卡巴斯基官方博客

因设备丢失而产生的风险仍然是我们要面临的最严重的隐私和安全威胁之一。通过使用基于GPS的设备定位和防盗应用，丢失手机或其他小物品的机会越来越小。然而，并非所有设备都内置有定位器功能，就算有这种功能，也并不是解决极为普遍的设备丢失问题的完美方法。虽说如此，但此类服务可能仍是用户防范设备丢失的第一道防线，也是最佳方案。 软件 iPhone和iPad用户都能通过登录到iCloud帐户来访问”查找我的iPhone“。在其中用户能够跟踪自己任何一个Apple设备的位置。与此类似，”安卓设备管理器”应用也提供了用户跟踪自己所有安卓设备的功能。微软系统手机的”查找我的手机”功能和黑莓设备的”黑莓保护”功能都能完成同样的任务。 这些类型的防盗或定位跟踪服务是防止设备丢失和被盗的最好方法（各服务均提供了数据擦除功能）。如果对这些跟踪功能并不熟悉，您应该尽快掌握这些功能，与其事后后悔，不如事先保障安全。 但如果设备没有这类功能该怎么办呢？幸运的是，另有一些免费应用提供了相同的服务。Prey Project提供的防盗软件好评如潮，它支持跟踪没有内置防盗功能的设备，并且兼容Windows、O SX、iOS、安卓和Ubuntu及其他Linux分发版。 此外，一些安全公司也越来越多地开始在自己的产品中部署反盗窃解决方案，用户很可能具有跟踪功能，但自己并不知道。其中一些功能甚至可用于跟踪被盗、擦除数据或换用新SIM卡的手机。 当然，这些服务都有一定的局限性，最明显的一点就是受电池续航时间制约（你没法通过GPS定位到一部没电的手机）。所以，下面给出了其他一些灵活变通的方法，可帮助您找到遗失的设备。 如果对这些跟踪功能并不熟悉，您应该尽快掌握这些功能，与其事后后悔，不如事先保障安全。 标签 贴标签可能听起来很傻，但确实非常有用。想想吧，防范猫狗丢失的主要手段就是在宠物的项圈上挂上金属标签，标签上印有主人的姓名和电话号码。所以去印一张标签，内容包括您的姓名、电话号码和电子邮件地址，然后把标签贴到设备显眼的位置。标签对于手提电脑来说尤为重要，因为在过机场安检时最容易弄丢。 以上我们说得都是碰到坏人的情况，所以很容易就忘记我们周围还是有很多正派的好人。你可能从来都不知道，世界上有许多人会想尽一切办法物归原主。这也是为什么有封面的纸质期刊以及策划人几乎总是在开首版面包含”失物招领”部分。有些人非常富有同情心，喜欢帮助别人。 包装 另一个保守的建议是出行时携带醒目的行李、手提电脑包或背包。因为要弄丢色彩鲜艳或特色鲜明的行李的可能性较小，而其他人也很难误把你的行李当成自己的，比如你是大厅里唯一背绿色尼龙背包的人。每次站在行李提领区等行李时，我一眼就能看出有些人的行李太容易被拿错了 － 对于其貌不扬的行李来说尤其如此。 我们建议将手提电脑和平板电脑放在非透明的行李包装中。 与此类似，手机壳能很好地防止设备搞混。如果你和一帮朋友外出，很可能有两人或好几个人的手机完全一样。采用独特、与众不同的手机壳可避免拿错手机。 另外，将手提电脑和平板电脑放在非透明的行李包装中也是个不错的主意。手提电脑包虽然能够相当安全地保护电脑，但也容易成为窃贼的目标。 和以往一样，如果您对此有任何想法，请在评论区留言；以后的贴子中我们很可能会”偷偷”用到这些留言。

如果你始终关注互联网和计算机安全方面的新闻，那么听到许多智能家居系统设计不周或配置不良，导致安装这些系统的家庭面临着大量严重的安全漏洞时，你应该不会觉得太意外。 这么说恐怕小瞧您，但智能家庭确实与您想像中的完全一样（你会想到智能手机、智能电视、智能汽车等等）：家里的所有家电、冷暖系统、照明系统、烟雾探测器和/或门锁全部连到家庭网络，而家庭网络又最终连到互联网，计算机、手机和平板电脑以及其他相对传统的支持互联网的设备也全部都连到互联网。通过这样的系统，用户能够远程监视和操控家里的各个系统。 一直以来，研究人员都对智能安全系统和连接互联网的门锁和烟雾探测器（还有其他任何连到互联网的设备）的安全性有所置疑，这也是我始终关注的问题。最新的新闻是，AV-Test.org对7种不同的智能家居套件的安全情况进行了测试，结果发现其中4种都差强人意。 当然这7个套件只是沧海一粟，也许在统计学上来说微不足道，也不是具有代表性的取样量。但无论如何，在此次研究中发现的有漏洞的设备，可以被利用进行内部攻击（在某些情况下还可进行外部攻击），攻击目标是家庭网络及其所连设备，或者是住宅本身及其家里的东西。 国际知名安全评测组织AV-Test分析的七款智能家居套件分别是：iConnect（eSaver）、tapHome（EUROiSTYLE）、Elements（集怡嘉）、iComfort（REV Ritter）、Smart Home（RWE）、QIVICON（德国电信）和XAVAX MAX!（Hama）。AV-Test发现，其中只有集怡嘉、RWE和QIVICON套件能够良好地防御黑客入侵和未授权访问。iComfort和tapHome套件均在本地含有可利用的漏洞，这意味着攻击者需要在家里才可利用这些漏洞。最严重的是iComfort和XAVAX MAX!套件，这两款套件能被远程入侵（同时也能被本地入侵）。 每种产品都有一组不同的功能。但总体来说，这些功能属于电力、供暖和安保控制系统、门窗和房间监视系统、开关插座的控制系统以及照明、供暖和电力的开关系统。 广义上来说，攻击者能够操控连接的系统来达到破坏的目的（比如，关闭供暖，使管道在冬季破裂）。 因此，最可能的攻击是利用这些系统中的漏洞作为接入点，并最终获取家庭网络中存储的宝贵数据。 然而，大多数黑客犯罪分子的目标是金钱。因此，最可能的攻击是利用这些系统中的漏洞作为接入点，并最终获取家庭网络中存储的宝贵数据。还有可能发生的情况是，不安全的设备被入侵后，可被控制用于对可能的实际盗窃目标进行监视。高手甚至可借此打开门锁，从而更轻松地实施盗窃。AV-Test注意到，有能力在各种所连设备上传播的勒索软件很容易被攻击者所利用。用户不得不为此支付勒索费用，否则整个住宅都会停止工作。 AV-Test重点研究了设备之间的通信是否加密，默认情况下套件是否要求主动认证（网络或物理访问密码）以及易受远程攻击的难易程度。 Gigaset、RWE和QIVICON产品的通信都始终加密，因此被AV-Test视为是安全产品。iConnects的通信虽然也加密，但AV-Test表示，此套件的加密很容易被绕过。根据研究中的观察结果，其余的iComfort、tapHome和XAVAX MAX!这几个产品根本就没使用加密。 未部署任何加密机制意味着所有智能家庭通信都可以被轻易拦截。所以攻击者能够监视这些设备的所有来往通信，骗取代码来操控设备活动，甚至只监视这些设备就能推断出家里有没有人。 未部署任何加密方法意味着所有智能家庭通信都可以被轻易拦截。 iComfort产品完全不要求认证，这意味着远程攻击者能够基于网络启动对系统的攻击。iConnect和XAVAX MAX!系统要求网络接入认证，但对本地物理接入不要求认证。tapHome要求内部认证，但据研究显示，这种措施其实毫无作用，因为产品缺少加密机制。Gigaset Elements、RWE Smart Home和QIVICON都要求物理和网络接入认证（安全通信除外）。 但好消息是：AV-Test认为，如果这些产品制造商花些时间来开发可靠的安全理念，而不是将有缺陷的产品急不可耐地上市销售，那么打造一个安全的智能家居系统完全是可能的。另一个好消息是：AV-Test为您购买智能家居系统提供了挑选标准：请挑选总是要求认证，并且始终加密通信的系统。

新的研究表明，销售点终端机的安全性不佳，易受日益复杂威胁的攻击；本月第二个星期二是补丁日，所有常用软件供应商都将在这天提供安全补丁；美国热门的短网址服务商Bitly承认受到不明攻击，用户数据外泄。 POS机 销售端（简称POS机）只是收银机的另一种叫法。当然，我们在此没打算讨论旧式的那种”叮叮”作响的收银机。我们要谈的是能够存储并传输付款信息的联网电子销售终端。目前，几乎所有零售场所或餐厅都安装有POS系统，支持客户直接刷借记卡或信用卡。但遗憾的是，最新的报告发现，众多用户常用于付费的POS系统正受到大量日趋复杂的攻击。更糟糕的是，其中多数POS系统在安全防御方面差强人意。 实际上出人意料的还不止于此，想想吧，在一台有漏洞的POS机上处理过一笔交易后，交易中涉及的任何信用卡或借记卡的全部相关付款信息都可能会泄露。 Bitly本周受到攻击导致数据外泄，该公司敦促用户更改密码。POS机系统安全堪忧。在周二补丁日，微软发布了多个补丁。 最近，网络监测公司Arbor Networks发布的一份报告中，列出了至少五个专用于攻击POS系统不同恶意软件。此外，Verizon发布的《数据泄露调查报告》指出，2013年发生的不同POS机入侵事件达198起。另外还有大家知道的，近期Target、美国精品百货店内曼•马库斯（Neiman Marcus）、美国最大的工艺品连锁店Michael’s及其他零售商频频受到的攻击全部属于POS攻击，都导致了大量消费者数据外泄。 对此，你能做些什么呢？你可能会毁了所有信用卡和借记卡，在这次波及整个”互联网”的风波过去之前只用现金付费。但这是非常极端的做法。您应该采取的行动是关注相关新闻，一旦知道光顾过的公司发生数据外泄事件，即刻采取相应行动。您需要检查信用卡或借记卡余额，确保没有可疑交易，也可以联系银行取消所有可能资料外泄的卡，并换用新卡。 Bitly被攻击 美国受欢迎的短网址服务商Bitly上周晚些时候受到攻击，导致数据外泄。如果你持有或之前有过Bitly帐户，应该考虑帐户密码很可能外泄。该公司认为用户的帐户并没有危险，但尽管如此，公司仍敦促客户更改密码。Bitly还宣布说，为了防范日后再发生此类数据泄露事件，公司将实施双重认证。 我也同样希望持有Bitly帐户的用户赶紧更改密码。如果碰巧对其他帐户也用了同一密码，则这些帐户的密码也须一并更改。这就是为什么我一直告诫说不要多个帐户使用同一密码。 最后要指出的是，Bitly支持用户通过Facebook和Twitter帐户链接到Bitly帐户。这种做法存在一定问题 － 入侵了Bitly帐户的攻击者很可能会入侵相应的社交帐户。对此Bitly非常明智地将所有相关连接设定无效。如果要重新连接帐户，用户得重新对这些连接进行认证。但麻烦的是，用户还须更改曾通过Bitly链接的所有社交帐户的密码。 另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。 周二补丁日 简要地说，本周就是周二补丁日，Adobe和微软都为自己用途广泛的产品发布了补丁，同时发布补丁的还有Google Chrome。微软发布了8个安全公告，其中有两个的安全等级属于”高危”，这8个补丁修复了Internet Explorer网络浏览器中的13个安全漏洞，同时还修复了其他微软软件中的多个漏洞。Adobe修复了Reader、Acrobat和Flash Player中的一些严重漏洞。Google则修复了Chrome浏览器中3个高安全等级的漏洞（Google为发现并报告这些漏洞的研究人员支付了4500美元）。 就我们讨论的这个话题，用户几乎不可能对其专业细节穷根究底，所以在此我们不妨提一下，Linux内核中有5年历史的漏洞已发布补丁，另外部分日本横河电机的工业基础设施设备也有若干补丁发布。 另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。此外，还应检查日本横河系统和Linux发行版，确定是否未更新。

有关最大型零售连锁店Target发生大规模数据泄露的报道，再加上一直耳闻的网上诈骗，你很可能会想，使用信用卡到底好不好。使用信用卡当然好！毕竟用卡比钱包里装很多现金要安全得多，而且目前在网上购物时也没有其他可行的替代办法 – 不管你是买手机应用也好还是买汽车也好，都得用卡付款。所以，虽然有安全隐患，但银行卡还是个好东西。只要想办法保证”虚拟钱包”不为窃贼大开方便之门就好。 选择合适的银行卡 在银行卡市场上，没有一种放之四海皆准的通用解决方案。目前市面上有美国运通卡（AmEx）、万事达卡（MasterCard）、Visa卡、银联以及许多本地支付体系。银行卡分为信用卡和借记卡，这两种卡在有些市场上有很大差异。针对各种不同场合，您可能需要使用两种、三种，甚至更多种卡 – 其中每种卡都有自己的一套安全措施。通常，信用卡在许多层面的安全性更高。银行用于核查信用卡交易的安全流程更严格。在许多国家，信用卡购物已投保，保护信用良好的持卡人绝不会因欺诈性交易而损失资金。此外，有些国家的犯罪分子坚决不用信用卡交易，因为被告发的风险太高。上述理由说明了信用卡更安全，但并不代表信用卡无懈可击，也没法保证用卡一定安全，所以不能光选择信用卡，而忽视其他所有安全措施。 信用卡的安全等级通常更高，所以犯罪分子往往避免利用信用卡作案。但防范措施并不是无懈可击的，不能就此忽视完善安全措施。 选择支付体系时，请考虑卡的计划用途。虽然有许多”全球性”银行系统，但目前只有万事达卡和Visa卡几乎能在所有国家通用，没有大片的未覆盖区域。对于欧洲人或频繁去欧洲出差的人来说，万事达卡可能是最好的选择，因为欧洲有些ATM机只接受万事达卡。但明显例外的地方是中国（当地法规严格，所以在中国最好是选择银联）和奥运城（奥运会举办期间，官方场馆只接受Visa卡）。更重要的是，万事达卡和Visa卡在技术和安全性方面遥遥领先。而且，它们能强制整个行业实施安全解决方案。 选择卡时应该深入了解的最重要事项是银行的利率和服务内容，同时还要考虑安全措施。请查看银行网站的”安全建议”部分，了解一些常规小贴士，比如”不要把卡交给陌生人”，除此之外，还能找到这家银行为客户提供的可用安全工具列表。下面列出了要留意的有用安全工具。 卡片安全工具 芯片卡。所谓的芯片卡（更正式的叫法是”EMV卡”）在欧洲各大银行的使用很普遍，但在美国、加拿大及其他一些地区还属于新兴事物。这种卡除了有磁条外还装有芯片，安全性更高，能阻止大多数盗取卡中数据进行克隆的行为（比如Target数据入侵、ATM机盗刷器及其他手段）。芯片卡仍兼容旧的读卡机（刷卡机），万事达卡和Visa卡要求最晚到2015年底必须全部采用芯片卡。各家支付体系威胁说，从2016年开始，对于因使用非EMV卡而发生的欺诈交易，他们不会负责赔偿。 芯片和PIN码。芯片为商家或银行读卡提供了更安全的新方法，但仍需要对持卡人进行认证。对于老卡，认证是通过签名来完成的，但商家通常并不会检查签名的真伪，所以通常很容易伪造。另一种方法是每次购物交易都要求输入4位PIN码，此方法目前已在ATM机上实施。这种方法和在凭条上签字一样快，但要安全得多。 更改PIN码。PIN码使用方便，但并不是标准功能；它允许客户把预定义的PIN码更改为更容易记住的PIN码。此外，有些银行不允许重新签发忘记了PIN码的卡。重要提示 – 避免使用简单的PIN码，比如生日或四位连续数字。 卡附照片。这种方法极为简单，是将持卡人的照片整合到卡设计中，但却能有效地防止被盗卡用于大型零售店。 即时通知。即时通知通常是通过短信发送，利用这种简单的功能，可以即时检查提款额是否正确。提款后几秒内就能收到短信，其中包含准确的交易描述和被扣总额，有助于发现欺诈收费和帐单错误。及时通知能让纠纷处理变得简单得多。 对用于网上支付的所有卡启用万事达卡安全码/Visa卡验证。#支付#安全性#小贴士 3D验证服务。此功能可提高网上交易的安全性。虽然各品牌有不同的叫法（Visa卡验证，万事达卡安全码，J/Secure，美国运通卡安全密钥等等），但本质上是一样的－银行和支付系统会向用户验证每笔网上交易。通常验证分成两步。第一步，在商家网站（或商家支付处理器网站）上输入信用卡详细信息；第二步是页面会重定向到用户所用银行的专用页面，在其中用户使用专用密码来确认购买。在某些实施的验证服务中，要求输入的只是辅助静态密码（没那么安全）；但最新实施的验证服务要求输入通过短信发送的的一次性密码（非常安全，能防止网络钓鱼）。强烈推荐为经常在网上使用的所有卡启用此功能。 虚拟卡。虚拟卡是应对网络诈骗的另一种方法，它仅限用于网络购物，因为这种卡并没有对应的实物存在。用户可以通过网银即时办卡。所办卡可以是与主卡关联的副卡，也可以是独立的卡。对于第一种情况，此卡只能购物一次，之后即被封锁。而第二种情况，卡通过网银进行管理，以平衡安全性与便利性。可能采用的安全措施包括设置支付限额（每天、每月、总计），定期重办卡（每月、每周甚至每天一次，具体根据实际需要），使卡的余额保持几近于零（每次购物前都必须人工给卡充值）。 NFC。近场通信（NFC）从严格意义上来说并不是一种安全措施，而是一种无线技术。提到运用了这种技术的万事达卡PayPass和Visa PayWave，可能更为人所知。这种技术支持两个设备之间通过短暂接触来交换信息。相对于常用的磁条和EMV芯片，NFC芯片超小，可内嵌在卡中。要使用NFC进行交易，必须用卡轻触终端；甚至卡装在钱包中也不影响使用。这就提高了卡的安全性，因为无需把卡递给任何人，甚至根本不用出示卡。忘了拿卡或把卡放错地方的机会也大大减少。但是，NFC在银行领域的应用相对较新，而且作为一种无线技术（虽然是几厘米的超近距离），可能很容易受尚未知的探测方案的影响。这就是为什么我们建议支持NFC的卡只用于金额不大的小型交易，事实证明在这些场合使用即时非接触式支付方式最方便，例如公交车、加油站、快餐店、停车场等。简单的安全规则现在，你已选好银行和卡类型，并采用了所有可能的安全措施。使用带芯片和PIN码的卡，再加上3D验证服务和短信通知功能，不管是网上支付还是线下交易，都能大幅提高资金安全性，但这些保护功能只有你在执行了其他一些简单的安全规则后才有效。 不要直接把信用卡给孩子或配偶用，请为他们办理副卡。#支付#安全性#小贴士 不要把卡给任何人。显而易见，在一些常见情况下，这条规则实际遵循起来相当困难。在餐厅用餐后需要将卡交给服务员，让对方拿到结帐台去刷卡；或者你可能会把卡借给其他对你很重要的人或者自己的孩子。为了避免可能发生的不当使用，请一定不要让卡离开自己的视线，比如随服务员一起去账台结帐。在国外用卡时这一点尤为重要。为了更方便家人使用信用卡，你可以为孩子和配偶办理副卡。 不要在不安全的场所用卡。最危险的地方是街上的ATM机或者其他管理较松的公共场所的ATM机。在这里很可能发生盗刷行为，即通过尝试记录卡片详细信息和PIN码，然后制作复制卡来盗取卡中资金。此外，最好不要在太小的店或设备老旧的地方用卡。 切勿透露PIN码。没人有权要求你提供PIN码－绝无例外。不要将PIN码写在纸上。如果担心忘记，可以在手机上使用专用密码管理器（请阅读我们对iOS和安卓应用的评论）。在ATM机或POS终端上输入PIN码时，请用另一只手挡住键盘。不要让任何人离你过近，看到输入的密码。如果怀疑PIN码以某种方式被盗，请立即向银行报告。 报告任何问题。一旦遇到任何问题，不管是卡丢失还是卡内资金被意外提取，请立即向银行报告。时间非常关键，因为骗子也会抢时间刷被盗卡。 确保网上支付安全。简而言之，计算机中应该没有任何恶意软件，网络应该安全，而且连接必须加密。此外，还得确保连接到的是网店或银行的真实服务器，而不是假冒服务器。这些规则实际手动实施起来有一定难度；这也是为什么会推出简单的”套装”解决方案来自动进行所有这些检查。这种解决方案命名为”Safe Money”，是卡巴斯基安全软件和卡巴斯基PURE中的一个附带组件。

安卓设备在全球市场的领军地位逐步提升，但也日益受到恶意软件问题的困扰。迄今为止，对于基于安卓设备的应用商店Google Play而言，这是特别艰难的一年，其声誉也大受损害。在2月份，网络安全公司RiskIQ报告，Google Play商店内的应用数量在2011年到2013年之间增加3倍。在随后的4月，众多用户在Google Play下载了一款假冒的安卓反病毒应用，Google随即宣布将向这些已购买该应用的1万多名用户退还3.99美元—好在该款应用只是一个”玩笑”而已，除了点击后会改变图标形状以外对设备没有任何害处。 安卓继续提升其在美国和全球智能手机和平板电脑市场的领导地位，据ComScore统计，Google平台上在美国智能手机市场占据52％的份额，而苹果则为41％，而这一差距在全球市场上更为巨大——2014年第1季度，安卓拥有全球市场44%的份额，而苹果仅为10％。此外，安卓设备占据美国平板电脑市场62%的份额，而iOS则为36％。 然而伴随着安卓市场份额的累计攀升，其针对Google公司的安全协议的攻击也逐渐增多。除在应用商店中出售的Google授权应用的安全问题外，网络安全公司Opswat上月还报告了第三方应用商店出售的近三分之一应用含恶意软件。这一数据促使Google改进安卓设备上的验证应用安全功能，即在所有安卓用户设备上本地扫描第三方应用——前提是得到用户的许可。这些恶意软件中还包括一款令人讨厌的勒索软件，用于从国际色情用户吸费。 然而伴随着安卓市场份额的累计攀升，其针对Google公司的安全协议的攻击也逐渐增多。 因此，安卓用户需要极其谨慎地下载各种应用。最好的方式就是不再下载第三方应用，且始终通过验证应用工具对所有下载应用进行本地扫描。但除此之外，安卓用户还应该在他们的设备上运行移动安全套件。目前市场上的安全软件种类繁多，用户往往难以抉择——在这里，卡巴斯基实验室非常乐意为用户推荐一款产品——但鉴于应用和所谓的反病毒系统中恶意软件的数量和严重性不断上升，如果用户没有安装任何此类的移动设备安全套件，则应关闭安卓设备。

如果你的孩子常常借你的手机上网，那么需要考虑他们上网的安全性。孩子的经验有限，有时候会访问危险链接或网络钓鱼链接。 借助卡巴斯基安全软件安卓版，你可以运行只允许打开安全网站的专用浏览器。

还记得我们曾提到过CryptoLocker勒索软件非常危险的新闻吗？现在，勒索软件出现一种全新变体将安卓用户锁定为目标（起码会让人联想到CryptoLocker）。众所周知，CryptoLocker是对用户的关键计算机文件进行加密，然后以解密为条件用户向勒索钱财。考虑到安卓所占的市场份额，还有以安卓设备为目标的恶意程序样本的广泛传播，出现新的变体并不令人意外。 勒索软件是黑客用来锁定被感染计算机，并以此为条件向用户勒索钱财的一类恶意软件。在某些情况下，恶意软件只是让计算机无法使用。但另一些恶意软件，比如CryptoLocker，是加密被感染计算机上的重要文件，然后要求用户缴费来获取解密这些文件的专用密钥。CryptoLocker还算诚实，对自己的意图直言不讳；但还有许多勒索软件则是假冒执法机构向用户发出警告。警告中通常声称在用户计算机上发现了某类非法内容，必须缴纳罚款才能解锁计算机。 对于这种情况，其实是负责不同种类勒索软件的一组犯罪分子（称为Reveton）发布类似于CryptoLocker的恶意软件来感染安卓移动设备。 这种勒索软件到底在多大程度上与令人厌恶的CryptoLocker（以台式机为目标）有关系尚不清楚，但不管制作者是谁，显然是在玩CryptoLocker的旧把戏，这是属于犯罪性质的某类营销骗局。 为”Kafeine”公司工作的一位知名安全研究人员发现了这种新型恶意软件，并在自己的博客Malware don’t need Coffee中记录了此恶意软件的信息。他发现，安卓设备用户连到感染了此恶意软件的域后，即会被重定向到色情站点，该站点中部署了一些社交工程，目的是骗用户进入包含此恶意软件的应用文件。 但好消息是：除非用户实际上亲自安装了此恶意软件，否则不会被感染，这就是为什么我们推荐只安装来自合法Google Play商店的应用。 “锁定程序非常有效，”Kafeine在此恶意软件的说明中写道。”用户可以在主屏幕上继续操作，但所有操作都失效。无论是启动浏览器、调用应用还是执行”列出活动任务”，都会弹出锁定程序。” 这种恶意软件的应用文件伪装成一个色情应用，用户需要下载才会被感染。如果用户启动此应用，随即会显示一个警告屏幕，通知用户被控在手机上浏览或传播色情内容。 此消息还会通知用户，须通过MoneyPak支付300美元的罚款，否则可能会面临5到11年的监禁。 Reveton一伙发布的工具包版本具有多种变体，受害用户遍及30多个国家，包括美国、英国、法国、德国、澳大利亚和西班牙。 这种勒索软件到底在多大程度上与令人厌恶的以台式机为目标的CryptoLocker有关系尚不清楚，但不管制作者是谁，显然是在玩CryptoLocker的旧把戏，这是属于犯罪性质的某类营销骗局。这个情况着实让人感兴趣，因为从中可以看出网络犯罪分子是如何花样百出，利用合法的商业做法来获取最大利润的，当然这得改天再谈了。

随便找一个有点年岁的安全研究人员或黑客聊聊，就很可能会听到他这样说，我们那时候（也就是上世纪90年代）做黑客一点都不酷。黑客寂寞孤独，往往情绪沮丧，做黑客主要是为了获得精神上的满足，黑客之间惺惺相惜。但近来风气变了，黑客行为和安全文化在某个时刻有了交集。 目前，隐私性和无孔不入的监控是技术社区以外热议的话题。自己的一举一动受到监控、跟踪和记录，这并非无稽之谈，乔治•奥威尔在60多年前就曾描绘过这样的场景。普通市民要应对监控技术的广泛传播，其实并没有太多的选择，至少在现实世界中是这样。但在法国育碧公司（Ubisoft）全新推出的视频游戏Watch_Dogs（监听风暴）中，玩家扮演的艾登•皮尔斯（Aiden Pearce）能够利用无所不在的监控基础架构，随心所欲地控制虚拟世界。 游戏开发中借鉴了卡巴斯基实验室安全专家提供的内容。游戏设定在当今的芝加哥，皮尔斯是一名技术高超的电脑黑客，为了保护家人不陷入险境而反抗。他能利用城市及其中央控制系统（ctOS）作为自己的武器。ctOS全面控制芝加哥所有安保系统、交通和其他基建设施，监视全体市民的一举一动。而玩家扮演的皮尔斯则有能力入侵ctOS，调用监控摄像机，监视对手和其他市民，利用技术达成自己的目的。 在《监听风暴》游戏中玩家可利用黑客技术穿梭于未来的智能城市。卡巴斯基负责检查其中黑客行为的真实性。 好莱坞数十年来一直着迷于黑客题材的影片，最早一部以黑客为主体的影片是《战争游戏》；之后陆续有《通天神偷》、《剑鱼行动》、《黑客帝国》等无数部黑客影片。但现实中的安全研究人员和黑客们总是批评说，黑客场景缺乏真实感。坦白说，黑客入侵过程看起来确实平淡无奇，所以电影导演总是想加点料，这也是完全可以理解的。但从另一方面来说，也是展示任务能否借助黑客行为来完成。为此育碧公司的开发人员和游戏设计人员希望《监听风暴》中的黑客入侵场景尽可能贴近现实。 这也正是卡巴斯基实验室专家一显身手之处。黑客入侵内容是游戏的关键组成部分，育碧公司向卡巴斯基的研究发员发送了一份游戏剧本，要求进行真实性核查。剧本最终落在卡巴斯基首席安全研究员Vitaly Kamluk手中。他通读了整个剧本，表示非常喜欢游戏内容。游戏就此踏上了正轨，没有一般游戏中惯常出现的无法突破防火墙和黑客用枪强行破解加密密钥的荒诞场景。 “我只提了几个小小的建议，”Kamluk在今年4月《监听风暴》预玩活动举办期间，在育碧公司的旧金山办公室接受采访时表示。”他们干得很不错。既真实又好玩。” “这不是典型的好莱坞黑客故事。这是活生生的现实。”来自@Kaspersky的@vkamluk在谈到 #监听风暴时说 事实证明这绝非易事。人们往往并不希望在游戏中有过多真实场景出现，但《监听风暴》将利用漏洞与黑客入侵闭路电视的行为无缝交织在一起，搭建起游戏的基本架构。这是游戏过程中固有组成部分，皮尔斯的安全知识看上去也并不像超能力，而是难得的技能。皮尔斯的这一技能贯穿在芝加哥的各种行动中：控制红绿灯、移动摄像机来监视敌手，在棒球场把灯打碎以便逃跑。所有这些手段都是一名聪明的黑客会为自己装备的武器。 “这不是典型的好莱坞黑客故事。”Kamluk说，”这是活生生的现实。”

我们花费了大量的时间来讨论网上的各种威胁，并给出了如何避免成为网络诈骗目标的建议。今天，我想简要谈谈发现网络威胁后应对的最佳方式，网上有大量机构提供此类服务，致力于打造安全的网络环境。在某些情况下，所有这些组织唯一需要用户做的就是向他们举报信息。 网络钓鱼 网络钓鱼是一种社交工程欺诈，即攻击者尝试欺骗用户向他们传递具有潜在价值的信息。其中最流行的一种网络钓鱼攻击是通过电子邮件进行的。攻击者伪造电子邮件，让收件人信任邮件是可信源发送的。电子邮件可能声称来自知名银行，警告系统有潜在安全问题，并提供链接，供用户执行密码重置。 无论您是当事人还是知情者，都能向许多机构提交网络威胁信息，共同打造更安全的网络环境。 这种链接通常会使页面转至类似于邮件中所声称银行的网站。用户点击此链接后，要求输入用户名和密码来访问自己的帐户并创建新密码。当然，实际情况是攻击者引诱用户泄露自己的网银凭证（这就是为什么银行警告用户不要点击来路不明的电子邮件中的类似链接，而鼓励用户直接输入银行网址，进入银行网站登录）。 所以，如果曾意识到是网络钓鱼攻击，无论目的是获取支付信息、社交网络凭证还是其他什么信息，您应该怎么做呢？实际上您有很多种选择，但一般来说，应该遵循以下5个步骤： 1.不要点击可疑的链接； 2.一定要将网络钓鱼电子邮件及链接转发给被假冒的公司 3.在某些情况下，可能需要联系执法机构； 4.通知政府消费者保护机构或相关技术公司也是个不错的选择； 5.做完上述事情后，一定要删除欺诈邮件。 假设遇到以PayPal为主题的网络钓鱼活动。您希望联系PayPal专设的反欺诈部门。方法是在您偏好使用的搜索引擎中，输入”PayPal网络钓鱼举报”或”PayPal反欺诈”进行搜索就能找到他们的信息了。 完成上述操作后，应该遵循他们提供的指导信息。如果是一封网络钓鱼电子邮件，则应将其转发给PayPal，然后删除此邮件。在此之后，服务将建议浏览整个交易历史记录，确保金额正确。类似行动可以在许多类似情况下执行。Gmail也有网络钓鱼举报功能，直接内置于图形用户界面中。大多数银行和商家也都设有举报网络钓鱼攻击的功能。 根据情况的严重性，您有可能需要联系执法机构，但此话题我们将在下面的部分中进行讨论。 美国计算机安全应急预备小组（US-CERT）是美国国土安全部旗下的一个网络事故响应部门。该小组有一个专门的电子邮件地址（phishing-report@us-cert.gov），鼓励用户向他们发送网络钓鱼攻击。与此类似，美国国税局也有自己的专用网络钓鱼和反欺诈页面，其中包含市民应该如何应对纳税相关的欺诈行为的信息。这些都是美国特有的机构，但只要稍用点心搜索一下，就能轻松找到其他国家的类似机构。除了政府机构外，像Google和微软这样的技术型企业也有用起来很顺手的页面，用户可以在其中举报有关网络钓鱼和欺诈行为的信息，并允许用户提交网络钓鱼网站的链接。 帐单差异 1.联系收款机构。 2.如果问题得不到解决，请联系银行。 3.在某些情况下，可能需要联系执法机构。 如果在购物时曾遇到以下情况：为自己没有购买过的物品或服务而多付了钱，或者已购买但从未收到货，那么一开始应该联系违规商家。如果收款方不是合法的商家，似乎是欺诈行为，则需要立即联系银行或信用卡提供商，向对方解释有纠纷的交易。 如果收款公司是信誉良好的商家，例如eBay或亚马逊，则可能设有某种类型的纠纷交易页面或解决中心。任何有信誉的网络商品与服务销售商都应该为客户及其他用户提供一定的方法来解决有纠纷的交易。但我敢肯定，在某些情况下，你得多花点功夫，可能还需直接给对方公司打电话。如果你诚实又有耐心，那么就能与最负责任的商家一起解决这些纠纷。在这种情况下，你甚至不必联系银行或信用卡提供商。 但是，如果显然你从来没收到过订购的商品，而且认为等待收货的时间超出正常的范围，或者显而易见有欺诈行为，则应该直接联系银行。不管你的钱是存在哪家银行，也不管你使用的是哪个品牌的信用卡，银行或信用卡公司都有一套系统，专门用于举报欺诈收费。在互联网上搜索到相应的银行或信用卡公司，浏览他们的网站，或者直接打电话给客服部门。 除此之外，像在eBay或亚马逊这类网站，个人可以直接向客户销售商品，因此可能会发现自己被实际上并未入驻这些大商家的卖家所骗。此时，你需要做的是遵循有关如何处理有欺诈行为卖家的具体指导信息进行操作，亚马逊和eBay肯定提供有此类信息。 如果发现欺诈行为直接从您帐户扣款（比如有人拿到你的信用卡号或eBay登录凭证，并不断支付款项），则需要联系执法机构。在此可以找到相应的区域管理机构（至少是美国境内的）。当然，如果在美国境外，请还是搜索”消费者欺诈举报”，我相信你会找到相应的机构。 ConsumerFraudReporting.org是一个庞大的资源，如果发现自己遇到欺诈情况，请访问此网站。在此网站中，您可浏览各种内容，包括如何处理社会保险号被盗，如何应对恶意程序感染，一直到向主要信用机构举报有欺诈行为的商家。 恶意程序感染 首先最重要的一点是，应该始终运行安全软件。强大的反病毒产品能使你的计算机坚不可摧，并有效地防止被恶意程序感染。 但是，假设你的计算机被信息窃取类恶意软件感染。一般来说，应采取以下三个步骤： 1.补救感染； 2.评估暴露程度；

在发现恼人的Heartbleed bug短短数周之后，像你我这样的普通网民可能需要关心一下另一个看似普遍的问题，这个问题无法轻易给出答案。这个问题就是”隐蔽重定向”bug的准确定义，并于近期由新加坡南洋理工大学数学系的王晶博士公布。这些问题是在流行的互联网协议OpenID和OAuth中发现的；前者在您使用来自谷歌、Facebook和LinkedIn的现有登录信息来登录网站时使用，后者是在您授权网站、应用程序或服务使用您的Facebook/G+账号而非真正输入您的密码并登录第三方网站时使用。这两个协议通常结合使用，但事实证明，这可能会导致您的信息泄露。 威胁 我们在Threatpost的朋友针对这一问题给出了更具技术性的解释，并顺带提供一个原始研究链接，但我们会省略不必要的细节，只说明可能发生的攻击场景和后果。首先，用户访问一个恶意钓鱼网站，其中出现典型的”使用Facebook账号”登录的按钮。钓鱼网站可能酷似流行的第三方服务或将自己伪装为一个全新服务。一旦您点击该按钮，则会出现一个逼真的Facebook/G+/LI弹出窗口，提示用户输入自己的登录名和密码信息以授权上述（并且可能有声誉的）服务来访问他们的用户配置文件。最后，使用不当的重定向方式，将使用该配置文件的授权被发送到不正当（钓鱼）网站。 首先，用户访问钓鱼网站，并尝试使用Facebook账户或其他OpenID提供商账户登录。 在当天结束的时候，网络罪犯收到一个适当的授权（OAuth token），利用原始应用程序拥有的任何权限来访问受害人的配置文件——最好的情况下，只是访问基本的用户详细信息；最坏的情况下，可读取联系人、发送消息等内容。 这一bug已被修复？事实并非如此 这个威胁不会很快消失，因为修复必须在提供商端（如Facebook/LinkedIn/谷歌）和客户端（第三方应用程序或服务）同时执行。OAuth协议仍处于测试阶段，各个供应商使用不同的手段措施，并依据抵御上述攻击的能力而各有不同。LinkedIn在修复方面处于更有利的位置，因采取了更为严格的处理措施：即要求第三方开发人员提供适当重定向的”白名单”。到目前为止，每个使用LinkedIn授权的应用程序或安全或依然无法运行。而Facebook面临的情况则有所不同，因为其所拥有大量第三方应用程序，并且这些应用可能使用更早版本的OAuth执行。这就是为什么Facebook的代表告诉王晶，”无法在短期内修复的原因”。 此外，还存在众多似乎易受攻击的其他供应商（查看以下图片），因此如果您使用这些服务登录某些网站，则必须采取行动。 您的行动计划 对于最谨小慎微的用户来说，最可靠的解决方案是在未来数月放弃使用OpenID和这些便利的”使用……登录”按钮。您可能会受益于增强的隐私性，但使用社交网络账户登陆将导致您线上行为被更有效地追踪，并使越来越多的网站可以读取您的个人基本数据。为了避免因登录各种网站而不得不记住几十甚至上百个不同密码，您可能最终会使用有效密码管理器。当今的大多数服务都配有多平台客户端和云同步，以确保您能在自己不同的设备上访问您所有密码。 对于谨慎的用户来说，最好的解决方案莫过于在今后几个月放弃使用Facebook/谷歌账号登录。#OpenID #CovertRedirect 然而，如果你打算继续使用OpenID授权，并不会发生什么直接的危险。你只需要保持高度警惕，避免任何网络钓鱼诈骗，它们的通常手法是首先向您的邮箱发送骚扰邮件，或者在Facebook或其他社交网络上提供吸引眼球的链接。如果您使用Facebook/Google等账号登录到某些服务，应确保您使用手动输入的地址或书签打开此服务的网站，而不是点击您的邮件或者消息中的链接。仔细检查地址栏，避免访问粗制滥造的假网站，且不使用OpenID注册新服务，除非您100％肯定相应服务信誉良好且登录的是正确网站。此外，请在您所有设备上使用安全浏览解决方案，如卡巴斯基安全软件多设备版，以防止浏览器访问危险站点，包括网络钓鱼网站。 这只是一个为谨慎起见而采用的普通防范练习，每位互联网用户应每天进行这样的练习。网络钓鱼的威胁分布广泛而危害巨大，它会导致各类数字财产损失，包括：信用卡卡号和电子邮件登录账号等。OpenID和OAuth中出现的”隐蔽重定向”bug只是让您更有理由进行防范——没有例外。

本文将为您带来警察部门和安全专家在寻找黑客和网络罪犯方面的进展。呈上4月所发生的几起重大网络犯罪起诉案件。 俄罗斯黑客遭美国引渡 俄罗斯黑客Vladimir Drinkman涉嫌参与网络犯罪集团，他于两年前在荷兰被捕，面临着美国和俄罗斯的引渡要求。将由荷兰当地司法部决定由哪国处置，但Drinkman依旧抱有上诉权利。无论如何，Vladimir Drinkman似乎都将面临数年的牢狱之灾。Drinkman被控入侵数十家零售商、支付处理商和金融公司，窃取1.6亿多张信用卡和借记卡的信息。此案被认为是迄今为止美国境内最大的金融黑客攻击案件。调查人员表示，自2007年以来，该团伙长期从事网络犯罪活动，并导致受害公司遭受3亿多美元的损失。除Drinkman以外，另外4名犯罪成员被控合谋计算机攻击：其中3人来自俄罗斯，另一人为乌克兰人。 因使用木马获刑8年 一家莫斯科法院对两名年轻男子作出宣判，起因是这两人使用令人厌恶的Carberp木马从银行帐户中窃取钱款。该两名男子不断传播恶意软件并越权访问用户计算机和网上银行账户。在完全控制受害者的计算机后，将用户帐户上的资金转到一个虚拟帐户，随后通过普通的自动柜员机提款。经过半年时间的”不断努力”，两名男子在短短3个月时间里完成了至少90笔交易，窃取受害人钱款累计达360万美元左右直至被捕。但显然他们已无从挥霍这笔巨款了：两兄弟中，1人将面临5年监禁，另1人则将度过8年的铁窗生涯。有趣的是，据报道两兄弟中的弟弟有重大犯罪背景，甚至还在被控房地产欺诈后遭到全球通缉。此次调查是由俄罗斯一家最大的银行发起，俄罗斯网络警察在荷兰和加拿大专家的帮助下也参与其中。 网络罪犯继续从事违法勾当，执法机构成功将其绳之以法。此类案件每月频繁上演，以下是4月以来最有趣的案例。 Carder.su协调人出庭 Carder.su作为最臭名昭著的犯罪团伙之一，其成员在过去几年间遭到执法部门的严令通缉，目前已失去一名主要协调人。四月上旬，来自格鲁吉亚的Cameron Harrison（又被叫做”Kilobit”）格鲁吉亚同意认罪。据检查官称，Harrison大约于6年前加入Carder.su犯罪团伙并且扮演了关键角色：窃取信用卡卡号随即将这些信息转售给其他犯罪分子。所有这些犯罪活动在全球造成约5000万美元的损失，当局于2012年打垮了Carder.su犯罪团伙，以非法交易和制造被窃信用卡及冒牌信用卡为名起诉了该团伙的55名成员。现在，Harrison可能将面临长达20年的监禁生活。他还可能不得不支付巨额赔偿金，以补偿他对众多支付系统（例如Visa和MasterCard）客户所造成的损失。 使用ZeuS可能会造成损失 9名涉嫌敲诈勒索团伙成员因使用ZeuS恶意软件使数千台企业计算机受感染，而遭到美国内布拉斯加州林肯市的地方法院起诉。其中31岁的乌克兰人Yuriy Konovalenko和36岁的Yevhen Kulibaba被控合谋实施计算机诈骗和身份盗窃、恶性身份盗窃以及多起银行诈骗案，最近已从英国被引渡到美国。此次调查是在美国、英国、荷兰和乌克兰警察联合协助下进行的。据报道，两人都负责所谓”钱骡”的环节。这些人扮演中间人的角色，他们从受害人的银行账户窃取钱款，然后转移至他处取款。Konovalenko和Kulibaba可能将面临长达40年的监禁。其他7名成员仍然逍遥法外，但显然不会逍遥太久。 因使用KVM设备而被判入狱8年 一个犯罪团伙的9名成员被判处监禁，罪名是使用特殊KVM设备从巴克莱银行窃取210万美元。只需通过一套鼠标、键盘和显示器，即可使用该种硬件访问大量远程计算机。据检察官称，一名作为受邀计算机技术员在银行工作的诈骗分子将一个KVM切换器和一个调制解调器安装到银行的计算机系统中。其结果是，该团伙不仅能够访问在银行内使用的计算机，还能访问整个内部网络以及其中存储的所有信息。所有非法交易都是在银行附近的一家酒店进行。此后，该团伙将所有的非法所得都都花在了定制珠宝、劳力士手表等贵重物品上。但现在，他们只能在牢狱中苟且度日了：团伙的每一名成员的刑期从6个月到8年不等。

OpenSSL Heartbleed bug终于不再是本周的头条新闻。我在撰写本文时已近下午3点，但到目前为止我一整天都没看到过一篇关于Heartbleed bug的文章，真让人惊奇。但别担心，不谈Heartbleed，我们还有很多其他内容要讨论： 零日漏洞 本周早些时候，卡巴斯基实验室宣布发现Adobe Flash Player中存在零日漏洞。说来也奇怪，卡巴斯基发现这种漏洞的工具正是用于发现新恶意程序样本的工具。零日漏洞被发现时，已经通过一种叫做”水坑攻击”的威胁肆虐于叙利亚地区。水坑作为一种有针对性的攻击，攻击者侵入攻击对象可能会访问的合法网站，在其中植入恶意程序，当用户访问这些网站时，就会被恶意程序感染。Adobe已经针对这种漏洞提供相应的补丁，所以请尽快安装Adobe公司发布的所有更新。 微软的Internet Explorer浏览器也同样存在零日漏洞问题。在此我不打算深究此漏洞的技术细节。但我想说的是零日漏洞被广泛利用，能针对各种目标发起攻击；显而易见，确保安装微软称之为”Out of Band”的紧急安全补丁十分重要。此类补丁是指微软在每月固定的周二补丁日以外的时间发布的补丁。如果漏洞收到out-of-band补丁，这通常表明这是一个严重漏洞。 微软Internet Explorer浏览器和Adobe Flash Player零日漏洞取代OpenSSL Heartbleed登上本周安全要闻头条，成为主要讨论话题。 本已封刀退隐，无奈重陷江湖 关于周二补丁日：还记得本月早些时候我们曾讨论过不再向Windows XP发送安全补丁吗？但我们错了（至少从技术角度来说是这样）。因为上述Internet Explorer零日漏洞主动有针对性攻击的目标主要是Windows XP系统，微软心一软，也发送了针对XP用户的Internet Explorer发送out-of-band补丁。 又见AOL！ 最近，大量AOL电子邮件用户遇到了麻烦，他们发现自己的帐户被用于向自己联系人列表中的用户发送垃圾邮件。我们曾在上周的新闻回顾中讨论过这个问题。对此AOL声称，这完全属于”电子欺骗”攻击的内容。他们表示，此问题没有任何危害，只是看起来好像电子邮件是来自AOL用户电子邮件帐户。实际上，该公司在最初的声明中就表示过，电子邮件发件人只是使其看上去仿佛电子邮件是来自AOL用户电子邮件帐户。 如果我没记错，上周我们曾谈到AOL对事件的解释让人匪夷所思，因为事实上电子欺骗行为可能仍在继续，这没法解释攻击者是怎么搞到所有这些联系人列表的。可以肯定的是，本周AOL承认，已向用户发送通知，敦促用户更改密码。所以，如果您使用的是AOL帐户，那么最好更改密码。 Facebook和隐私 Facebook宣布推出一款全新的功能，名叫匿名登录。Facebook创始人马克•扎克伯格昨天在公司的F8会议上对开发人员说，”匿名登录”将允许用户使用Facebook帐户登录到第三方应用，而无需使用自己的Facebook凭证，也不必与第三方共享个人信息。 “这一功能的理念是，你不希望应用获知你的身份，但又想感受简化的登录体验，那么利用此功能可免去繁琐的表格填写工作，”扎克伯格说。”它能让你放心大胆地试用应用。” “匿名登录”目前为Beta测试版，只适用于某些应用；例如，Flipboard就是首批适用的应用之一。登录时，Facebook用户可以选择使用自己的Facebook凭证登录应用，也可以选择使用”匿名登录”来试用应用。”匿名登录”本身采用黑色屏幕，而不是Facebook惯常的蓝色，通过”匿名登录”，用户能够避免与外部应用共享已经与Facebook共享的任何数据。

在最近对移动安全产品进行的测试中，卡巴斯基安全软件安卓版又一次成为表现最佳的解决方案。在此次测试中，防御的最新恶意软件威胁超过2000个。 今年3月，AV-Test执行一项独立测试，测试目的是分析31家供应商所提供产品在以下方面的有效性：检测并阻止2266个有效恶意软件样本，生成的误报数（对实际无害的程序执行的可疑病毒检测实例数），以及对设备性能、电池寿命和网络速度的影响。 卡巴斯基安全软件安卓版对恶意程序的识别和阻止率达到100%；而其他参评解决方案的平均成功率为95%。卡巴斯基安全软件安卓版的误报率为零，并且对设备资源没有显著影响 – 所有这一切使卡巴斯基安全软件安卓版在13项测评中无一例外地赢得最高分，被授予”合格”产品。 卡巴斯基安全软件安卓版对恶意程序的识别和阻止率达到100%；而其他参评解决方案的平均成功率为95%。 “移动安全解决方案的主要任务是保护用户数据不被网络犯罪分子窃取，防止设备变成垃圾邮件的来源和受到其他网络攻击。”卡巴斯基实验室移动威胁研发组经理Viktor Chebyshev表示说。用户选择一款解决方案时，通常对设备性能的影响是很重要的考量因素。所以对于智能手机和平板电脑来说，一款能确保高级别防御网络威胁，又不会影响用户体验的安全产品是至关重要的。 所有产品都是在安卓V4.3上进行的测试，产品的使用环境是默认设置，支持更新反病毒数据库，使用所有提供的防御工具，也允许查询任何基于云的支持服务。 卡巴斯基实验室产品在独立测试中的排名一贯靠前，卡巴斯基安全软件安卓版也不例外：2014年1月，它在PC Security Labs独立测试机构针对高级别安卓恶意软件威胁的测试中摘得桂冠。

对于保护计算机安全，您可能希望是安装一些反病毒软件，之后就一劳永逸，完全不用再考虑安全问题了。但是，时不时地你还是会有些担忧。我的保护强度够吗？或许我应该购买网络安全版，而不仅仅是反病毒版，或者应该用”产品B”，而不是”产品A”？我怎样才能确保防御充分呢？乍一听，这些问题可能有些复杂，但事实上做起来却十分简单，因为你想知道的这些信息都我们都已为您收集。 对于保护计算机安全，您可能希望是安装一些反病毒软件，之后就一劳永逸，完全不用再考虑安全问题了。但是，时不时地你还是会有些担忧。我的保护强度够吗？或许我应该购买网络安全版，而不仅仅是反病毒版，或者应该用”产品B”，而不是”产品A”？我怎样才能确保防御充分呢？乍一听，这些问题可能有些复杂，但事实上做起来却十分简单，因为你想知道的这些信息都我们都已为您收集。 互联网威胁防御的测试与此完全一样。你可以通过检查所用软件在独立测试中的评分来了解软件的优缺点。测试有很多种，但我们将重点关注最权威、最适合最终用户需求的测试。 防御”未被检测”的可怕恶意软件 通过恶意软件，网络犯罪分子能够获得数百万元的暴利，在这种诱惑下新恶意软件样本层出不穷，翻新速度惊人，每天都会有成百上千个样本出现。这就是为什么一款安全套件能够应对反病毒软件开发人员未知的恶意软件至关重要。为此，开发人员组合使用了多种方法，但基本功能不变，仍是主动防御。秘决很简单：如果新应用的行为与恶意应用很像，那么它就很可能是恶意软件；所以应该立即终止此应用，同时必须回滚此应用造成的任何系统变更。说起来容易，但在真实世界中实施起来却有着惊人的复杂性。安全软件不仅要求能阻止所有恶意应用，同时又不能干扰正常应用的运行。通过独立实验室Matousec执行的主动防御安全挑战充分说明了此任务的复杂性。该公司专家故意精心编写了一些应用，试图执行一些不会导致反病毒软件报警的可疑行为。复杂程度分为11个级别，只有极少数产品能达到最高级别。卡巴斯基安全软件就是其中为数不多的几名幸运儿之一。这一成绩离不开多年的投资和研发工作，而这恰恰是大多数竞争对手承担不起的。检查免费版产品时，我们可以清楚地看到，其中大多数在第2级甚至是第1级就败下阵来。 简单地说，免费版反病毒软件通常并不能很好地应对新型未知恶意软件。而每一天都会有30万个新病毒样本问世。 免费反病毒软件并不能很好地应对未知恶意软件，而每一天都会有31.5万个新恶意软件问世。 #资料#安全性 普通用户的一天生活 另一家独立实验室AV-Comparatives的报告中提供了一种非常有用的观点。该实验室的真实世界防御测试并不涉及任何专门构造的应用。相反，这种测试的设置非常现实。AV-Comparatives有一个数据库，其中包含实际的各种恶意应用、链接和邮件附件，这些恶意软件是在测试期间活跃且广泛传播的软件，所以任何用户都可能被感染。测试方案很简单 – 专家安装全新Windows系统并进行更新，然后安装并更新防病毒软件，在此之后开始访问各种恶意链接，打开垃圾附件，最后检查阻止了多少威胁。 以下是最近一次运行的结果：卡巴斯基安全软件阻止了99.8%的威胁。这是最好的结果，只有几家供应商能达到这一水平。即便是付费版AGV也只阻止了93.4%的威胁，而绑定的微软安全软件只能阻止88.4%。 《飞速运行》还是《龟速运行》 大多数用户很关心安全解决方案会给性能带来的负面影响。对此格外关注的用户包括游戏玩家，每秒帧数哪怕是有那么一点点下降，此类用户都会抓狂不已。 速度最快、对性能影响最小的安全解决方案是#卡巴斯基安全软件 – AV-TEST。 为了衡量此性能影响，有一种专用的测量方法，由AV-TEST执行。此研究实验室会例行检查哪些安全软件会导致日常运行性能下降（计算机启动、应用启动、文件复制等），检查的结果将与在”全新”安装的Windows系统下所测得的结果进行比较。对比结果以综合表格的形式提供，但像NCAP一样，根据”星级”来判断会更容易。免费产品通常被认为是”结构较轻”，但事实证明给系统造成的负担并不轻 – 对于速度测试，像Avast、小红伞（Avira）或AVG等这样常常被怀疑会降低系统性能的软件，在此方面的得分都只有4.5-4.8分。 我需要的是反病毒版还是网络安全版？ 但是，测试并未比较同一供应商提供的反病毒版和网络安全版，在应对基本威胁时，这两种产品的表现应该差不多。但区别是：反病毒版不用于防御一些真正重要的威胁，也无法保护您不受到黑客攻击，无法阻止从网银窃取资金的尝试，也不能有效防御垃圾邮件和网络钓鱼。如果您经常使用各种网络服务、进行在线支付或加入了各种社交平台，那么正确的选择毫无疑问是网络安全版。 结论 如果使用卡巴斯基安全软件，那么您将获得极为稳定可靠的保护，能防御所有类型的面向消费者的威胁 – 这一点通过以下各种不同的独立测试得到证实：”实际 环境防御测试”、”主动防御安全挑战”等测试。与此同时，对性能的影响最小，相对于其他安全产品来说此优点尤为突出。但如果使用其他供应商提供的防御功能，那么可能这并不是什么好消息（参见下表），因为大多数流行的产品在独立测试中的表现不佳。免费检查您的计算机，并考虑改为使用值得信任的防御套件。

安全并非仅仅是反恶意软件保护。作为一个概念，移动安全由以下几项组成：隐私保护功能、对不守规矩的应用程序的权限限制，备份功能（防备智能手机损坏）、针对骚扰电话的黑名单，以及加密和家长控制功能。安卓是一个非常灵活的操作系统，并且如果您从Google Play中选择合适的安全应用，则能很好地应对这些难题。不过由于存在大量合适的应用程序，因此我们决定做一个最佳安全应用程序的简表，希望对您有所帮助。 App Lock 应用程序和多媒体的密码保护 免费/付费 几乎智能手机上的所有应用程序可对所有人开放，即使您不是机主也可同样使用手机上的所有应用。而事实并非如此。你的朋友可能会拿你的手机”只是想看看里面有什么”，孩子会玩手机，同事和亲戚会纯粹出于好奇摆弄您的手机。对于后两种情况下，图形验证码或PIN锁本可以起到作用，但是在您将手机交给朋友或孩子前，你必须解锁。因此，只需几下点击，您的所有私人数据就会被曝光。App Lock通过创建受保护应用列表来解决这一问题。在启动这些应用时，必须输入一个额外验证码。此外，您还可以在受密码保护的媒体库中存储一些私人照片和视频，剩下的则可存放在普通文件夹中。”偏执狂”用户可以使用App Lock将应用程序隐藏，在这种情况下，应用程序设置只能通过秘密拨号码激活。 App Ops 撤销应用程序权限 免费 无论安装哪些应用程序，安卓系统都会通知您需要哪些权限。如果您碰巧发现新安装的”动态壁纸”需要访问您的联系人列表以获取文本信息（顺便说一下，这是一个非常不好的迹象，在此类情况下，最好不要安装该应用），您别无选择，要么接受不良后果，要么选择放弃安装。然而，越来越多的应用程序需要更多的”额外”权限。事实就是如此，因此Google开发了一款可以对已经安装的应用程序进行权限撤销的工具。此功能在安卓4.3版上可立即获得，被称为App Ops。遗憾的是，在4.4.2版中撤掉了这款工具。App Ops 简单提供对Google的设置屏幕的访问，您可在设置屏幕限制任何应用程序对联系人列表、用户地理位置等信息的访问。遗憾的是，在安卓4.4.2版和之后的版本中，App Ops 功能需要root权限。对于安卓系统4.3以下的版本，不提供App Ops功能，但是LBE Privacy Guard应用程序提供了一套类似的功能。 安卓系统的隐藏功能：撤销已经安装应用程序的权限。例如，您可以通过一款应用程序来禁用GPS跟踪。 EDS 智能手机数据加密 8美元 对于那些在智能手机中存储机密文件的人，类似App Lock的应用程序或PIN码不足以保护数据。在安卓系统3.0版和更高版本中，操作系统提供了对存储在智能手机上的所有数据进行加密的功能。这个进程用于确保数据的最大安全性，但在每次用户希望使用智能手机时，都需要输入一个繁琐冗长的密码，否则这种方法毫无用处。每天输入50次密码令人无比抓狂，因此人们采用了替代方法：只对最敏感的数据加密。类似EDS这样的应用程序是一个合适的选择。它会在智能手机内存中创建一个容器格式文件，并对内容进行安全加密。将文件存放在这样的容器中可确保他人无法访问文件。EDS拥有两种模式。其中较为简单的模式需要完全手动操作容器。更为高级的模式需要root权限：在这种情况下，加密容器在运行时可被当做移动存储驱动器使用。在将文件保存到存储驱动器时，可自动对其进行加密。重要提示：EDS容器与TrueCrypt桌面应用程序兼容，从而简化了系统之间的数据交换。 推荐终端用户使用该应用程序，而企业和公司用户则需要安装一个特殊的MDM解决方案，以提供全面的移动安全方法。 Funamo

在本周的新闻中，我们仍将讨论OpenSSL和目前令人厌恶的Heartbleed bug；苹果在其移动iOS系统和标准的OSX系统中解决了加密问题；AOL及其客户遭受了一起严重的安全事故；爱荷华州立大学遭到黑客攻击，攻击者试图利用大学的计算资源来挖掘比特币。 “传奇”仍在继续 关于OpenSSL Heartbleed bug影响范围和严重程度方面的讨论一如既往的热烈。其中大多数讨论围绕着数字证书系统的长期前景展开，而数字证书系统则基本涵盖了互联网信任以及加密的功效和所遇到的陷阱。 不过，本周的情况有所不同，至少是与之前几周稍有不同，因为这似乎是公司首次真正开始寻找方法来避免这些bug再次出现。 美国首次出现基于安卓系统的短信木马；追踪OpenSSL Heartbleed病毒的最新消息；苹果修复iOS和OSX系统内漏洞；AOL遭受黑客攻击；以及爱荷华州立大学比特币”挖矿事件”。 一种名为核心基础设施倡议的新协作计划正在汇集资源，以筹集数百万资金，专门用来支持对于Web安全至关重要的开源项目。OpenSSL是第一个作为资金服务对象来考虑的项目，目前主要由Linux基金会、微软、Facebook、亚马逊、戴尔、谷歌以及其他一些著名的高科技公司为此协作计划提供资金。Mozilla公司也正在作出反应，利用高达1万美元的特殊漏洞赏金计划来奖励这样的研究人员：能够在新证书验证库（准备在今年夏天添加到Firefox浏览器的31版本）中发现严重安全漏洞。 苹果修复iOS和OSX系统内的SSL漏洞 在一个类似但完全不相关的说明中，苹果针对在iOS和OSX众多版本中存在的一个严重安全缺陷发布了修复补丁。该漏洞可能使攻击者能够从被认为加密的SSL连接中截取数据。换句话说，这一bug可能会使得攻击者读取消息的内容——无论是短信还是其他敏感信息。 这一bug是苹果公司于周二在其两个主要操作系统中修复的众多bug之一。虽然可能不是很严重，但这些加密漏洞会造成别的后果。因此，如果您正在使用任意一款Mac产品，则建议您前往App Store，尽快安装苹果操作系统更新。 一贯安静的AOL成为了关注焦点 这些天所发生的事情让我对AOL的email供应商市场份额产生了怀疑（相信我，我看过），但是本周确实有数量未知的AOL邮箱用户账号遭到”欺骗”。这些账号一旦被盗，攻击者们或僵尸网络就会开始向被盗用账号上的联系人发送大量垃圾邮件。AOL已证实意识到这是一起黑客事件（尽管AOL并没有称之为”黑客攻击”），但目前尚不清楚有多少用户账号受到影响，也不清楚到底发了多少垃圾邮件。令人奇怪的是，AOL声称邮箱账号被盗可能性不大，并表示这些账号受到愚弄的可能性更大。 正如AOL所提到的，欺骗攻击的方式主要是发送垃圾邮件，这些邮件看似是来自受害者邮箱，但从技术角度来看实则来自攻击者的邮箱账号，并通过攻击者的服务器发送。换句话说，AOL表示没有账号受到大规模的入侵，只不过是攻击者模拟了受害者的账号。这一辩解显然无法解释攻击者如何获得受害者的联系人列表，这意味着随着时间的推移，将有更多的账号被攻击。 美国短信木马 收费短信木马并不是什么新鲜事物。整个诈骗过程是这样的：攻击者强迫受害人将木马下载到自己的移动设备上。木马获得在受感染设备上发送短消息（文本）的能力。之后木马发送短消息到收费服务，该服务或者由攻击人控制，或者由向攻击方付款的一方来控制。之后这些消息的费用将由受感染设备的所有者来支付。 正如我所说的，此类花招已存在多年了。奇怪的是，由于未知的原因，短信木马从未真正在美国散播开来。本周早些时候这一情况发生了改变，我们在Securelist上的朋友发现一个在安卓系统上的木马正在作恶。 似乎仅仅作为首例针对美国安卓用户的收费短信木马还不满足，这款名为”FakeInst”的短信木马还将攻击目标锁定在了其他65个国家的安卓用户。事实上， FakeInst还将来自德国、法国、芬兰、香港、乌克兰、英国、瑞士、阿根廷、西班牙、波兰、加拿大、中国以及更多国家的用户锁定为攻击目标。 黑客入侵爱荷华州立大学的目的是… 比特币！？ 你看的没错。美国一所知名的州立大学遭到黑客入侵，其学校计算能力被用于生产比特币。比特币作为一种数字加密货币，其过去一年中的价格起伏不定。如果你有充足的计算机能力，就可使用这一能力来解决算法问题并生成新的比特币。这个过程被称为”挖矿”，在此过程中可赚取大量资金。与所有的网络犯罪类似，所做的一切都是为了追逐金钱。恶意挖矿并不是什么新伎俩，但这一事件让让人感觉新奇的是犯罪分子尽然将目标转到一所知名高校的计算能力上。这还不是全部，该起黑客事件似乎还造成多达3万名爱荷华州立大学学生社会保险号的泄露。

在智能手机上，有些联系人你可能不希望其他人看到。下面的漫画说明了其中一种可能的场景；但这绝不是唯一的情况。 之前，我们解释过如何使用卡巴斯基安全软件安卓版来远程隐藏敏感联系人。下面我们将教会您如何创建可永久隐藏的联系人列表，而不仅仅是在紧急情况下隐藏。

在上一篇专栏中，我们介绍了很多非常有趣的内容，能帮助用户最大限度利用我们的产品来保护您使用Windows操作系统的台式机和笔记本电脑。我们的手机产品的开发已经持续多年。随着选择卡巴斯基安全软件安卓版的用户人数稳步上升，我们将提供一些最常见的问答，希望能帮到众多用户。 卡巴斯基安全软件安卓版只限一个移动操作系统使用。您无法将此产品安装在使用不同操作系统的智能手机或平板电脑上，也不能安装在早于2.3的安卓版本上。目前还没有针对Symbian或黑莓的卡巴斯基移动设备安全软件产品。至于Windows Phone和iOS，使用卡巴斯基安全浏览器即可持续得到良好保护。 获取卡巴斯基安全软件安卓版的许可证 此产品的特点是提供了三种获取许可的方案。第一种方案是从卡巴斯基实验室在线商店购买。以这种方式购得的产品中有一个传统的激活码，允许您使用应用的所有功能一年。通过卡巴斯基安全软件多设备版可执行类似操作。激活码不会与设备绑定，所以在其他手机上重新安装此应用时可以复用激活码。 第二种方案是登录Google帐户在Google Play上购买此应用。如果首选此方法，则不会向您发送任何实际的激活码。要开始使用应用，只需使用帐户下载应用并安装即可，许可证将自动从服务器中获取。如果需要重新安装应用或转用其他智能手机，则安装文件将在您的帐户中提供。 如今的移动设备威胁中有98%都是以安卓系统为目标。对于iOS和WP8，使用卡巴斯基安全浏览器就足以提供充分保护。 第三种购买移动产品许可证的方案被称为”快速购买”；它只适用于装有SIM卡的设备，并且只在部分国家提供，但在特定区域非常普及。首选此方法的用户将按月对许可证续费。用户需要执行的唯一操作是点击应用界面上的一个按钮；之后应用会自动激活。点击此按钮时，手机会发送收费文本信息。从你的手机余额中扣除一定费用后，手机会收到一条返回的信息，其中包含新的许可内容。 有时会发生在进行支付时，此应用并未激活的情况 – 或者甚至无法完成支付。通常是是因为您的方案不涵盖或无法接收或发送收费编号的文本。在这种情况下算法无法正常工作。 如果发生这种情况，并且您已为许可证付费，请联系卡巴斯基实验室技术支持人员。请提供你的手机号和设备的IMEI来获取已付费的许可证。如果尚未付费，请试着使用其他购买方法，或者联系运营商来启用包含短编号的文本通信。 人们常问的一个问题是为什么Google Play里的应用版本与卡巴斯基实验室网站上的版本不同。Google Play中的安装文件实际上并未与我们的网站同步。现在到我们的网站上购买应用似乎更加容易，因为Google Play版本还可能要使用激活码来激活。但在不久的将来，全新发布的产品版本将在应用商店和卡巴斯基实验室网站同时提供。 卡巴斯基安全软件安卓版的重要功能 使用此产品时可能会遇到一些问题，下面我将谈谈这些问题。应用架构中的主要概念可能是密码。下面的链接中是知识库中的一篇文章，具体描述了有关密码的一些详细信息：http://support.kaspersky.com/10215。简而言之，密码是一种工具，能够保护您的反病毒软件和数据，避免拿到你手机的人擅自访问这些数据。 密码是一种工具，能够保护您的反病毒软件和数据，避免拿到你手机的人擅自访问这些数据。 #安卓版#安全性 下面是应该牢记的一些事项： 密码并不是激活码。如果应用提示您输入密码，不用去购买应用的在线商店所发送的电子邮件中进行搜索。此密码必须在配置”反盗窃”或首次启动”隐私保护”时设置。 密码只能包含数字。此应用提供了定制虚拟键盘供您输入密码： 如果锁定屏幕上的图不同，而是显示包含数字和字母的常用系统键盘，则说明你的设备已被其他应用或系统本身阻止。请检查您可能已配置的其他阻止规则。 密码只能通过”反盗窃”门户来恢复：https://anti-theft.kaspersky.com。有关详情，请参阅特定的知识库文章。请注意，恢复码并不是密码，虽然这两者都是只包含数字。恢复码须借助系统键盘进行输入。 没有什么办法能阻止设备设置硬重置。这意味着不管在手机上安装的哪种类型的软件解决方案，设置都能回滚到出厂状态，硬重置通过按设备上的特定硬件按钮来执行。此功能的优点是个人数据将被彻底擦除，擅自访问系统的人员无法获取这些信息。 除了硬重置外，没有别的方法能够绕过密码；要恢复密码也只能采用上面提供的方法。如果手机丢失或失窃，无人能访问您的数据。 另一个引起我们注意的问题是网络过滤器与浏览器的兼容性。对于早于V4.2的安卓版本，卡巴斯基安全软件安卓版唯一支持的浏览器是本机安卓浏览器。从V4.2开始，产品支持Chrome和其他不使用自己代理服务器的浏览器（这将不兼容Opera浏览器）。有此要求是考虑到我们的应用过滤网络流量的方式，但此兼容性问题未来将予以解决。 应用本身与”反盗窃”门户密切相关。如果已经拥有卡巴斯基帐户，那么可以使用相同凭证来登录”反盗窃”门户（但反之则不行）。很快，卡巴斯基保护中心门户上将提供所有反盗窃功能（英国和美国的用户无需等待，现在就能利用这些功能）。

虽然有时会有波及整个互联网的灾难性安全漏洞，但如今想要避免网上金融交易已经越来越不可能。你读到本篇文章的时候，很可能在操作网银、购物，或者是在进行网上转帐，最后一点正是下面我们要讨论的内容。 就安全性方面来说，网络良莠不齐，这并不是什么秘密。但毫无疑问是，执行网络金融交易非常方便，不管是通过网络付税、付停车费还是通过PayPal下注，都轻松自如。可以肯定地说，任何人只要试图通过网络转帐，就必定会面临大量风险，但同时，也有一长串网络操作常识有助于为了解目标搜索内容的用户提供保护。最后，我想无论是宽泛到整个互联网还是具体到本文中的转帐，网络总体来说是利大于弊。 保护自身安全 首先最重要的一点是，你得先确保计算机或移动设备的安全，之后再来担心交易本身带来的风险。首先是确保操作系统以及金融交易中可能涉及到的任何软件或应用均已更新到最新版本。如果是在传统计算机上操作，那么这意味着应保证运行的是最新的Windows或OSX系统，其他任何操作系统都不例外。对于Windows，应该设置为自动安装更新。对于Mac，只须关注App Store图标，一旦提示有更新，请立即安装所有更新。在传统计算机上，你肯定要仔细检查并确保使用的浏览器版本也是最新的，因为你可能会通过网络来执行这些交易。一旦确定操作系统和浏览器版本均为最新版本（通常可通过浏览器设置菜单中内容来轻松确定），就可以着手进行网络交易了。 请勿在公共工作电脑、公用计算机或朋友的设备上转帐。#卡巴斯基#小贴士 移动设备略有不同。在移动设备上，你同样需要保证使用的是最新版操作系统，不管是iOS、安卓、黑莓还是Windows Mobile，无论哪种操作系统都必须是最新版本。移动环境与台式机略有不同，在台式机上你可能不会通过网络执行交易。更可能的情况是，你会使用某种类型的转帐应用。所以，务必确保应用已完全更新。事实上，对转帐应用更新时，你同时会更新其他应用，因为攻击者总是能够通过其他一些薄弱应用来实现访问设备的目的。 之所以要保证已安装全部更新，原因在于安全更新能确保封锁大多数已知漏洞。当然，有一些漏洞出于某些原因并没有相应的补丁，但总体来说，要入侵已完整安装补丁的设备几乎不可能。当然，还有零日攻击，但只有傻子才会对抗零日攻击来略过标准消费者的网银信息。 为保护个人设备要做的最后一件事是确保在移动设备和传统计算机上运行可靠的反病毒程序。众所周知，恶意软件是针对PC机的问题，但显然现在越来越多的骗子瞄准了安卓平台，尤其是金融类恶意软件。运行反病毒软件将确保阻止旨在窃取个人支付信息的恶意软件进入要执行转帐的设备。此外，最优秀的反病毒软件产品提供有安全转帐功能，此功能针对可信网站白名单来运行支付网站，检查以确保与这些网站的连接是安全的，同时保证执行转帐的系统已安装补丁并且是安全的。 另外，切勿在无法控制的设备上执行转帐。如果工作电脑只供你一人使用，那没问题。但千万不要在公共工作电脑、公用计算机或朋友的设备上转帐。 保护网络安全 现在你的个人电脑应该没有问题也很安全了，接着应确保（至少是尽可能确保）要连接的网站也是安全的。为此很明显第一步是避免粗心的转帐服务。在此我没法假装知道所有可信转帐服务，但使用PayPal、MoneyGram、Western Union、Venmo和其他许多类似服务工具应该是安全的。具体用哪种服务取决于你自己，但一定要下点功夫去了解。 决定了使用的服务后，请确保该服务提供强大加密。检查地址栏，确保其中含有挂锁图标和”HTTPS”，这样做是为了确保通过加密通道传输任何信息。更新后您还可能希望检查证书（即便浏览器很可能已检查过）。除外之外，要小心可疑的条幅广告，其中很可能含有插件，会试图从浏览器会话中盗取信息。这就是为什么选择一种可靠的支付服务更加至关重要的原因。 如果使用的网站要求登录（我当然希望你登录了），请确保使用的是唯一的高强度长密码，密码由字母、数字、符号、空格和大写字母构成。这不是开玩笑。就密码问题我已写过很多篇文章，但我无法评判你用于登录向许多发件人发送的一次性电子邮件帐户是否是用低强度密码来保护。然而，如果不用最佳密码来保护计划用于处理资金的帐户可就太傻了。金融帐户须真正保证使用的是唯一的高强度密码（在此可检查密码强度）。 金融帐户须真正保证使用的是唯一的高强度密码。 假设您已使用了高强度密码，下一步则是在使用的任何网站上实施某种形式的双重认证。使用这种方法时，你得确认使用SMS或基于电子邮件的安全代码来确认登录。这种服务有两种作用：一是能加大进入您帐户的难度，二是能让你知道是否有人尝试访问你的帐户。如果你并未试图登录时收到双重认证的通知，则说明你该对计算机进行安全扫描并更改密码（因为这意味着很可能有人已取得你的密码，并正在尝试访问你的帐户）。 最后一件要做的是使用某种类型的交易担保方，例如”Visa验证”服务或”3D安全”技术验证。此类服务要求你在进行交易之前，另外输入一个一次性密码。 如果遵循上述所有步骤，并实时监控自己的银行帐户或信用卡余额，那么你的转账应该安全了。

苹果手机平台以及基于此平台构建的整个生态系统，以绝对优势领先于其竞争对手，其根本原因就在于该平台具有超高的安全级别：严格验证添加到App Store的每个应用，严格限制程序在操作系统中的功能，将设备中的所有数据自动备份到云 – 这一切使得iOS用起来既顺手又安全。但只有通过苹果默认功能和服务执行的应用才能这样做，如果面临的是非标准任务，比如用密码保护照片，那就不能指望iPhone了，因为iPhone上并没预装任何相关应用。但幸亏有苹果，你总是能到App Store上找到恰好满足需求的应用。正如他们所说，无论你需要什么，总有一款应用能满足您的要求。 上周我们已经讨论过私人即时通信工具；今天，我们将列出一系列优秀应用，为您、您的iPhone及其内容提供保护。 1password AgileBits $8.99 24.8 MB 举凡谈到最佳安全应用的文章中，几乎都少不了提到这款密码管理器。这无足为奇：1password是最流行的一款专用于创建、存储和管理密码的应用，功能强大、使用简单。但它不仅仅适用于密码；它还能存储信用卡、银行帐户、私人契约、会员卡等，举不胜举。而要获取受保护数据，你只需输入主密码即可 – 主密码是唯一必须记住的密码。主密码最好强度高，易于记忆，因为你将通过主密码把所有密码保存在一个位置。 上周我们已经讨论过私人即时通信工具；今天，我们将列出一系列良好应用，为您、您的iPhone及其内容提供保护。 另外，1password不是iPhone专用应用。AgileBits针对各大平台开发了相应的版本，包括：安卓、Mac OS和Windows。此应用在各平台上可以同步，所以如果日常使用的设备不止一台，那么这会非常有用。但不利的一面是，你需要花一大笔钱才能获得所有这些内容：iPhone应用优惠价为8.99美元，若需要桌面版，则费用更高。此外，每次有重大更新时要付费才能获得 – 这是获取一款最佳多平台密码管理器所要付出的代价。 查找我的iPhone 苹果 免费 5.1 MB 几年前，你根本不敢想要找到丢失的iPhone，因为没办法跟踪iPhone。但如今，事情完全不一样了。如果在智能手机上安装了”查找我的iPhone”应用，则有相当大的机会能找到丢失的手机。此应用的原理很简单：激活后的应用会使用GPS、手机网络或WiFi（如果可用）将iPhone的坐标发送到苹果的服务器。设备所有者转至iCloud网站或使用”查找我的iPhone”应用，就能随时获得这些坐标。当然，为此你需要拥有Apple ID；只要你有iPhone或其他任何苹果设备，那你肯定会有Apple ID。 此服务不仅允许你跟踪失窃的手机，而且还能远程封锁手机，并发送一条消息，消息会显示在失窃手机的屏幕上。例如，消息类似于： “谢谢你偷走了旧iPhone 4s。现在我有完美的借口买部新的iPhone

与上周一样，Heartbleed大事件仍是安全类新闻的头条。也许我该用整个篇幅来全面概述有关Heartbleed事件的讨论内容，但我不会这么做，因为我想你们可能还希望了解影响外置硬盘知名（时尚）品牌制造商长达一年之久的数据外泄事件；微软的奇怪举动，可能会影响用户安装安全更新；某家搜索巨头的潜在行动计划可能会促进网站搜索优化，使网站做出良好的安全决策；看看终结XP支持对互联网有怎样的影响。 Heartbleed漏洞 如我所说，Heartbleed大事件仍在持续报道中。有可能在之前两周半左右的时间里，你完全没注意过任何相关新闻来源，下面我会对此事件进行扼要概述：Heartbleed是一种加密漏洞，互联网上的任何人都能借助此漏洞来读取通过OpenSSL这种加密实施服务进行保护的机器内存。严重情况下，这块小小的内存中很可能含有用户名、密码，甚至私人加密密钥等敏感信息。要在一条简短的新闻提要中清楚解释整个事件是不可能的，如果您对此事件不是很清楚，请阅读Heartbleed发展概要，文章中进一步分析说明了为什么Heartbleed是一个大事件。如果你对此事件的发展已经很熟悉，请继续阅读本文： 上周末，Heartbleed事态进一步升级，已经从严重但仍认为安全的漏洞过渡到在真实世界攻击中被大肆利用，不断收集真实受害者的信息。一家英国育儿网站Mumsnet被黑客利用Heartbleed漏洞攻击后，被攻击者窃取了存储在该网站上的密码，据报道说攻击者利用这些密码在网站上发布消息。更令人担心的是，攻击者还利用Heartbleed漏洞设法入侵加拿大税务署辖下的系统。在加拿大税务署在使用OpenSSL的补丁版本更新系统之前6小时内，攻击者就盗走了900位市民的社会保险号。 可能导致密码、通信和加密密钥泄露的OpenSSL Heartbleed bug仍是安全行业新闻头条 美国波士顿东北大学的Collin Mulliner发起了一项研究，针对Tor节点随机采样进行检查，根据上周晚些时候发布的报告，Tor匿名化网络中大约有20%的服务器或”出口节点“被发现具有漏洞。 虽然出现了Heartbleed攻击，但概念验证证明，由于事实上存在证书被盗的可能性，而且很多人都知道需要更换可能有漏洞的证书，因此证书撤销和更换潮似乎实际上算不上什么”潮”。简而言之，这些证书可确保所访问的网站正是你要去网站。很大程度上证书在互联网上的信任度非常高。当然，Heartbleed漏洞出现后，证书撤销和更换操作出现井喷，但相对于bug的规模是完全不成比例的。 LaCie长达一年的漏洞 据我同事（每月新闻播客主持人之一）Chris Brook报道，法国计算机硬件公司LaCie（莱斯）本周宣布公司成为数据外泄的受害者，只要去年从公司网站上购买过产品的用户，其敏感信息都面临泄露危险。LaCie最出名的产品可能是彩色外置硬盘。该公司称，攻击者利用一款恶意软件入侵公司在线系统，并利用此软件来盗取客户名称、地址和邮箱地址，此外还包括支付卡信息和卡到期日期。所以，如果你大约在去年直接从LaCie网店买过产品，那么你的信息很可能已外泄，如果情况属实，公司可能已经通知过您相关情况。 微软做出古怪决策；Google搜索算法很可能再造辉煌 微软的行动着实让我想不通，但我想他们肯定有充分的理由这样做。微软最近宣布，不再为运行过时版本的Windows 8.1的用户提供安全更新。要想在未来接收安全更新，客户必须使用最新版本的Windows 8.1更新来更新自己的机器，公司于4月推出此更新版本。 我曾和微软发言人交流过，但他并未详细解释为何公司会做出这一决定。好消息是，微软发言人肯定地指出，此项决定的宣布只会影响很小一部分没有启用自动更新功能的用户。明确地说，就是我们极力推荐启用自动更新，我认为默认情况下大多数商用Windows系统都已启用自动更新。如果您已启用，那么就根本不必有任何担心。如果是手动安装更新，则需要安装4月份的Windows 8.1更新，否则将无法安装微软未来每月发布的补丁。您可自行选择怎样做，但对我来说是完全明摆着的事。 另一方面，有谣言说搜索巨头Google可能会在自己魔法般的搜索算法（至少我是这样认为的）中新增一些算法，此举将极大提高实施加密的网站的搜索结果。《华尔街日报》报道说，此新闻源于该公司搜索算法大师Matt Cutts在一次会议上的发言。Google并未直接否认这些说法，但他们称公司目前对此不置一词。很难说Google是不是会真的考虑增加算法，但无疑这看起来是个不错的主意。 XP的终结？ 微软不再对Windows XP提供支持，上个月微软正式发布（终于）针对Windows XP的最后一批补丁。对于是否停止支持XP系统多年来讨论无数，问题主要围绕放弃支持目前仍有多达28%的计算机用户使用的操作系统会带来怎样的影响。目前要对停止支持XP系统产生的影响下结论还为之过早，但如果您仍在运行XP系统，那么可能是时候更新换代了。如果Heartbleed从未现身，我还觉得对此的讨论应到此为止，但是我敢肯定未来我们还将进一步进行探讨。这就是为什么还将讨论XP的终结可能对未来的影响的原因。 移动新闻 最后，但也同样重要的是卡巴斯基实验室研究人员在最新的报告中证实，利用恶意软件盗取安卓用户银行信息的犯罪分子业务繁荣。结束语：总有一天会出现破解那些精心设计的指纹采集仪的入侵行为。