社交网络

如果帐户被劫持怎么办：如何避免被诱导，将损害降到最低，保障您的数字化舒适区。

几个小故事告诉你敏感信息究竟有多么容易泄漏至公众视野

又多了一个不要在网上分享一切生活的理由。

通过简单的安全隐私设置就能保护你的抖音账号避免被盗，避开骚扰信息和键盘侠。

虚假航空公司赠品不仅不会为你赢得机票，反而会让你丢失资料。

不久前我们对FindFace进行了测试，FindFace是一种服务程序，它可将图片与社交网站VK.com中的头像数据库进行比对，并搜索匹配。当时，我的同事发现了一些有意思的结果。而我的发现则令人吃惊。

你绝不应该在网上发布机票或登机牌照片。通过机票或登记牌中所含的数据，任何人都能盗用你的机票（这绝不是夸大其辞！）、累积里程，甚至对你采用卑劣的行径。

我们打算了解不同照片编辑器和服务是如何处理元数据，以及是否删除了可能会暴露敏感信息的标签，或只是置之不理。阅读下文内容，您就能了解到在共享照片时这些数据到底发生了什么。

如今，无论是安全专家还是时事评论员都在不遗余力地提醒人们：千万不要将自己的机票”晒”到网上。许多人的确做到了这一点，但有些人则对这一警告视而不见。为此，我们常常能在社交媒体尤其是Instagram上看到不少人晒出的机票照片。只需搜索”机票”两字就能找出一大堆这样的晒图。

就社交网络的自身发展趋势和规律而言，可以说是现实世界的延伸—又反过来对我们的线下世界起到极大的影响力。在这篇文章里，我们将提供五条金科玉律，并希望每一名社交网络用户都能牢记在心。

不可否认，大多数人都对推特钟爱有加。每个月访问这一微博平台的用户量不少于3.1亿。但现在，3.1亿名用户不得不考虑尽快更改自己的密码了。这并不是因为这些用户设置了不安全的密码，例如：123456或其它薄弱密码，而是含3.79亿个带密码的推特账号的数据库正在黑市出售。

最近，我们开展了一次名为”在线成长”的研究调查活动。在第一阶段研究中，我们主要了解了’孩子向父母隐藏了哪些秘密’。而今天，我们将进一步探究”我们的孩子是如何使用互联网的”。当我最初拿到这一数据时，连做了几个深呼吸才平复了自己的情绪，然后开始认真审视自己看待孩子的方式，以及他们前所未有的互联方式。

圣彼得堡摄影师Egor Tsvetkov最近利用FindFace网络服务成功完成了自己的拍摄计划。这不仅让公众对FindFace网站产生了浓厚兴趣，同时也不小心打开了”潘多拉魔盒”。可以这么说，有些”网络小白”对于欺负女孩这种不道德的行为可谓独有情钟。好吧，让我们从头开始说起。

如果你不是俄罗斯人的话，可能还没有听说过有这么一项网络服务-FindFace ，可以通过分析个人的照片找出其在VK.com社交网络上的对应账号。于2016年2月一经推出，很快就风靡了整个俄罗斯；而这一切都是拜那项”宏伟”的拍摄计划（圣彼得堡摄影师Egor Tsvetkov的”杰作”）所赐。我们最近曾在一篇博文中提到过。

如今的信息就像货币一样能任意流通。数据不仅可以随意买卖，还可能被盗和篡改，当然还会被收集。只需掌握一定的专业技巧，你就能合法地获取某人的一堆个人信息。

多年的经验告诉我们，即使是经验最丰富的老用户也无法保护自身免遭针对性黑客攻击。随着我们的日常生活与互联网和其他网络愈来愈息息相关，在线安全也就成为了亟须解决的问题。 如今，几乎每个人都有自己的邮箱、社交媒体和网银账号。人们通常在线订购商品、使用移动网络验证身份（例如，双因素认证解决方案）以及做一些其他重要事情。但不幸的是，所有这些系统均或多或少存在不安全性。 我们的在线互动越多，则越可能成为狡猾网络黑客的目标；安全专家们则将这一现象称为”攻击面”。攻击面越大—则越容易遭受网络攻击。通过了解以下三个发生在三年前的案例故事，你将能彻底明白这些网络攻击的实施方式。 如何盗窃账号：黑客入侵或只需一个电话？ 其中网络黑客使用的最强大工具之一就是”黑客入侵”，又称社交工程。2016年2月26日，Fusion的编辑Kevin Roose决定检验这一工具是否真如传说中的那般强大。社交工程黑客Jessica Clark和安全专家Dan Tentler应邀接受了这项挑战。 Jessica立下承诺：只需一个电话就能黑客入侵Kevin的邮箱，最后她如愿成功完成了挑战。首先，她的团队制作了一个长达13页的个人资料，内容涵盖叫做Roose这个人的完整信息，比如：他的喜好与厌恶等等内容。所有这些资料均从公共资源获得。 一切准备停当后，Jessica假用Kevin的手机号码拨通了电话公司的号码。为了增加真实感，她还有意在电话旁播放婴儿哭闹的视频。 Jessica自称是Roose的妻子，表示她和她的”丈夫”打算申请贷款，但自己因为年轻又疲于照顾孩子因此忘了他们经常使用的邮箱地址。她的巧令言辞加上电话那头孩子的哭闹声，很快就说服了客服重置邮箱密码，进而获得其目标邮箱的访问权。 Dan Tentler则是利用网络钓鱼完成挑战。首先，他注意到Kevin在Squarespace上开有博客，因此向他发送伪造该博客平台的所谓”官方电邮”。在邮件中，”Squarespace管理员”要求用户为了”安全”起见升级SSL证书。事实上所附文件与安全保护毫无关系，而是让Tentler能获取Kevin的PC电脑访问权。之后，Dan创建了几个伪造的弹出窗口要求Roose填写具体的登录凭证—接下来一切就变得轻松简单了。 Tentler成功获取了Kevin的银行数据、邮箱和网店的登录凭证，以及信用卡资料和社会安全号。此外，Dan还盗取了Roose的不少照片及截屏。在整整48小时的黑客入侵过程中，这一切都是每2分钟自动进行一次的。 如何在一晚上成功抢劫软件工程师 2015年春天，软件开发者Partap Davis不幸损失了3000美元。在晚上短短的几个小时时间，一个不明身份的网络黑客成功盗取了他的2个邮箱账号、电话号码和推特账号。该名网络犯罪分子聪明地绕过了双因素认证系统，并将Partap的比特币电子钱包一卷而空。你可以想象，第二天早上Davis看到这一切后的沮丧心情。 值得注意的是，Patrap Davis是一名经验非常丰富的互联网用户：他总是选择可靠的密码且从不点击任何恶意链接。他的邮箱采用Google的双因素认证系统保护，如果用新电脑登录时，还必须输入6位数字并发送到他的手机号码。 Davis的主要存款是他的3个比特币钱包，采用Authy移动应用的另一项双因素认证服务进行安全保护。尽管Davis采用了所有这些合理的安全保护措施，但依然未能避免针对性黑客攻击。 在该事件发生后，Davis非常恼火并花了几周时间试图找出背后的犯罪分子。此外，他还向The Verge编辑发出了求助。最终，他们一道设法努力找出了这一黑客攻击的运行方式。 由于Davis使用Patrap@mail.com作为其主邮箱地址。而在这之后，所有邮件均进入了另一个名字相似的Gmail邮箱里（而Patrap@gmail.com之前已被他人注册）。 有那么几个月时间，所有人都认为只需从Hackforum购买一个特殊脚本，就能利用Mail.com密码重置页的弱点实施针对性攻击。显然，这一脚本也被用来绕过双因素认证和更改Davis密码。 在这之后，网络黑客请求对Davis的AT&T账号设置新密码，并要求客服将Davis的所有来电转至长滩的一个电话号码。客服在收到邮件确认后，同意由犯罪分子控制进入来电。因此一旦拥有这一功能强大的工具，绕过Google的双因素认证并获取Davis的Gmail账号访问权将不再是难事。 由于短信还是依然发送到Davis的原有手机号码，而网络黑客则利用Google辅助功能的缺陷绕过短信认证。它能提供语音朗读确认码服务。Gmail就是这样被黑客入侵的，而唯一能阻止黑客攻击的工具就只有Authy应用了。 要想解决这一障碍，不法分子只需使用mail.com邮箱地址在其手机上重置这一应用，就能重新收到语音版的确认码。在绕过了所有安全保护措施后，网络黑客得以更改Davis其中一个比特币钱包的密码，进而利用Authy和mail.com邮箱地址将全部比特币一卷而空。 但其他两个账户的资金却未能成功转移。其中一个网络服务规定，在密码重置后48小时内不得取款。而另一个则要求提供Davis驾照的扫描件，显然网络黑客无法提供。 毁掉他人生活的恶意黑客攻击 在几年前，所有当地的咖啡店和饭店纷纷开始向他们送匹萨、馅饼和其它各类食品外卖，但问题是他们从未订购过这些东西。每次Paul和Amy

在旧金山举办的RSA大会上，我本人有幸参加了专题小组讨论会，并就目前并不安全的大数据提出了一个有趣的问题。来自Zerofox公司的Ian Amit还为此做了专题演讲，详细介绍了网络犯罪分子是如何利用社交媒体锁定个人目标，进而偷偷潜入公司系统的整个过程。

Instagram的流行程度已达到无人不知、无人不晓的程度。上月我们同事在Threatpost网站上刊登的一篇博文在安全研究专家引起了不少争论，里面提到的一个bug已被报告给了Facebook有奖捉虫计划（Bug Bounty Program）。为此，我们《卡巴斯基日报》的团队们就Instagram使用方式和另一个存在的问题（许多用户过度分享）展开了激烈讨论。

目前年青一代正在发生的变化却与我们迄今为止所看到的有些不同–来的更加猛烈且更趋于全球化。互联网的无限扩张以及移动技术的出现也为全球大多数语言的快速演变提供了”源源动力”。可以预见，英语将引领全球语言变革的潮流，而世界上的其他语言也将紧随其后。

对于父母时常挂在嘴边的：”现在的孩子真是无药可救了。” 你一定不会感到高兴吧？就算你是家族有史以来最自律的孩子，我敢打赌你或多或少也曾从父母口中听到过这样的话。父母们之所以会有这样的抱怨，是因为现在的孩子常常毫无限度地使用父母的信用卡购买手机游戏的内置物品，或者从那些安装了木马病毒或其他恶意软件的不安全网站随意下载游戏或应用程序。 还是让我们直入主题：幼稚和天真并不是互联网的生存法则。一旦对在线安全知识有了一定了解，你就不会再将互联网想象成一个充满各种美好事物的”世外桃源”。互联网真实了反应了我们的现实世界，里面既有好人也有坏人。里面根本不存在”天使”，但却有许多不法分子潜伏在这个”法律难以管束”的地方，隐藏自己的真实身份从事各种不法活动，从而为自己谋利。 说了那么多，我们的目的并不是想要吓唬你或让你也在网上伪装自己。而是想让你自己和你的父母在互联网上多留一份心，尤其是他们通常忽视在线安全的情况下。可惜的是，有太多的家长对于基本的互联网安全准则熟视无睹，使用最薄弱的密码并常常落入众所周知的网络钓鱼圈套。但在网络安全方面你完全可以比父母做得更好，也完全可以教给他们一些基本的在线安全常识。 牢记：互联网上的每个人都可能在撒谎 你应该向父母解释这样的道理： 并不是每一个互联网用户都使用自己真实的身份。”厉害的程序员”很可能只是不会做作业的孩子。而”附近学校的女孩子”可能只是生活在遥远国度的一个满脸胡渣的无聊男人。Instagram个人主页内放有各种极具吸引力照片的”大人物”，很可能只是来自新墨西哥州El Armpito的失败者，他唯一擅长的就是从Google图片中搜索各种绚丽照片。 同样的情况也适用于网站。记住并不是每一个网站都安全可靠。有些网站出于某些原因会故意放一些虚假信息在上面。因此尽量通过多个信息来源核实事实，最好是知名且安全可靠的网站。一旦你觉得网站可疑，确保及时告知家长。 每个家庭都需要有个人能担负起网络安全重任。而你完全能成为那样的人。

可能你也有所听闻，互联网已然成为了可怕而高效的网络欺凌媒介。此类网络攻击也同样容易让孩子遭受永无止境的心里创伤。 请相信我们的话：网络欺凌往往容易遭受偏见。而这正是孩子在成长过程中需要克服的障碍。你不必将大量的时间和精力花在无聊的人身上– 而应将自己的时间和精力放在真正对你重要的事情上。 如果你感到在线聊天或在线发帖变得愈加难以控制的话，可以考虑以下采取以下行动。 如果你感到有人在线对你欺凌、威胁、嘲笑或让你心烦意乱的话，是时候该远离他们了。千万不要沦落到和他们同样的层次。你理应更加聪明。只需将欺凌的事实报告给网站管理员，让他们来处理就行了。 如果这些网上不良现象继续出现，或者有人做的实在太过分的话，确保告知你的家长— 不管是谁，就算是你在学校认识的人。这并不算打小报告，而是大人应该做的事情。在任何人受到伤害之前即时制止网络欺凌现象相当重要。 如果还有人将有关你个人生活的隐私到处散播— 比如在未经你同意的情况下下载你的照片或直接从你那儿窃取—立即告知你的家长并通知网站管理员，如此才能制止这一行为。