多请求,我意识到,这可能是xss攻击。
有一个XXX.qq.com域名的请求,中间进行了重定向,然后又发送一个特殊url的请求,这个url暂不公开,可以假设为 xsssite.net
因为妹子的appleid用的是qq邮箱。所以如果对qq.com域名下的一个网页注入脚本的话,当用户打开这个网页,很可能能拿到这个用户的登录信息.
由于这次我是从转发的邮件打开的链接,所以泄露的是我的登录信息,所以并无大碍。(跨站脚本只是获取了你的登录状态,能够一段时间内伪造登录状态,而并不是获取了你的密码)
xsssite.net这个域名的请求包含的很多内容,且这个网站就是一个xss攻击的平台。关于这个xss攻击位置,如何获取登录状态,传递了哪些信息,我还尚未去详细查看,以后分享给大家。
我很感叹,这个产业链远比我想象的发达:
小偷 -> 网络诈骗技术者 -> 黑客
结果
后来,由于一些事情,还是在妹子的登录状态打开一个这种连接,对方登陆了妹子的邮箱,从而重置了appleid密码,当然期间有apple的邮件,但是妹子以为是假的,直接忽略掉了。我没有及时得到消息,还是让对方得逞了。
故事之后的反思
前面讲了妹子的遭遇,我又想起近几年几次密码泄露,信息泄露的事件,深感互联网安全非常重要,豺狼虎视眈眈,但是绝大多数人丝毫没有防范意识。所以我想了一些关于互联网安全的知识,提示,以及应对措施。给大家普及一下。
互联网危险到何种程度
请看乌云网,白客们所发现的各种系统漏洞。触目惊心。
几年前csdn的数据库泄露事故,余威犹在。后续几次京东,7k7k等网站的大量用户密码泄露都是这次事故的后遗症。
黑色产业链早已超乎你我的想象。道高一尺魔高一丈。你的一切都时时刻刻被攻击者盯着,不要有侥幸心理。
关于密码
- 密码与社会工程学
>社会工程学: 一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法。
举个例子,最简单的社会工程学案例,就是根据你的生日来推测你的银行卡密码。根据人们慵懒的习惯,尝试`123456`,`asd123`,`abcd` 等方便输入的习惯来推测你的密码。所以说,根据你的个人信息,比如生日,身份证号,门牌号,亲友生日,名字拼写,短语拼写等任何对你有意义的字符序列,都会被认为是你的潜在密码。依靠计算机的自动化,计算效率,可以不停的对大量的用户数据进行尝试破解。
**所以我们应该避免使用和自身信息有关的密码**
- 安全并不在你的掌握之中
使用随机的,比较复杂的密码,就可以确保账号安全了么? 很遗憾,不是的。
因为你的密码不仅仅是你自己要保管,你所注册的网站,应用也需要保管。所以,你所使用的网站,应用是否在安全上做足了必要的功夫,是很重要的。
前几年CSDN数据库泄露,大量用户资料被盗,令人震惊的是他们的密码是明文的....
根据用户们懒惰的习惯,不愿意记很多密码,于是可以假设用户们都喜欢用同一套用户名密码来登陆所有网站,应用。一时间,大量网站,应用被撞库成功。
原则上,网站是不会保存明文密码的,他们所保存的是对你的密码进行不可逆加密后的密文,每次你登陆输入密码,网站会对输入的密码进行同样的不可逆加密,然后与保存的密文进行对比来验证正确性。这样在网站数据库泄露时,用户密码至少不会以明文显示在盗窃者面前。
同时,网站也不应该仅仅用md5简单加密。如今对于简单通用的加密手段,黑客已经有数量庞大的样本来进行比较,所以,简单通用加密的效果已经接近明文了。所以,加密时加入随机的salt,是常用的方法。
**避免所有账号都是同一密码。可以简单分成几级账号密码,你的关键应用比如qq号,支付宝,邮箱等的密码,一定不要与注册小网站的密码一样。**
**不要轻易进行注册,尤其对于小网站,他们的技术相对于薄弱,安全工作做得不够。建议小网站都使用第三方认证的方式**
- 二步验证
在输入密码后,需要再进行一次密码验证。
> One Time Password: 一次性密码,每个密码只在一次,或者很短的时间内有效。下次登录或认真,就会用不同的密码。
这个已经非常常见了,比如常见的手机验证码,暴雪战网的安全令牌。
如果你的账号可以开通二步验证,强烈推荐开通,虽然每次耽误点时间,但是可以对你的账号进行非常好的保护。
**Apple ID,Google账号,QQ邮箱(使用qq安全中心) 等都支持二步验证,建议都去开通一下吧**
关于常用邮箱
- 你的安全老巢
你的邮箱有多重要? 如果你的邮箱被别人登陆:
1. 首先,你的个人信息被别人一览无余。而且,有的同学还喜欢用邮箱来作为记事本。
2. 可以随时重置你的各种网站,应用的密码!
- 独立密码
如果你使用网易,QQ,新浪等不管是什么邮箱,要设置独立密码! 如同妹子邮箱被登录的教训。如果你在网易,QQ,新浪的账号登录状态被xss攻击获得,那么攻击者可以直接进入你的邮箱!
这些大网站,大企业的安全做得很好不用担心? 我承认,这些大企业的核心业务是没有问题的,关键在于这些企业家大业大,设计的方面非常多,部门也非常多,甚至分布在不同的地点,所以不可能所有的地方都能做好安全措施。妹子这个例子中,应该是QQ的大粤网中论坛的漏洞,被进行了xss攻击。
话说回来,林子大,什么鸟都有,你不能保证这些企业当中有黑客的存在。就像你找人做了个保险箱,你不能保证这个人是不是留了一把钥匙,或者在保险箱你不知道地方做了个机关。尤其对这些企业的非核心业务的技术人员,并不事都是经过严格考核进来的。
- 不要轻易在浏览器中从邮箱中打开连接
切记,邮箱中的不确定连接不要轻易就打开,尤其实在浏览器环境下使用邮箱的时候。预防xss攻击。
如果打开链接,发现有异常,查看请求记录,如果有疑似xss攻击,果断退出登录状态,修改密码。然后把该链接提交给出现漏斗的网站。(技术工作者)
**如果要在浏览器中打开链接,请使用"隐身窗口中打开",据我所知Chrome,以及使用Chrome内核的浏览器基本都支持**
关于手机号
- 你的安全命门
当你的手机丢了,第一件事,补卡。让丢失的卡不能再使用。
当你的手机落入别人手中,又能正常使用,那么它可以使用很多应用的二步验证。
作为一些应用的密保手机,它能够充值你这些应用的密码。
**手机丢了先补卡**