機哥被盜號了..
雖然已經過去有幾天,但是現在想想,還是有點後怕。
話說,在 6 月的一個深夜,機哥收到 Instagram 的郵件,我的關聯郵箱被改了。
而且新的郵箱是俄羅斯的..難不成因為機哥寫過俄羅斯黑客,這就是報復?
當然,像機哥這麼機警的人,首先想到,這是釣魚郵件。機哥搜了下發件人的郵箱地址,發現有不少來往郵件,其中有登陸驗證碼、兩步驗證等等。
再 Google 一下這個發件人地址,結果是真·官方。
這下子基本可以實錘,機哥這就是被盜號了。
幸好有雙重保險,可以防止惡意修改郵箱,機哥也就通過這個功能,把安全郵箱改回自己的。
不過,這事感覺沒有那麼簡單。機哥最近並沒下載 XX 上線的動作片,怎麼會被盜號?還是其他原因?!反正機哥頭上,都是黑人問號。
機哥先拿出傳家寶,自查一波。
「Have i been pwned?」這個網站,會記錄哪些網站被黑客攻擊過,存在隱私數據洩露。
機哥用常用郵箱地址,去查詢一下,果然中招。
2014 年的安卓網,2016 年的機鋒網,還有 2017 年的電玩巴士,網站數據庫都被盜取過。
重點是,被盜取的數據 hin 全面,包括郵箱地址,用戶名和密碼!現在能夠實錘的是,機哥以前註冊的某些網站,個人數據被黑客拿走,然後用來破解我的其他賬號。
但這些被盜走的資料,都是相對老舊的,密碼什麼的,我早就修改過。難不成還有更大的黑幕?
直到機哥看到這位安全大佬的一條微博。
喵喵喵?難道機哥也成了社工庫的一份子?
不懂社工庫的,機哥再簡單解釋一下。
黑客盜取各種網站數據庫後,會整理好,並放到一個地方存起來,便於查詢和使用。除了能查到賬號密碼,還有你的興趣愛好、網購記錄、甚至曖昧小視頻。舉例,大佬說的這個 [14億被盜密碼查詢] 網站,也是社工庫的一種,而且是公共使用的社工庫。
機哥調查下這個社工庫,裡面涉及 QQ、Gmail、Yahoo、Sina、163、Sohu 等大廠郵箱,其中最早的數據,可以追溯到 2011 年。
同時,機哥要到這個社工庫的網址。一打開,就看到碩大的介紹——這裡能查詢 14 億條賬號密碼。
機哥把自己的郵箱填進去搜一下,果然中招。
而且賬號密碼都是明文顯示,複製粘貼就能用。
機哥再隨便找些用戶名去查詢,就「Oscar」這個用戶名,查詢到的結果,有 46608 條。
這 46608 條,還只是其中一部分查詢結果。因為數據太多,搞到機哥電腦差點卡住,沒能全部顯示出來。截一些讓你們感受下。
機哥耍一下小聰明,試著搜一搜同事的 QQ 號,看有沒有洩露。
Bingo,又一個可憐的小夥子,被攻破防線。
也有網友表示,他也就隨手一查,想不到大學裡面的老師,也中招了。
機哥試著,用「Oscar」查出來的那些信息,玩點高級的。也就是,拿那些郵箱和密碼,去試著登錄,結果發現,大部分都已經失效。但是其中有一些郵箱,確實能夠登錄。不過因為是異地,需要手機驗證。
這就已經把我驚出一身冷汗。要知道,很多人為了方便,在多個網站或者App,會使用相同的賬戶和密碼。
不只普通人會這樣,連搞安全的專業人士,也會重複使用相同的賬號密碼。
只要其中一個網站數據被盜取,別有用心的人,就可以拿著這套信息,到其他地方去嘗試。So,即使這網站上查詢到的密碼,只是以前用過的舊密碼。可我們註冊過的網站那麼多,有些根本就不再使用或者乾脆忘記了,然後就沒有去修改密碼,再然後...中招!
而且,這個網站的下方,還提供出售方式。
雖然這堆信息有 hin 多都已過期,但還是有人會去買的。
目的很簡單,拿去完善他們自己的社工庫。雖然密碼可以改,但把所有你用過的密碼累積起來,就能從中看出你個人的密碼使用習慣。
不扯遠的,騰訊的 BOSS 馬化騰總知道吧?
網傳他的 QQ 號是 10001,而這個 QQ 號,也早就被納入社工庫。用過什麼密碼,綁定過什麼郵箱,在哪裡使用過,都一清二楚。
甚至可以查到,這個 QQ 號,近幾年加入過什麼 QQ 群,以及在那些 QQ 群裡的暱稱、名字等等。
一張完整的 QQ 群關係圖,就出來了。
而這些資料,又會再次被收進社工庫,讓個人信息更加全面。
簡單來說,社工庫會給每個人建立一份簡歷。每一次洩露,都會讓你的簡歷更加“豐富”。最基礎的是你的賬號密碼,然後是你的關係鏈,再深一點連你穿什麼顏色的內衣,網購買過多少套套,都一清二楚。
這麼一搞,你以為所謂的兩步驗證、手機驗證,真的 hin 有保障嗎?
引用某個大咖的話,「不是沒有黑你,只是沒有黑你的必要」。像 Facebook 的大佬扎克伯克,外出都有保鏢。
但在網絡世界,再強的防火牆,都防不住黑客的入侵。
他乾脆用膠布,把電腦的攝像頭和麥克風封起來。
再強調一下。
「不是沒有黑你,只是沒有黑你的必要」。
要是真的想黑你,不管你是蘋果還是安卓,裝了卡巴斯基還是 360,根本如同虛設。
閱讀更多 好機友 的文章
