不要将你的密码遗留在”付款台”上

在保护你的个人数据、银行档案和其它各类重要信息的整条安全链中,你知道哪个环节是最薄弱的一环吗?其实就是你自己。多年以来,安全系统真正无法抵御的最大威胁即是人为因素。 如今,来自于安全部门的IT专家们给出了关于”可行和禁行”问题的答案:为员工设定过多的禁止行为会使他们开始无视公司规定或无法高效工作。反过来,赋予他们过多自由则会将公司重要信息至于风险之下并使他们宝贵的个人档案资料迅速遗失。 将你的密码遗留在”付款台”上:”请勿打扰”并不适用于房内平板电脑, https://securelist.com/blog/research/67318/leave-your-passwords-at-the-checkout-desk/ …(@dimitribest) 当意识到我们自己才是造成个人数据外泄的罪魁祸首时,才恍然大悟。每次,当你在未知设备上输入你的个人账户信息后,离开时会话依然开启,这时你的个人数据极易遭受攻击。有时候你所遗留的很可能是一些极其重要的信息。比如,可能连接你信用卡的Apple ID和Google Wallet(谷歌钱包)。遗憾的是,在我们使用移动设备时,只有一部分人会想到这一点。 让我们来说一个真实发生的事件,恰巧就让我们GReAT团队专家Dmitry Bestuzhev碰到了。 @dmitribest在酒店房间的房内iPad中发现了属于之前房客的大量#个人数据# 除了提供其他优质服务以外,许多酒店还为房客精选准备了免费的平台电脑(机场和饭店也有类似服务)。房客们常常会用来玩乐和消磨时间;此外,还可用于浏览Facebook的最新内容、查看自己的iMessages和电子邮箱,或者还可访问Google阅读新闻,登录Play Store下载最新上架应用,进行视频通话或访问互联网进行各种放松和娱乐活动。 Dmitry在使用房内iPad时大为惊讶:平板电脑上竟然遗留了之前许多房客的大量私人信息。 Dmitry在酒店房间内也发现一台免费的iPad。他在使用这台设备时大为惊讶:平板电脑内遗留了大量属于之前一些房客的私人信息。 你无需是IT高手就能轻松收集各种保存于这台iPad 的数据,其中有带预存密码的遗留账号、社交网络上的授权会话、来自浏览器的搜索结果(包括查询色情内容的其他历史记录)、自动保存至通讯簿的全部联系人列表和iMessages消息,甚至还有怀孕日期计算器。 要查明这名粗心大意的孕妇身份其实并不难,因为她”大方地”将自己的个人联系信息留在了这台设备内。大部分会话处于开启状态,这意味着如果有不法分子想冒充这些房客发布或发送讯息将变得非常容易。可以想象一下,如果有人冒充你写一些下流的内容发给你的老板或同事,其结果可想而知。 Dmitry花了点时间Google了一下,发现其中有些房客竟然为政府工作。如果有人利用这些数据访问公司信息的话,无疑将导致一次严重的数据外泄事件。 很容易让人想起类似数据盗窃的场景。犯罪分子完全能够在你办理入住手续前先潜入房间并安装应用,从而追踪你的密码和其他信息。在成功盗窃后,犯罪分子可采用多种方式以达到其犯罪目的:对受害人进行勒索、在网络上发布不宜照片(你还记得詹妮弗•劳伦斯的照片泄露事件吗?)以及使用你的iTune下载大量收费音乐文件等等。 因此,我们在使用公共设备时一定不能粗心大意。为了保持个人数据的安全,可遵循以下简单的使用规则。首先:永远使用强大的密码。其次:只连接可靠且安全的Wi-Fi网络。最后:在涉及个人信息时,只使用自己携带的设备(从目前恶劣的网络安全状况来看,这意味着永远都需要遵循)。简而言之,公用设备是万不得已下的最后选择—建议永远也不要使用。 如何记住强大且唯一的密码 http://t.cn/R7ItkKq —— 尤金-卡巴斯基

在保护你的个人数据、银行档案和其它各类重要信息的整条安全链中,你知道哪个环节是最薄弱的一环吗?其实就是你自己。多年以来,安全系统真正无法抵御的最大威胁即是人为因素。

如今,来自于安全部门的IT专家们给出了关于”可行和禁行”问题的答案:为员工设定过多的禁止行为会使他们开始无视公司规定或无法高效工作。反过来,赋予他们过多自由则会将公司重要信息至于风险之下并使他们宝贵的个人档案资料迅速遗失。

将你的密码遗留在”付款台”上:”请勿打扰”并不适用于房内平板电脑, https://securelist.com/blog/research/67318/leave-your-passwords-at-the-checkout-desk/ …(@dimitribest)

当意识到我们自己才是造成个人数据外泄的罪魁祸首时,才恍然大悟。每次,当你在未知设备上输入你的个人账户信息后,离开时会话依然开启,这时你的个人数据极易遭受攻击。有时候你所遗留的很可能是一些极其重要的信息。比如,可能连接你信用卡的Apple ID和Google Wallet(谷歌钱包)。遗憾的是,在我们使用移动设备时,只有一部分人会想到这一点。

让我们来说一个真实发生的事件,恰巧就让我们GReAT团队专家Dmitry Bestuzhev碰到了。

@dmitribest在酒店房间的房内iPad中发现了属于之前房客的大量#个人数据#

除了提供其他优质服务以外,许多酒店还为房客精选准备了免费的平台电脑(机场和饭店也有类似服务)。房客们常常会用来玩乐和消磨时间;此外,还可用于浏览Facebook的最新内容、查看自己的iMessages和电子邮箱,或者还可访问Google阅读新闻,登录Play Store下载最新上架应用,进行视频通话或访问互联网进行各种放松和娱乐活动。

Dmitry在使用房内iPad时大为惊讶:平板电脑上竟然遗留了之前许多房客的大量私人信息。

Dmitry在酒店房间内也发现一台免费的iPad。他在使用这台设备时大为惊讶:平板电脑内遗留了大量属于之前一些房客的私人信息。

你无需是IT高手就能轻松收集各种保存于这台iPad 的数据,其中有带预存密码的遗留账号、社交网络上的授权会话、来自浏览器的搜索结果(包括查询色情内容的其他历史记录)、自动保存至通讯簿的全部联系人列表和iMessages消息,甚至还有怀孕日期计算器。

要查明这名粗心大意的孕妇身份其实并不难,因为她”大方地”将自己的个人联系信息留在了这台设备内。大部分会话处于开启状态,这意味着如果有不法分子想冒充这些房客发布或发送讯息将变得非常容易。可以想象一下,如果有人冒充你写一些下流的内容发给你的老板或同事,其结果可想而知。

Dmitry花了点时间Google了一下,发现其中有些房客竟然为政府工作。如果有人利用这些数据访问公司信息的话,无疑将导致一次严重的数据外泄事件。

很容易让人想起类似数据盗窃的场景。犯罪分子完全能够在你办理入住手续前先潜入房间并安装应用,从而追踪你的密码和其他信息。在成功盗窃后,犯罪分子可采用多种方式以达到其犯罪目的:对受害人进行勒索、在网络上发布不宜照片(你还记得詹妮弗•劳伦斯的照片泄露事件吗?)以及使用你的iTune下载大量收费音乐文件等等。

因此,我们在使用公共设备时一定不能粗心大意。为了保持个人数据的安全,可遵循以下简单的使用规则。首先:永远使用强大的密码。其次:只连接可靠且安全的Wi-Fi网络。最后:在涉及个人信息时,只使用自己携带的设备(从目前恶劣的网络安全状况来看,这意味着永远都需要遵循)。简而言之,公用设备是万不得已下的最后选择—建议永远也不要使用。

如何记住强大且唯一的密码 http://t.cn/R7ItkKq —— 尤金-卡巴斯基

十月安全新闻综述

十月,卡巴斯基实验室非常忙碌,陆续发表了重大突发性安全新闻和其他相关阅读资讯。从被感染的ATM和Android 5.0新加密系统,到网络”雇佣兵”和加密软件保护,无一遗漏。如果您错过了我们十月份发布的任何新闻,别担心!下面我们将简单回顾十月最热门的新闻,您可迅速掌握相关信息! 请阅读十月最热门的#安全新闻#集锦。 采用全新加密系统的Android 5.0提供更为出色的数据保护能力。 最近,执法机构对Google和Apple感到相当不满。原因是最新版本的iOS以及安卓操作系统中存储的用户内容受到严格加密,连两家公司本身都无法对本地存储信息进行解密。这意味着即便有正当的理由,这些部门也无法保证能要求用户解密本地保存的数据。然而,隐私与安全倡议者们又进一步推出了新的全盘加密方案,似乎预示着消费者们即将迎来真正的移动数据安全时代。有些人认为这一系列举措过于冒失和鲁莽;另一些人则将此举视为对现有安全环境所进行的一场彻底变革,因为目前情况下,政府在缺乏任何监督下可轻易收集用户的信息。目前,Google正大肆宣传新采用的默认加密功能,新版Android Lollipop系统(简称为”Android 5.0″或”Android L”)中已纳入此默认加密功能。在新版系统中,密码或PIN码再加上一些内置的基于硬件的凭证才能推导出解密密钥。因此,暴力攻破密码依然可行,但要解密加密的硬盘空间则不可能。 换句话说:全球最流行的操作系统-安卓系统最终会更加安全。 如何记住强大且唯一的密码 已经是2014年了,但我们还是跟1999年一样,需要努力记住一长串密码。如果未来的技术仍然还要依靠落后的认证器的话,那我们还是需要找出一种可靠的解决方案来记住密码。这正是我们在卡耐基梅隆大学计算机科学系的朋友们所做的研究内容。不幸的是,事实证明要记住一长串复杂的密码需要我们做一些人人厌恶的事情:学习研究。在本研究中,参与者在过了100多天以后,被要求只凭借一幅场景和人物按照训练时的套路回忆起故事的动作和物品。要了解让研究人员震惊的实验结果,请阅读本文的剩余内容!最终的结果是,密码越少,越容易记住。这或许也解释了为什么几乎所有人都喜欢将同一个密码用于不同账户,就算他们清楚这样做会导致安全风险也不例外。但实验也带来了一些好消息-你可以使用本文中所述的相对容易的助忆技术来增强密码强度。 合法恶意软件和网络”雇佣兵” 完全可以想像,委托给计算机处理的日常工作越多,越容易吸引那些热衷于”挖掘”他人隐私的家伙,无论是出于恶意还是出于好意;网络入侵和间谍活动于情报局而言几乎算不上犯罪行为,但是日常工作的一部分。当今网络犯罪业务领域有一个重要的趋势即网络犯罪合法化,这与信息安全市场的定位完全不同。从卡巴斯基实验室的经验看,私自开发的合法恶意软件不仅会出售给”拥有合法权”的情报局,也会落入极端功利的第三方手中。这到底有多危险呢?可以说相当的危险。类似这样的恶意软件专为手握大把钞票的客户量身打造。其技术水平之先进,绝不是从信用卡中窃取几百块钱的不良少年或小偷小摸的犯罪行为能与之相比的。合法恶意软件开发者在开发的软件中运用了大量先进技术,甚至能骗过病毒分析人员的眼睛,防止他们一探究竟。但尽管如此,事实仍证明此类技术的确有其局限性:要想偷偷入侵系统并没有什么神秘性可言,需要的只是一款普通的恶意软件。 受感染ATM机造成数百万美元损失 黑客们从ATM机中取现与你我普通用户不同:他们取现无需任何的银行卡、PIN码或银行账户。在现实中,他们所需要的只是一台存放有现金的ATM机和一种特殊软件。应一家金融机构的要求,我们的全球研究和分析团队(GReAT)同事们进行了一项取证调查,调查目标是针对东欧地区数台ATM机进行的网络犯罪攻击。他们发现黑客利用一种称为”Tyupkin”的木马病毒来感染ATM机,ATM机被感染后,只要通过键盘输入特殊代码就能源源不断地吐出钞票。简言之:ATM机内的计算机感染”Tyupkin”后,会迫使ATM机在输入特殊代码时吐出钞票。网络犯罪分子能以某种物理方式访问ATM机,以便安装恶意软件。所使用的木马病毒拥有大量高级功能,攻击者的操作十分简单。幸好,目前黑客们只能感染某些型号的ATM机,但如果银行和ATM机制造商无法提高这些设备的物理和软件保护能力的话,可入侵的ATM机种类将持续增加。 将主电子邮箱账户的安全保护置于首位 想想看:不管创建哪个网站的在线账户,一般都会要求输入主电子邮箱作为账户名称。一旦你的在线账户遭窃或忘记密码,主电子邮箱账户还能帮助恢复在线账户。从这个角度看,主电子邮箱账户相比于PayPal或网银账户而言更具敏感性,因为一旦电子邮箱账户遭窃,PayPal和网银账户也将同样处于危险之中!除此之外,控制你电子邮箱账户的网络犯罪分子还会收集一些你使用其他在线账户的重要信息,然后对这些账户一一进行入侵。因此,电子邮箱账户一旦遭入侵,往往即意味着自己的整个数字生活遭受入侵。这也是我们为何反复强调使用高强度密码、启用双重认证以及对重要账户采取所有可能的安全控制措施的原因所在。但这还不是最坏的情况,更糟糕的是账户遭窃还会影响到你的所有联系人。一旦你的账户遭到入侵后,网络攻击者会以此为工具,攻击你的朋友、家人和网友的账户。幸好,你可以通过一款强大的反病毒解决方案保护自己免遭含有恶意软件的垃圾邮件攻击。卡巴斯基安全产品中还含有反钓鱼技术,能够检测出网络钓鱼网站并向用户发出警告。简而言之:保护主电子邮箱帐户需要的方法与保护在线网银帐户一样,甚至应该进行更严密的保护,因为主电子邮箱帐户是你最宝贵的在线帐户。 本周安全小贴士:如何防范加密病毒 以最终用户为目标的加密病毒已然成为了增长速度最快的恶意软件类型之一。编写这些病毒的目的是针对普通用户进行大规模网络勒索攻击。那在现实生活中到底是如何实施的呢?比如发生类似以下状况:”尊敬的董事长、副董事长以及董事们,请允许我为你们作年度报告陈述,为此我们已精心准备了2个月时间…欧…稍等片刻,好像出了点技术问题…”这种情况看起来似乎是计算机遭到加密病毒攻击而导致报告陈述隐藏。但实际情况是加密病毒作为一种恶意程序,阻止了用户访问计算机上的一些文件,并以此向受害者索取解密赎金。我们建议用户提前对有价值的文件采取保护措施,不要等到计算机被感染后束手无策。安装卡巴斯基安全软件以及调整相关设置都有助于保护计算机免遭最新威胁的攻击。请阅读全文了解具体安装设置操作。

提示