微博上的黑客可以信吗(微博上的女的都是些什么人)

微博上的黑客可以信吗(微博上的女的都是些什么人)

入侵渗透hacker2024-06-04 17:20:23694A+A-

  关注我们,更多精彩信息及时送达!

  敢抢奥运会风头的宋喆,遭遇到了前所未有的围追堵截。这次全民捉奸不仅是娱乐圈的狂欢,科技圈也各种乱入:如果没有黑客们的参与,再强大的娱记,也无法在几天之内,就扒出宋喆的身世、爱好、住址、开房记录。

  

  △ 网友总结的宋喆个人信息(保护公民隐私,敏感信息已被打码)

  实际上,黑客们认真捉起奸来,可以获得诸多让人惊讶掉下巴的奇异信息。

  暂时一切抛开法律和道德因素:究竟怎样才能“人肉”一个人呢?又或者,我们说个悲观的话题,如果你不小心爱上了明星的媳妇而成为了全民公敌,如何避免被人肉的悲惨遭遇呢?

  这次雷锋网采访到了拥有傲人娱乐气质和专业黑客精神的安全研究员——360 网络攻防实验室老大林伟。

  弱密码

  纸糊的门锁

1

  自王宝强发声以来,短短几天之内,宋喆的所有邮箱、人人网、京东账号似乎都已经被攻破。黑客们是如何做到的呢?根据爆出的信息,林伟为我们简单地梳理了一下他被“社工”的步骤:

  1、手机号、身份证信息被网友通过社工库泄露。(身份证上包含住址,但后来证明此居所已被出售。)

  2、网易邮箱密码被破解,牵连出背后的密保邮箱和其他常用邮箱。

  3、利用邮箱登陆的人人网、豆瓣账号被搞定。

  4、与邮箱密码相同或相似的京东、大众点评、外卖App 被攻破。

  5、某电商收货地址暴露,导致藏身住址被扒出,被媒体围堵。

  其实,这一切都始自于邮箱被破解。

  IT业内大多知道,网易其实并不怎么给力,曾传言被拖库(用户信息库被黑客拖下来)。虽然官方否认,但多个渠道证明在黑产中流传着完整的网易邮箱的用户信息。

  △在黑产中流传的网易邮箱密码库

  正因为如此,才能在社工库里看到宋喆的邮箱密码。然而有一件事必须说明,那就是网站被拖库,并不意味着你的密码信息一定会被泄露。

  科普一下。现在几乎所有网站的用户信息都已经被“加盐”:即所有的用户名和密码都是在加密状态被存储的。即使黑客黑进了网站服务器,拿到了你的密码信息,也不能读出明文,而是需要通过密码字典破译。破译的难度和密码的复杂度成正比。也就是说,如果你的密码足够复杂,以目前计算机的算力,仍然难以被破解。

  事实上,看似精明的宋喆在网络安全意识方面还不及一个普通人,他的密码之简单令人发指。确切来说,他的常用密码只是自己名字的拼音,或者在前后加上自己的生日。这才造成了短时间内一连串账号被破解的悲惨遭遇。

  那么问题来了,应该怎样设置密码才安全呢?

  林伟告诉雷锋网,密码应该和电影一样,至少分为三级:

  第一级:

  苹果ID密码、微信及QQ 密码、支付宝密码,最好设置十位以上,数字、字母和符号混排的无意义字符(如果你喜欢记忆有语义的密码,可以采用一个技巧,那就是用0代替o,用1代替i,诸如此类。)

  第二级:

  京东、团购、外卖等常用的网站,设置八位以上,数字字母符号混排的无意义字符。注意密码排列不能和第一级密码有部分重合,否则一旦破译了二级密码,可以直接以二级密码作为字典,轻松破译一级密码。

  第三级:

  一般性的网站,则没有必要那么严防死守,为了照顾自己可怜的智商,可以采用容易记忆的相对较弱的密码。同样注意不能和其他两级密码有重复,否则极易功亏一篑。

  

  △高强度密码范例

  iPhone

  随身携带的定时炸弹

2

  憋说话,掏出你的iPhone。(如果你有的话)

  打开:设置—隐私—定位服务—系统服务—常去地点。

  看到了嘛?我也就随便猜猜,你去的次数最多的地方,肯定是你家,而排名第二的,大约就是你的公司了。如果觉得不够详细,点进去还有地图。

  没错,就是这么惊悚。

  △苹果手机会默认开启“常去地点”功能,完整记录你的生活轨迹

  如果黑客搞到了你的iCloud 账号,用任意一台iPhone 登陆,都可以获得你常用的位置信息。所以如果你成为了全民公敌,就不要惊讶为神马第二天就有人在你家楼下堵住你的去路。

  然而所有的信息都建立在你的iCloud 被破解的基础上。而iCloud 的安全性, 很大程度上依赖于你的密码强度还有密保邮箱的密码强度。如果你的密保邮箱是网易,呵呵。

  △宋喆的邮箱用于找回密码的密保邮箱使用了相同的弱密码,这导致黑客可以轻易修改他的邮箱密码

  宋喆的常用邮箱就是网易,这也是他被突破的关键点之一。从网上流传的马蓉自拍图来看,这些图片来源很可能是马蓉或宋喆的iPhone 手机。这表示很可能已经有黑客攻陷了二人至少一部手机。

  Wi-Fi

  上帝之眼

3

  或许你不相信:只要你的手机一直打开Wi-Fi,黑客就可以追踪你!

  小科普一下:

  所有的手机只要打开Wi-Fi,都会实时对外广播自己曾经连接过的Wi-Fi 名称,而只要在信号范围内存在相同名称的Wi-Fi,手机都会自动尝试连接。

  林伟设想了这样一种攻击模式:

  首先在宋喆家门口,用随意设备搜索Wi-Fi 信号,信号最强的即是宋喆家中的Wi-Fi,Mark 下Wi-Fi 名称。

  然后使用一种被称为“大菠萝”的Wi-Fi 信号发射器,对外发送和宋喆家同名的Wi-Fi 信号。

  最后把“大菠萝”放在宋喆有可能经过的地方,一旦有手机连接上Wi-Fi 信号,“大菠萝”就会向控制者回传信号。

  △大菠萝无线信号发射器(Pineapple Wireless)

  这样的“大菠萝”可以有许多个,布置在小区车库门口、楼道门口,所有他可能会落脚的地点。这样,就好像在城市中布满了摄像头,只要收到信号,就表明被追踪者经过了此地。

  “大菠萝”不仅可以提供虚假的Wi-Fi 信号,还可以提供真的Wi-Fi 功能。只不过,在这些“钓鱼Wi-Fi”上传输的明文信息,都可以被攻击者一览无余。

  由于这样的攻击方式是建立在Wi-Fi 的奇葩协议之上的,所以林伟也表示没有太好的防御方法。“在必要的时候才打开Wi-Fi,是一个无奈的方法。”

  微博、人人网、豆瓣

  上再见,隐私

4

  宋喆在事发后第一件事就是清空了自己的微博,看来他也意识到,自己在微博上发的信息,都会成为对自己不利的“呈堂证供”。然而,他没有在第一时间清空自己的人人网。这导致了黑客抢先黑进了他的邮箱,更改了他人人网的密码。很可能他已经无法登陆自己的人人网账号。

  △看起来,帝吧的朋友们已经占领了宋喆的人人网

  你可能会问,宋喆为什么不可以通过登陆邮箱把人人网密码修改回来呢?答案是,他的邮箱被曝光出来之后,已经有潮水般的网友在世界各地尝试登陆,进入了异常保护状态,任何人都已经不能尝试登陆。另外,就算没有这种人肉DDoS,之前提到,他的邮箱很可能已经被攻破并且改密,所以宋喆已经失去了对自己邮箱控制。

  想想你都在人人网上做过什么吧?这个已经有点过气的社交平台,潜伏着你的所有黑历史。以宋喆为例,在人人网上,你可以公开查询到他的生日、从小到大的学校信息、他喜欢养狗、他的偶像是陈冠希、他的性格放浪不羁等等。而这些个人信息会作为密保问题的答案,扮演破解其他账户的重要角色。

  再来说微博吧,假设被人肉者没有第一时间清空,所有人都可以公开查看他发布过的信息。因为发微博被人肉的事情,已经屡见不鲜。刘强东因为和女助理同时发布了同一盆西红柿的照片,从而被网友怀疑出轨地下情。

微博上的黑客可以信吗(微博上的女的都是些什么人)

  △宋喆以自家斗牛犬的名号开了微博,网友据此照片定位到了他生活的小区

  作为一名拥有顶级安全意识白帽子黑客,林伟也会在微博、人人网抒发情感,但是他有一些发布微博的心得:

  尽量不要拍摄包含过多信息量的照片,也尽量不要附带地点信息。尽量不要使用某些人才能懂的暗语,因为如果有人盯上你的时候,暗语很容易被破解。

  小号

  隐秘线索牵出惊天秘密

5

  人在做坏事的时候,一般会使用小号。

  △宋喆在约姑娘的帖子里,透露的并不是常用的网易邮箱,而是一个Hotmail邮箱

  宋喆也知道,所以在豆瓣约“群P”的时候,留下的并不是常用邮箱。但实际上,豆瓣把他的登陆邮箱和小号邮箱之间的关系联系了起来。

  在注册很多小号的时候,人们会选择用一个独立的邮箱,但是很多人往往不会新买一个电话号用来收验证码,即使有两个手机号码的人,也会选用生活或工作中的一个。这样,虚拟账户和真实身份,就被连在了一起。

  有的人会有小号QQ,但是为了方便管理,往往会互相加好友,甚至拉群。在这种情况下,一旦QQ 密码被攻破,就很容易牵出你的小号QQ。如果大小号使用相同的密码,则很容易被一锅端。

  实际上,根据内部人士的爆料,宋喆的小号邮箱使用了他常用的弱密码,这就导致了黑客直接冲进了宋喆的小号邮箱,看到了他黑暗的一面。

  △宋喆的一个小号邮箱被匿名黑客攻破,向雷锋网提供了截图,未满十八周岁禁止观看

  不过,对于小号和身份的关联,远不止这么简单,林伟列举了一些事实:

  如果你使用同一台设备登陆过大号微信和小号微信,那么在微信的大数据层面,就会为这两个号码建立一定的关联。

  如果你匿名用百度搜索过一些关键词,还是会有广告弹出在你的设备上。这些都是在服务提供商的大数据中强制关联的。

  这样说来,安全级别最高的小号使用规范大概如下:

  1、匿名申请一张电话卡

  2、在专门的平台上申请一个临时动态邮箱

  3、以这个临时邮箱作为密保邮箱,申请新的永久邮箱

  4、使用全新的专用手机登录小号,并且不在其他任何设备上登陆小号

  5、两部手机不能同时带在身上,以防位置信息重合,产生关联;严禁开启Wi-Fi,防止被钓鱼定位。

  相信我,如果用这种方式建立的小号约炮,全世界没几个人能发现。

  当然这种“高级小号指南”只是是玩笑。林伟概括了一下:如果想要用小号保护自己的隐私,就要尽可能做到虚拟身份和现实身份的割裂。

  微信朋友圈

  潜伏+无间道

6

  你认识你的所有微信好友吗?那么,你又怎样确定自己的朋友圈里是不是潜伏着一个无间道呢?

  如果你看到微信上有多年不见的老同学加你好友,看头像还确实认识,你会通过验证吗?正常人十有八九会通过验证。

  然而事情的真相可能是:黑客通过你人人网上的公开信息和好友信息,拿到了你的老同学的照片和基本信息,然后在微信添加你为好友。

  一旦通过,你的朋友圈便对黑客敞开了。想想看,你在朋友圈里晒的每一张照片,每一个感想,都能成为黑客判断你位置和性格的有力证据。

  林伟说:

  大多数人在朋友圈发送内容的时候,都没有很高的警惕心。如果在陌生人添加你为好友,并且看起来可信度比较高的时候,你最好先对他屏蔽自己的朋友圈,然后添加好友,之后先查看对方的朋友圈,确定对方的身份可信之后,再对他放开朋友圈。

  外卖,京东,淘宝

  出卖你的收货地址

7

  媒体最终根据种种信息成功堵截到了宋喆,这其中的关键,很可能是电商。

  林伟相信,淘宝、微信这些巨头企业对于用户信息的保护级别是很高的,一般不会出现泄露。不过,如果前文提到的密码分级没有做好,会导致黑客用一般密码登陆淘宝和微信成功。

  而例如大众点评、饿了么、京东这些平台,其安全级别可能会弱于BAT 的“亲生”平台。

  总之,电商信息的泄漏,会产生一个致命的影响,那就是你的收货地址。这些收货地址真实性是非常高的,而且极可能包括“被人肉者”和亲友的全部常用地址。

微博上的黑客可以信吗(微博上的女的都是些什么人)

  △黑产中流传的京东订单泄露信息

  最终“线人”定位到宋喆的“藏身之所”,很可能是由于某个电商的收货地址泄漏导致的。另外,外卖的收餐地址,也会出卖他。

  从电商和外卖平台泄露的信息,还不止这些。例如有黑客爆料,宋喆的京东购物记录里,有大量的狗粮,因此判断他可能会在早晚出门遛狗。

  从这一点上来说,宋喆的血泪史至少教会我们三个道理:

  看好自己的老婆,别动别人的老婆;

  看好自己的密码,别动别人的密码;

  如果你老老实实的,也还没有实现1个亿的小目标,黑客也不会看上你的。

  但是我们的个人信息,一定要坚决保护。

899元红包加1000星币奖励

再专享12%新手项目

新手起跑当然要快!

点击阅读原文立刻领取

↓↓↓ 点击"阅读原文" 热门投资近在咫尺

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 掩吻逐鹿2024-06-05 03:38:53
  • 这次雷锋网采访到了拥有傲人娱乐气质和专业黑客精神的安全研究员——360 网络攻防实验室老大林伟。  弱密码  纸糊的门锁1  自王宝强发声以来,短短几天之内,宋喆的所有邮箱、人人网、京东账号似乎都已经被攻破。黑客们是如何做到的呢?根据爆出的信息,林伟为我们简单地梳理了一
  • 泪灼矫纵2024-06-05 05:06:31
  • 能同时带在身上,以防位置信息重合,产生关联;严禁开启Wi-Fi,防止被钓鱼定位。  相信我,如果用这种方式建立的小号约炮,全世界没几个人能发现。  当然这种“高级小号指南”只是是玩笑。林
  • 只酷寒洲2024-06-04 23:01:30
  • Wi-Fi 名称。  然后使用一种被称为“大菠萝”的Wi-Fi 信号发射器,对外发送和宋喆家同名的Wi-Fi 信号。  最后把“大菠萝”放在宋喆有可能经过的地方,一旦有手机连接上Wi-Fi 信号,“大菠萝”就会向控

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理