网赚干货|互联网上的“坑”,你踩过不少吧?
今天分享的一个主题《指尖上的信息安全》,这个分享并不会让你赚到一分钱,但我证,在互联网这条路上,你能避免很多坑,这或许是金钱无法衡量的,这并不是我夸大其词。
分享的内容,围绕个人信息安全和企业信息安全,会用大量的真实案例展示出互联网不为人知的一面。开讲之前,我先说几个现状,我相信大部分人会有认同感,没有你算我输。
刚注册完公司,就有人向你推荐发票;领完结婚证,婚庆公司就来电话了;房子刚买好,装修公司就来电话了;孩子刚出身,保险就来电话了;老年人办个老年证,全是推销保健品的。
这就是互联网的现状,我们生活在这样一个互联网的世界里,个人隐私暴露无疑。上面说的还算好的,起码没让你亏点钱,最多就是个骚扰。
之前我们云淡和360、苏宁在南京举办了一场信息安全沙龙,期间我和省公安的朋友聊天,正好聊到这事,关于个人信息泄漏的事,最终我得到一个惊人的消息。
从去年下半年到年底,我们江苏这边省公安侦破的互联网个人信息售卖达到100 多次,涉案人数 200 多名,涉及全国各地20 多个省份,累计收集非法获取数据达80 多亿条。
其中有80%的信息是通过黑客入侵多家公司的服务器,从中盗取用户个人信息,包括帐号、密码、身份证、电话号、家庭住址、工作单位等等信息,然后通过QQ 群、微信、论坛等方式售卖,甚至还有一批专门盗刷、复制银行卡的案例。
事实上,互联网上看似挺“安全”的,但除了我们这类专业的从业者之外,大部分人都远远低估了互联网的危险性。
下面分享一个真实的案例,邮件欺骗/诈骗。
通过自定义发件人以及发件内容,将邮件发送给指定的邮箱中,从事达到欺骗/诈骗的目的。事实上这类的程序/软件,很多都能实现,并不稀奇。
从上图可以看到,发件人已经变成了《10000@qq.com》,实际上这个邮箱是QQ 官方邮箱。
在我们遇到的客户案例中,有的攻击者专门发钓鱼网站的邮件,还有一些发送病毒文件,以及窃取公司商业机密(财务信息、重要文件等等)
其中钓鱼网站的占比是最大的,所谓的钓鱼网站就是除了域名之外伪装成和正常网站一模一样的网站,让受害者难以分清,从而窃取帐号、密码,银行卡相关信息等等。
下面给看一个真实的钓鱼网站案例,也是我们自己开发给客户做演示用的案例。
看到这张图,典型的QQ 空间登录界面,谁能告诉我,能分得清?
如果分不清怎么办?简单,你就会直接登录,直接登录后什么后果?
上面我输出了我自己的QQ 号和密码,然后我们切换到攻击者的视线里。
OK,这时候你的帐号密码就已经被盗了,所有很多人总是问我,我为什么帐号老被盗啊,什么原因啊,其实钓鱼网站就能让在你不经意间被盗号。
第二个LOL 的钓鱼网站,一样,看不出来和真实网站有什么区别,是诱惑你领礼包的。
最终结果还是一样,这类还算好的,只是盗个号。
下面在讲一个电信诈骗的案例,这个诈骗案例还是14 年在北京的时候,配合北京市局一起发现并且解决的。
现在有更方便的了,出来个背包式的伪基站,背个大书包,到处晃悠,周围人都能收到你发的短信。
至于它什么原理,我就不讲了,深入将这个东西没有意义了,大家知道有这么个东西就好。
最后通过伪基站发送到你手机上就是这类短信,甚至号码和官方号码都是一样的,我相信大家都收到过。
下面我们讲到了一个真实的诈骗案例,盗刷银行卡。
14 年,我带公司团队技术去北京参加一个技术交流沙龙,刚下机场,我们团队一个小伙子手机里就收到一个短信。
是以10086 的名义发的,后来我们一看,这个域名不太像真的,我们深入的点击进去看看。
有个可以兑换人民币的地方
想拿钱,先激活一个APP
还要填写信息,最后让你下载一个APP
OK 下载,但是!在权限方面,我们看到一个地方,这个APP 可以发送短信!!!
后来结合上面要填写的信息,我们分析了一下,这背后是一个银行卡盗刷的团队在作案。
伪基站-到钓鱼网站-输入全部重要信息-然后下载APP-收发短信...
聪明的小伙伴能猜到了,我们在网银转账的时候,往往需要手机输入验证码,如果别人没有我手机不就没办法盗刷了吗? 错!上面下载的这个APP 就可以读取你的验证码然后发送给盗刷团队!
后来,我们通过技术手段,进入了作案团队的内部。
触目惊心,当时还想,这世界到底是傻人太多了,还是公民信息安全意识太差了?
当然,我讲的还是14 年的案例,三年过去了,可以肯定的告诉大家,已经有更现金的盗刷手段了,他们也在进步,这是个很可怕的事。
这 2 个视频是我 15 录制的,第一个视频,输入一个人的 QQ 号,我就能查到他一些常用的密码,第二个,输入一个人的QQ 号,我能查到你加过的所有QQ 群,以及QQ 群的成员。
不细讲这些东西,只告诉大家,有一部分呢人手握了很多人的个人信息,只是数据全与不全。
这个界面都认识吧?上半年,大名鼎鼎的永恒之蓝,一个勒索软件。可能有朋友都中过这个病毒,奇怪的是,我身边还真没有,一个都没有。原因很简单,他们有信息安全防范意识,所以避免了很多损失。
这场病毒至于150 个国家,几百万人中毒,给全球造成的损失超过100 亿美元!你,或者你身边肯定有人贡献了一点点损失。再分享一个最近的一个事件。
是不是很眼熟,同样的配方,熟悉的味道,名义上是人民日报,当时我们就好奇,人民日报什么时候这么无聊了???
后来我们深入查了一下,通过IP 查询显示服务器在加拿大,人民日报的服务器在加拿大???
通过对域名备案查询显示是一个北京的公司,名下有大量的域名。很明显了,一个所谓的北京的公司,在一个IP 在加拿大的服务器上,冒充人民日报的客户端,获取公民个人信息。
我不知道他背后的目的是什么,有可能是窃取个人照片和微信号做诈骗?当然,这只是我的猜测,或许是单纯的吸引流量。
要求提供照片、姓名、年龄、手机号等个人隐私资料的游戏、抽奖、竞赛等活动,如无必要,请敬而远之!
下面我们说一下企业层面的信息安全问题
这块不会讲多,如果你的企业员工还低于100 人,可以暂时不用考虑这个问题。但是!一个优秀的CEO,一定是重要信息安全,并考虑企业信息安全的。
我们和企业接触太多了,大公司花钱爽快,但是用完了你,自己就花钱买安全公司,把你甩一边去。小企业呢,什么信息安全?什么玩意?能干嘛?我钱花哪去了?
所以国内互联网企业面临的问题就是决策层对信息安全的不重要!
携程曾经在14 年泄漏过一次个人信息数据,被黑客入侵导致,数据规模在3000w条个人信息,导致市值跌落了40%。
我朋友公司接受过一个案例,一家本土的跨境电商公司,北京的,在前几年很有名!硬生生被韩国一家公司打败了,三年内持续衰败,管理层不明白为什么竞争对手能每次都准确无误的打压了我们?
直到公司快倒闭了,我们朋友公司接受安全部署的时候才发现,公司只有联网的地方就有木马、病毒,各类监听程序。这件事是真事,因为隐私,公司名字我不能提,最终还是破产了,因为不懂信息安全,导致公司所有的商业机密都暴露在竞争对手眼里。
这样的案例,我不知道社会中还有多少?也不知道什么时候我们会遇到。想了想,怎么具体的实施企业安全防护,就不讲了,如果能让各位老板有这样的意识,等哪天想做了,直接资讯本土的安全公司即可,会有相应的解决方案给出来、
还是那句话,意识很重要。互联网上的所有应用在我们眼里,只有2 种,一种是已经被黑客入侵的,一种是被入侵了还没有人发现!
太多的数据、信息,我这也不方便公开,但是绝对超过你的想象,每年全球互联网企业因为黑客攻击直接或简介损失超过2000 多亿美元,真实数据只会比这个多,不会比这个少!
时间关系,太多太多的案例也来不及分享了。