互联网时代 我们每个人都是【小透明】

李志宽
• 阅读 668

几年前,我提交了一个漏洞:几百万机票火车票订单用户名明文密码泄露。

邮箱,用户身份证,姓名,密码,手机号等重要字段都可以直接明文读取,当时是利用mongodb数据库的未授权访问脚本,稍加修改,批量扫描后发现的漏洞,有国内多家科技媒体跟进报道,搞的我压力也很大,因为数据没有泄露,只是存在漏洞被我提交到360。

这种就属于未能遵循简单基础的安全原则,锅可以由商家背。

互联网时代 我们每个人都是【小透明】

但很多情况,锅不能简单的由商家背。因为这个世界不存在没有漏洞的系统,很多基础的开源的协议或者软件本身存在着大量的漏洞,在没有被发现之前,它们被认为是安全的。但一旦被发现有漏洞,影响巨大。

比如之前广为人知的openssl心脏出血漏洞(OpenSSL心脏出血漏洞全回顾),这个漏洞使攻击者能够从内存中读取多达64KB的数据,而openssl作为安全套接层协议ssl的开源实现,在各大网银、在线支付、电商网站、门户网站、电子邮件服务等重要网站上被广泛使用。

这种情况下,锅由谁来背很难界定,因为没人能保证自己开发的程序没有漏洞。

个人信息的泄露在今天已经严重到了什么地步?

大多数大家觉得足够信任的网站,可能已经被攻破,相关信息在暗网deepweb上被明码标价出售比如这里是Linkedin早期泄露的数据,在暗网上最早被明码标价5个比特币:

互联网时代 我们每个人都是【小透明】

这是另外一个知名博客网站Tumblr的数据,出售价格为0.188比特币:

互联网时代 我们每个人都是【小透明】

在比如之前很火热的美国大选所有50个州的投票数据,对你没看错,是全美50个州。。。被标价12个比特币(现在知道比特币最大用处了吧,o(╯□╰)o)

互联网时代 我们每个人都是【小透明】

从暗网买家展示的数据截图来看,包含的信息很丰富,地址,电话,性别等等:

互联网时代 我们每个人都是【小透明】

一些私密小圈子的间谍木马软件源码,包含ios,安卓,wp,黑莓平台,当时标价12比特币。

互联网时代 我们每个人都是【小透明】

很多数据最初从暗网上被标价后,进而慢慢被一些团体释放到互联网上,这中间的时间间隔可能长达数月甚至数年。所以我是不信任网站单方面的承诺的,因为这种承诺本身就很脆弱。

对普通人的生活有多大的影响?如何防护?

简单说,可轻可重。如果落入诈骗团伙手里,就重一些,但如果自己足够警觉有基本的防护意识,那也没事,如果落入推销人员手里,基本也没太大关系,无非就是多几条骚扰广告短信。怕就怕自己没有基本防护意识的同时还落入诈骗团伙手里,那就有点倒霉了。所以日常有一点防护意识还是很重要的。

简单举几个比较广泛的诈骗例子:

1、精准机票退改签短信诈骗

曾女士的手机上收到了前两天购买的从贵阳到三亚的航班取消短信。短信内容不仅详细说出自己的姓名,且航班信息也准确无误,曾女士便以为是航空公司发来的短信,随即拨打了短信中的电话进行改签。经过“客服”的指导,曾女士在ATM取款机上被骗走了29500元钱。

互联网时代 我们每个人都是【小透明】

2.精准淘宝订单退款诈骗

小丁说,前两天,在淘宝商城一家店看中了一件短裤,价值39.2元,下了订单后不到20分钟,她接到一个福建的电话,对方自称是淘宝该店阿里旺旺的客服:

“丁××您好,您是不是今天下午6点半买了一件39.2元的短裤?由于支付宝系统升级,您提交的订单异常,资金被冻结,所以需要您重新登录并确认购买,并且暂时不要登录淘宝和阿里旺旺,您登录QQ吧,我教您怎么操作。”

接到电话后,小丁说对方知道她的姓名和电话,所说的信息都很准确,所以她就信以为真。

登录QQ并加为好友后,“客服”又说了一系列教小丁同学怎么操作的话,由于着急去上自习,小丁也不清楚“客服”讲的那些怎么操作。此时,“客服”说帮小丁用QQ远程操作,可没想到最后“客服”在骗取她的钱财。

在小丁的电脑被远程控制后,“客服”又让她输入支付宝账户动态密码,以确认支付。输入后“客服”又让小丁确认账户有多少金额,她说自己卡上有六七百元钱。退出远程控制,小丁看到确认支付界面上显示已支付-0.01元,她以为支付错误就重新支付了。

与此同时,她的手机收到了短信提示,账户被扣了627元。由于急着去上课,小丁关了电脑赶紧去教室,也没有注意到手机上的信息。晚上九点半下自习后,小丁在认真看完信息后感到事情不妙。给购物的网店打电话询问,网店客服人员告诉她没有这件事情。

具体分析:上述两种其实都是类似的手法,通过截取到的用户订单信息,获得用户信任后实施诈骗,这里用户订单信息获取方式,很多是利用系统漏洞,也有部分是伙同公司内部员工获取。

对普通用户来说,核实发短信和打电话是否是官方电话尤为重要,此外需要杜绝离开平台的交易,比如离开淘宝自有退款流程,不走支付宝进行退款QQ李鬼诈骗QQ被盗号了?

【网络安全技术文档】

更大的骗局还在后面!

广东省公安厅通报,近日在全省公安机关“3+2”专项打击行动中,破获全国最大的QQ诈骗集团案,先盗QQ号长期监控,后冒充老总要求转款,深圳某股份公司财务李某被骗走3505万元。目前警方已刑拘疑犯39人,冻结资金4800余万元。据了解,该案是目前全国QQ诈骗涉案金额最大的一宗案,也是冻结款项最大的诈骗案。

具体分析:这种很多是模仿目标qq,从头像到签名到说说,利用其他社工数据对目标qq进行踩点分析,进而实施诈骗。总之,大家需要有一些基本防护意识,这样就很难被骗,也不需要过于担心。

几年前,我提交了一个漏洞:几百万机票火车票订单用户名明文密码泄露。

邮箱,用户身份证,姓名,密码,手机号等重要字段都可以直接明文读取,当时是利用mongodb数据库的未授权访问脚本,稍加修改,批量扫描后发现的漏洞,有国内多家科技媒体跟进报道,搞的我压力也很大,因为数据没有泄露,只是存在漏洞被我提交到360。

这种就属于未能遵循简单基础的安全原则,锅可以由商家背。 互联网时代 我们每个人都是【小透明】 但很多情况,锅不能简单的由商家背。因为这个世界不存在没有漏洞的系统,很多基础的开源的协议或者软件本身存在着大量的漏洞,在没有被发现之前,它们被认为是安全的。但一旦被发现有漏洞,影响巨大。

比如之前广为人知的openssl心脏出血漏洞(OpenSSL心脏出血漏洞全回顾),这个漏洞使攻击者能够从内存中读取多达64KB的数据,而openssl作为安全套接层协议ssl的开源实现,在各大网银、在线支付、电商网站、门户网站、电子邮件服务等重要网站上被广泛使用。

这种情况下,锅由谁来背很难界定,因为没人能保证自己开发的程序没有漏洞。

个人信息的泄露在今天已经严重到了什么地步?

大多数大家觉得足够信任的网站,可能已经被攻破,相关信息在暗网deepweb上被明码标价出售比如这里是Linkedin早期泄露的数据,在暗网上最早被明码标价5个比特币: 互联网时代 我们每个人都是【小透明】 这是另外一个知名博客网站Tumblr的数据,出售价格为0.188比特币: 互联网时代 我们每个人都是【小透明】 在比如之前很火热的美国大选所有50个州的投票数据,对你没看错,是全美50个州。。。被标价12个比特币(现在知道比特币最大用处了吧,o(╯□╰)o) 互联网时代 我们每个人都是【小透明】 从暗网买家展示的数据截图来看,包含的信息很丰富,地址,电话,性别等等: 互联网时代 我们每个人都是【小透明】 一些私密小圈子的间谍木马软件源码,包含ios,安卓,wp,黑莓平台,当时标价12比特币。 互联网时代 我们每个人都是【小透明】 很多数据最初从暗网上被标价后,进而慢慢被一些团体释放到互联网上,这中间的时间间隔可能长达数月甚至数年。所以我是不信任网站单方面的承诺的,因为这种承诺本身就很脆弱。

对普通人的生活有多大的影响?如何防护?

简单说,可轻可重。如果落入诈骗团伙手里,就重一些,但如果自己足够警觉有基本的防护意识,那也没事,如果落入推销人员手里,基本也没太大关系,无非就是多几条骚扰广告短信。怕就怕自己没有基本防护意识的同时还落入诈骗团伙手里,那就有点倒霉了。所以日常有一点防护意识还是很重要的。

简单举几个比较广泛的诈骗例子:

1、精准机票退改签短信诈骗

曾女士的手机上收到了前两天购买的从贵阳到三亚的航班取消短信。短信内容不仅详细说出自己的姓名,且航班信息也准确无误,曾女士便以为是航空公司发来的短信,随即拨打了短信中的电话进行改签。经过“客服”的指导,曾女士在ATM取款机上被骗走了29500元钱。 互联网时代 我们每个人都是【小透明】 2.精准淘宝订单退款诈骗

小丁说,前两天,在淘宝商城一家店看中了一件短裤,价值39.2元,下了订单后不到20分钟,她接到一个福建的电话,对方自称是淘宝该店阿里旺旺的客服:

“丁××您好,您是不是今天下午6点半买了一件39.2元的短裤?由于支付宝系统升级,您提交的订单异常,资金被冻结,所以需要您重新登录并确认购买,并且暂时不要登录淘宝和阿里旺旺,您登录QQ吧,我教您怎么操作。”

接到电话后,小丁说对方知道她的姓名和电话,所说的信息都很准确,所以她就信以为真。

登录QQ并加为好友后,“客服”又说了一系列教小丁同学怎么操作的话,由于着急去上自习,小丁也不清楚“客服”讲的那些怎么操作。此时,“客服”说帮小丁用QQ远程操作,可没想到最后“客服”在骗取她的钱财。

在小丁的电脑被远程控制后,“客服”又让她输入支付宝账户动态密码,以确认支付。输入后“客服”又让小丁确认账户有多少金额,她说自己卡上有六七百元钱。退出远程控制,小丁看到确认支付界面上显示已支付-0.01元,她以为支付错误就重新支付了。

与此同时,她的手机收到了短信提示,账户被扣了627元。由于急着去上课,小丁关了电脑赶紧去教室,也没有注意到手机上的信息。晚上九点半下自习后,小丁在认真看完信息后感到事情不妙。给购物的网店打电话询问,网店客服人员告诉她没有这件事情。

具体分析:上述两种其实都是类似的手法,通过截取到的用户订单信息,获得用户信任后实施诈骗,这里用户订单信息获取方式,很多是利用系统漏洞,也有部分是伙同公司内部员工获取。

对普通用户来说,核实发短信和打电话是否是官方电话尤为重要,此外需要杜绝离开平台的交易,比如离开淘宝自有退款流程,不走支付宝进行退款QQ李鬼诈骗QQ被盗号了?

【网络安全技术文档】

更大的骗局还在后面!

广东省公安厅通报,近日在全省公安机关“3+2”专项打击行动中,破获全国最大的QQ诈骗集团案,先盗QQ号长期监控,后冒充老总要求转款,深圳某股份公司财务李某被骗走3505万元。目前警方已刑拘疑犯39人,冻结资金4800余万元。据了解,该案是目前全国QQ诈骗涉案金额最大的一宗案,也是冻结款项最大的诈骗案。

具体分析:这种很多是模仿目标qq,从头像到签名到说说,利用其他社工数据对目标qq进行踩点分析,进而实施诈骗。总之,大家需要有一些基本防护意识,这样就很难被骗,也不需要过于担心。

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
待兔 待兔
5个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
Jacquelyn38 Jacquelyn38
3年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。1、使用解构获取json数据let jsonData  id: 1,status: "OK",data: 'a', 'b';let  id, status, data: number   jsonData;console.log(id, status, number )
Stella981 Stella981
3年前
KVM调整cpu和内存
一.修改kvm虚拟机的配置1、virsheditcentos7找到“memory”和“vcpu”标签,将<namecentos7</name<uuid2220a6d1a36a4fbb8523e078b3dfe795</uuid
Wesley13 Wesley13
3年前
mysql设置时区
mysql设置时区mysql\_query("SETtime\_zone'8:00'")ordie('时区设置失败,请联系管理员!');中国在东8区所以加8方法二:selectcount(user\_id)asdevice,CONVERT\_TZ(FROM\_UNIXTIME(reg\_time),'08:00','0
Wesley13 Wesley13
3年前
00:Java简单了解
浅谈Java之概述Java是SUN(StanfordUniversityNetwork),斯坦福大学网络公司)1995年推出的一门高级编程语言。Java是一种面向Internet的编程语言。随着Java技术在web方面的不断成熟,已经成为Web应用程序的首选开发语言。Java是简单易学,完全面向对象,安全可靠,与平台无关的编程语言。
Stella981 Stella981
3年前
Django中Admin中的一些参数配置
设置在列表中显示的字段,id为django模型默认的主键list_display('id','name','sex','profession','email','qq','phone','status','create_time')设置在列表可编辑字段list_editable
Wesley13 Wesley13
3年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
Python进阶者 Python进阶者
11个月前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这
李志宽
李志宽
Lv1
男 · 长沙幻音科技有限公司 · 网络安全工程师
李志宽、前百创作者、渗透测试专家、闷骚男一位、有自己的摇滚乐队
文章
89
粉丝
25
获赞
43