导语:本文将带您深入了解网络安全中攻击者的犯罪模式,并分享五个保护您网络安全的实用技巧。虽然说知道这些技巧后,不一定能百分百保证你的信息不被盗,但可以肯定的是一般的网络攻击都不会对你的网络信息安全造成影响。
相信无论你有没有关注过个人的网络安全,在2018年里,你或多或少都听到过有关网络黑客的新闻。别的不说,单是开房信息泄露、精准电信诈骗的新闻就让我们心有余悸。经过调查,犯罪的根源就出在网络安全上,犯罪份子利用技术手段攻击目标设备或网络,并在网站植入木马病毒盗取信息,实施诈骗或精准攻击。
那么个人信息如何从这些渠道被泄露出去?一方面是技术原因,比如信息系统存在安全方面的漏洞,安全漏洞被黑客入侵造成存储管理的数据泄露;另一方面是管理原因,一些掌握个人信息数据的人可能会贩卖这些数据;此外也存在一些掌握个人信息数据的人,由于信息安全意识薄弱,无意识地泄露他人信息。所以无论从哪个角度看,保护我们的网络隐私都是非常重要的。
从企业的角度来看,网络安全也一直是一个长期存在的问题。目前,全球总共有超过几百万个网络安全职位处于空缺状态,而数量如此之大的空缺职位在网络安全行业中是从未出现过的。
从政府的角度看,希拉里的邮件门已经导致了美国政治的出人意料的走向,至今还影响着美俄关系。从网络攻击的发展趋势看,今年的网络攻击不论是从技术上还是从攻击模式上,都呈现了前所未有的变化。
从近期网络犯罪的发展趋势来看,它们不但在技术上越来越高超,而且在发展模式上也越来越极具创意和多样性,截至目前,总共有三种类型的网络犯罪模式:
平台模式
这两年新兴的像Adwind “恶意软件服务(Malware-as-a-Service,MaaS)”模式可以帮助缺乏技术经验的个人在其平台上购买或租赁 Angler、Neutrino、RIG 等流行的漏洞利用工具包,这种商业模型的发展毫无疑问将极大降低了网络犯罪的技术门槛,开启了网络犯罪的服务新模式。MaaS商业模型兴起的原因主要有一下四个方面:
1. 易用
漏洞利用工具包的主要卖点之一是易用性。所有内容都经过预编码,客户可以将内嵌的控制台和对用户友好的 Web 界面结合使用,策划自己所需要的网络攻击。
2. 性价比高
大多数漏洞工具包都有买断和出租两种销售模式,这样可以最大化满足不同消费能力的网络罪犯。保证了消费者可以用低投入换取优秀的投资回报。此外,很多漏洞包都带有安装即收费功能,消费者可以只为成功的感染买单,进一步降低攻击成本。
3. 可定制性非常高
大多数漏洞工具包都带有多种配置模式及插件,攻击者甚至可以选择自制恶意软件作为主要的攻击载荷,可定制性非常高。攻击者可以使用勒索软件锁定受害者在使用的设备、用银行木马窃取个人信息、让受感染设备加入僵尸网络,或者发动针对性攻击。
4. 隐匿
如果将漏洞利用工具打包,意味着暴露面就越少。因此,大多数漏洞包都附带了多种逃避传统反病毒软件检测的方法。比如使用多态滴入、每天更改目标设备上的恶意代码、使用比特币作为支付手段等。
开源模式
像Mirai、Zeus 等恶意代码开源模式,开启了“潘多拉之盒”,造成了这些恶意代码家族的变种泛滥、影响巨大(对运营商、对金融系统,效果已经显而易见),这种“开源”模式极大的增加了恶意代码的威胁能力和预防难度。
勒索软件服务(RaaS)模式
许多人把2016年称为勒索软件元年,这是因为那一年勒索软件的感染设备迅速上升,而且当时勒索软件的魔爪很快伸向物联网设备、PoS机和自动取款机。如果在设备感染了勒索软件之后你还想要回你的数据和文件,那么你恐怕得向攻击者支付赎金了,可见不论是个人还是任何组织都必须重视网络安全。
今天小编就和大家分享五个能够保护个人网络安全的技巧,虽然说知道这些技巧后,不一定能百分百保证你的信息不被盗,但可以肯定的是一般的网络攻击都不会对你的网络信息安全造成影响。
一、密码管理器:带着走遍天下都不怕账户被破解
现在,我们的生活已经离不开各种密码,各种网站、网银、电脑操作系统、微博、QQ、微信等等。许多人都喜欢将所有地方的密码设置成同一个,这样做虽然容易记忆,但是似乎不怎么样安全。只要有一个网站的数据被黑,黑客就会根据你的用户名和密码猜出你其它网站的密码,要是自己的银行账户或者重要信息被才出来,那后果可就不堪设想了。“密码复用”问题将会真正得到重视密码复用是人们在日常生活的一种非常不好的习惯,近来雅虎和推特的大规模信息泄露事件,也加强了人们对使用独立密码重要性的认识。
2017年如果再发生几个类似的重大事件,那时人们会更主动地去使用独立密码。但是如果将对不同的网站设置不同的密码,那么想要挨个记住就不太容易了。许多人喜欢用App来管理密码,但是一旦设备感染而已程序,App中的密码也不安全了,甚至自己所有的密码会被一股脑的全被黑客知道,危险性似乎更高。
不过有了密码管理器,就可以瞬间解决这些难题了。下面小编就推荐的四款密码管理软件,供大家选择。
1.1Password 2.LastPass 3.KeePass 4.PasswordBox
1Password目前在Mac和iOS上享誉最棒的密码管理软件,Mac和iOS均有中文,但Windows对不起,可能1Password官网对Windows有仇(因为 Windows 版本旧且太丑,目前无中文语言界面)。单一平台单一版本需要高达百元费用,例如Mac OSX单一平台(但仍然可以与家人、情侣共用)费用是三百多人民币,而且只能在Mac OSX平台上用。
LastPass可以跨平台使用,可惜它采取的密码保管只有两种方式:上传服务端和本地端保管。不过我认为理想的安全方式应该是本地端保管,而不是上传服务端,因为Web端具有被攻破的可能(已有新闻报道 LastPass 服务端被攻破),而且服务端根本没有必要保管的需要。费用可能没有1Pssword这么贵,但仍然很贵,目前都有中文翻译版。
KeePass是开源免费的,KeePass Password Safe就是专门为了解决人类记不得众多密码的问题所产生的,它包含了一个强大的密码产生引擎与加密储存机能,能够提供一个安全的密码储存空间,仍然是跨平台可用。KeePass是一款管理密码的开源的免费软件,KeePass将密码存储为一个数据库,而这个数据库由一个主密码或密码文件锁住,也就是说我们只需要记住一个主密码,或使用一个密码文件,就可以解开这个数据库,就可以获得其他的密码内容。不用担心安全,这个数据库采用当今非常安全的密码算法AES 和 Twofish。
不过有了密码管理器,并不代表我们的密码就万无一失了,首先一个密码管理器会集中我们所有的密码记录,万一生产密码管理器的公司本身发生了安全事件,那情况就更严重了。不过目前来看,对付“密码复用”的最好方式就是使用密码管理器了,谁让密码是一个糟糕的安全系统呢?只要它存在一天,我们就得加倍小心。
二、启用双因素身份验证
双因素身份认证(two-factor authentication )可以确保验证具有唯一性,不会与其他人重复到。目前我们有 3 种认证方式:
1.一种是只有你已经知道的一组数字,就是一般我们手机上以短信方式给你的那些验证码。
2.一种是USB 钥匙或通过手机进行扫描验证。
3.一种是你与生俱来的,例如指纹或其他特征。
双因素身份认证,就是结合了两种不同的验证方式,比如在你登录一个需要双重验证的邮箱时,你首先要输入正确的用户名和密码,其次邮件服务器会给你发送一组数字,然后你再输入这些数字才能登录进去或是进行二维码扫描进行身份确认。
目前很多的网站服务都会支持双因素身份认证,包括 Facebook、Twitter、Apple ID、iCloud、亚马逊、Paypal、LinkedIn、Snapchat 和 WordPress.com 等。大多数双因素身份认证的网站都会请求你开启双因素认证。
对于使用者来说,这当然非常方便,但是却也有一定的安全隐忧。如果你在这款信任的设备上关闭了双因素身份认证,这就使得黑客可以轻松地盗取你的信息,因此对于这一点也要时刻注意。
在大多数情况下,你的手机将会是你的双因素身份验证的最终设备。在很多情况下,我们需要利用手机来接收验证码,或者透过特殊的 App 来产生验证码。
但是,手机也是最容易遗失或攻击的设备。幸好,大多数的网络服务都有对应的紧急计划。一些公司允许你使用备用号码来进行恢复你的帐号,比方说你可以指定你的朋友、亲人的手机号码,来当作这个备用号码(比如你在其他人的手机上登录你的微信,就需要指定你的三个好友来进行身份验证)。另外,比较少数的网络服务公司,则会让你可以多设一组备用密码,让你在需要的时候透过这个密码来恢复帐号。
三、对付勒索软件的笨办法——提前做好备份
假如你是一个公司老板,周一刚回到岗位,却发现整个公司的业务系统瘫痪,电脑屏幕弹出一个黑客勒索信息:“你们的所有系统已经被我锁死,快给我拿几十万过来否则撕票!”这时你会怎么办,给钱?或者是拨打幺幺零?一般情况下,警察叔叔除了想办法帮你抓坏人,恐怕也没办法帮你恢复文件。因为就在去年的一次网络安全峰会上,连FBI的人都奉劝过大家:公司在感染了勒索软件之后最好支付赎金来找回重要数据。
然而,如果你的数据备份工作做得好,事情就完全不一样了。
对资料进行安全备份可以说是我们每个人的一开始就会的经典绝招,大家都知道360云盘的事情吧,我们很多人就是把有用的资料都上传到云端,进行备份,既方便又安全,不过“不要鸡蛋放在一个篮子里”这句话显然适合任何安全的行业,就在前几个,360云盘宣布停止服务了,这不小编这两天只能赶紧把资料下载下来重新备份,不过这次小编我多了个心眼,除了在电脑里存一份外,我又买了个移动硬盘,总之虽然麻烦,但很保险,就像鱼和熊掌,我们永远要在安全性与便捷性之间艰难的做出取舍,而从目前勒索软件发生的频率来看,建议大家还是怕麻烦。不过最近听说实际上靠备份降低软件勒索的伤害并不是那么简单。因为随着网络恶意软件的不断升级,一旦恶意软件侵入计算机并成功加密所有文件,那么备份系统及镜像也将被一同加密,所以建议大家不要没事的时候就去备份副本,其只需应对紧急情况。
四、使用VPN
也许你会特别高兴,现在在一些公共场所也能免费上网了,但上网就会有一些风险,尤其是在公共场合,黑客侵入咖啡馆和酒店的WiFi,以此控制未受保护的设备,这种事你应该也听过吧。不过可能你还没有对此采取什么对策。让上网更安全的一个简单方法,就是使用VPN,也就是Virtual Private Network(虚拟专用网)。VPN已经多年被媒体报道,不过大多数的网友和手机迷还未使用VPN。根据GlobalWebIndex2015年10月份的调查显示,全球只有27%的人用过VPN。亚洲及南美的使用率高于美国。如果你是刚开始上网,也可以立即开始使用VPN。下面是一些关于VPN的常见答疑。
我为什么需要VPN?
简单点说,VPN就像上网时带上安全套。当你用VPN的时候,它会创建一个加密的私人通道,你上网时发出的请求会通过这个通道发送出去。你的活动不是通过共享的WiFi网络,而会通过VPN供应商控制的服务器来改变路径。这样的话,你连接网络或者下载程序的时候,那些精通科技的信息偷窥狂们就无法跟踪你的网络行动了。如果没有VPN的话,你的信息就任他们抓取;如果你上的网站或者下的程序不支持SSL加密,那么你点击或发送的所有东西,黑客都能看到。
我从来不用公共WiFi. 那我还需要VPN吗?
使用VPN还有其他的好处。通过VPN服务器(很可能在另一个国家),你的网络会被改变路径,因此好的VPN可让翻墙,避开当地的网络限制。至于怎么翻墙,哈哈,有机会再写。
我应该用哪种VPN?
如果你的目的仅仅是为了在公共场合上网的时候保护隐私,或者翻墙,基本的VPN就够了。如果你在某个网络管制很严的国家,那你可能需要一款功能更齐全的VPN,比如可以支持OpenVPN或者IPSEC/L2TP安全协议的VPN,不保留连接记录,有多个退出节点,并且服务器位于你的国家之外。
那我要是用VPN,我就完全安全了?
也不全是。许多VPN还会用PPTP,一种“已经完全被攻克的”加密协议。使用安全性低的服务 —— 比如基于PPTP技术的VPN,就像把自行车用普通钢丝锁,锁在小偷经常带着断线钳出没的地方一样。这保护不了你的自行车,也保护不了你的数据。再就是,别指望VPN能帮你躲过政府的监视,比如NSA可以轻易地看到你在使用VPN(只要看你的数据进出VPN服务就行了)。如果你想逃过国安局或者其他情报机构的监视,那么最好用Tor。Tor虽然是一个匿名浏览器,但也会发生信息泄露和攻击的事件。
所以基本上来说,不管怎么着都没用了是吧?但使用VPN比什么都不用要安全很多。但是和其他安全保护一样,VPN并不是完美的。你只能相信你使用的VPN,一旦VPN服务被损坏,你所有的保护措施都会毁于一旦。
总体来说,VPN还是用比不用好。尤其你所在的网络不受信任的时候。不过,你在使用VPN时仍要继续使用HTTPS和其他安全条款”。真正注重隐私安全的人,会把这些手段叠加使用,建立一个多层安全网,这样你的数据才更不易受侵犯。
我忠实的建议是,无论如何,下个VPN吧。
五、使用端到端加密聊天工具
目前主流的社交聊天工具都已经实现了端到端加密,大家可以放心。
早在2013年,当Telegram(号称不会被查水表的通信APP)开始出现在人们的视野当中时,它最大的卖点就是聊天信息十分安全(才用端到端的加密方式)。
那么什么是端到端的加密呢?端对端加密通讯方式是让发出的信息只能被特定的收信人解密,并获得信息内容,不允许第三方介入。换言之,只有终端持有密钥,而负责传递信息的服务器仅作为媒介,它本身不能解密信息。
通俗一点说,服务器只是一个中转站,没有秘钥,不能解密。而秘钥则是在另一终端用户的手中,只有另一终端用户才知道你发了什么,任何第三方,政府,黑客,犯罪分子,甚至开发人员以及该软件的后台都无法知道用户之间到底聊了些什么内容。
目前,除了Telegram外,2016年4月,Facebook旗下WhatsApp也宣布对所有通讯进行端到端加密,现在,WhatsApp超过10亿用户的所有信息(包括文字、照片、视频、文件和语音信息)在默认下都会进行端到端加密,包括群聊。
目前,苹果的iMessage都已经支持了端到端加密。
就像上面提到的,并非所有的采用端对端加密的工具,都能对所有的信息保持百分之百的安全,比如有的端对端加密就是一个选择项,而有的只对某些内容,比如文字进行加密,不过世界上没有百分之百的安全设置。比如,苹果iMessage就存在安全隐患,详情请查看《iMessage是世界上最安全的即时通讯工具吗?》,我建议用户定期更新密钥。
可是在国内,QQ,微信,陌陌占据了整个通信市场,这些高级货我们哪里有机会享用呢?如果非得,请仔细参考第四条建议。
小编在这里可以保证,使用好这五条建议,可以让你的网络安全比以前更上一个新的层次。
如果您还有有什么更好的办法,可以私信小编!