三大毒瘤 令微博沦为“危博”
热点围观
董师傅茶坊
最近,某政府网站的微博被盗用来发艳照,引起轩然大波,广大网民的焦点再次集中到微博安全上——微博变得越来越不安全了,盗号陷阱、钓鱼陷阱和挂马陷阱令微博沦为“危博”!
毒瘤1:盗号阴影笼罩微博
案例:2012年3月13日,某市房屋征收办公室官方微博发布了一张年轻女子的正面全裸图,引来无数网友围观。随后大家发现,该微博中有更多的裸照,更令人惊奇的是,微博中几乎没有政务信息。后来,经过证实,该政府的官方微博被黑客盗号,所有色情图片都是黑客所发。
微博盗号不是微博最早的安全威胁,但却是当下主要的安全威胁之一。在以前,微博盗号需要依靠病毒,而病毒又是潜伏在微博工具中——目前网上流行的刷粉工具很多都是“挂羊头卖狗肉”,名为刷粉工具实为盗号木马。
董师傅做过一个测试,在百度互粉吧、下载网站等地方下载了10款刷粉工具,有7款下载后杀毒软件立即报警,剩下的3款杀毒软件提示极少有人使用,存在不确定因素。董师傅测试3款未知刷粉工具,发现它们存在偷偷加密上传数据的行为,也不干净。
现在,微博盗号又多了一个途径,那就是利用多起互联网泄密事件中网站数据库里面的数据猜测微博的账号和密码,董师傅的好几位安全圈朋友利用这种方法获得了一批微博账号(测试后通知了用户修改密码)。
安全支招:如何防止微博账号被黑客盗取呢?不要下载刷粉工具,这类工具太危险了,即使工具宣称是无毒版也不要信任,谁知道它会不会将账号和密码上传呢?安装带下载保护功能的杀毒软件或安全软件。另外,用户最好定期修改密码,这样可以降低密码被盗的几率。
毒瘤2:中奖消息笑里藏刀
案例:2012年3月初,董师傅粉丝张淼的新浪微博收到一条评论,告之他被微博系统随机选中了,成为“微博幸运二等奖用户”,奖品是一台笔记本电脑,登录http://sinazw.in即可领取奖品。登录网站后,他提交了微博账号、姓名、身份证号码、银行卡账号等信息,然后网站要求他交1000元的手续费才可以领取奖品……
微博诞生没有多久,就有黑客发现它是传播钓鱼链接的好渠道,从2010年到2012年,微博中的钓鱼链接数量呈现加速上升的势头,其中新浪微博中的钓鱼链接最多,毫不夸张地说,注册过新浪微博账号的人都被黑客骚扰过。
和其他地方出现的钓鱼网站不同,微博中的钓鱼网站种类单一——全部都是中奖钓鱼网站,且手段都千篇一律。例如都告之用户中了二等奖(不是一等奖,也不是三等奖),都要求用户填写个人资料看似非常正规,都要求先汇去一笔钱才可以领奖(汇款名称,有的是手续费,有的是税费)。
此外,钓鱼网站的域名都具有一定迷惑性,例如http://www.tsina.site.cx、http://sinaxw.in、http://sinazw.in等,不仔细看还以为是官方网站呢!当然,这些钓鱼网站不可能去备案,所以它们的网络备案号要么没有,要么是伪造的。
安全支招:要对付微博中的中奖钓鱼网站,有两个方法:依靠正确的心态。只要不贪图便宜、想着天上掉馅饼,就不会被陌生人发送的中奖信息蒙蔽;安装拦截钓鱼网站效果较好的杀毒软件或安全辅助工具,例如金山卫士等。
此外,如果你怀疑中奖信息的真实性,可以向新浪微博的“系统管理员V”账号发送该消息,核实网站的真实性。此外,如果你看到汇款账号是个人账号,几乎可以肯定该网站是骗人的。
毒瘤3:短链接中蜗居着病毒
案例:2011年6月末,新浪微博用户“千湖飞雪”收到一条附有一个短链接的打折衣服微博信息,她下意识地点击了该链接,弹出一个卖衣物的广告,没有多久她的粉丝向她抱怨:不要推荐广告。“千湖飞雪”感到莫名其妙,自己并没有转发该信息,为什么粉丝看到了?更蹊跷的是,“千湖飞雪”不是唯一的受害者,而是成百上千受害者之一……
千湖飞雪”等网友中了微博蠕虫病毒——也是微博历史上第一个蠕虫病毒,所以才会出现这样的怪异症状:一个微博用户中毒,病毒会自动感染他的粉丝。有了第一个,自然以后就会有第二个、第三个……因此,病毒就是玩微博要面对的三大安全威胁之一。
其实,早在2010年底,董师傅在杀毒软件年度横测中,意外地发现新浪微博短链接存在安全风险。当时,董师傅将一个较长且加密的挂马链接发到新浪微博中,微博系统自动将挂马链接转换为短链接,如果有人点击了该链接,就会进入挂马页面,被跨站攻击。
小贴士:跨站攻击,在网络中较常见,主要是钓鱼网站、挂马网站用得多。黑客能发动跨站攻击,是因为网站系统没有对一些敏感字符进行安全过滤,导致攻击代码可以成功运行。
后来,董师傅发现QQ微博也有同样的问题。虽然QQ微博会对短链接进行安全提示,但利用未知漏洞就可以绕过安全检测。此后,《电脑报》的安全版面也多次提示微博的安全风险,可以说是先知先觉了!后来,不出董师傅的预料,安全厂商也关注到了微博可能成为病毒传播的渠道,才紧急推出了微博卫士。
安全支招:目前,金山和360都有微博卫士,金山的微博卫士在“安全百宝箱”中,360的微博卫士在“功能大全”的“新功能推荐”中。董师傅测试了两款微博卫士的拦截能力(用了50个挂马链接),拦截挂马链接的效果都不错,全部都拦截了,用户可以依靠微博卫士保护自己的微博安全。
与金山对话:微博是个人隐私泄露源
董师傅:微博已经融入网民的日常生活,它是否会泄露用户的个人隐私,让不法分子有机可乘呢?
金山:微博是社交平台的一个应用,只要是社交平台,就必然会存在隐私信息泄露的问题(所有隐私信息基本上都是由个人或与自己有关的人披露出来的)。在微博中讨论个人私人问题越多的人,越容易泄露隐私。
黑客只需要关注微博内容、微博关注关系,即可发现受害者的人际圈、职业特征、个人爱好。而获取这些信息后,就可以通过社会工程学猜受害者的重要信息,例如受害者可能注册了天涯论坛,密码可能是他的车牌号码。
在社交平台,只能靠个人防御过度暴露隐私造成的安全隐患。比如,不要轻易发表未成年人信息(包括姓名、地点、照片、活动等),自己的住所、单位信息等(如果工作需要例外)。总之,越私人的信息,越不宜在微博中透露。
互动专区
与粉丝对话
@无印赝品:董师傅,你认为Windows 8会是一个成功的系统吗?
@董师傅:个人认为,Windows 8更适合移动设备,至于PC平台,有成功的希望。
@示剑2O10:董师傅,我想加一些知名黑客的QQ,但都被拒绝了,郁闷!
@董师傅:抱抱,从另外一面来说,他们不是那种打着教徒弟的幌子骗钱的人。
@害羞草:董师傅,传说在QQ群里面,连续发送“喜迎油价上涨”,QQ就会被强制下线,真的吗?
@董师傅:亲,这是愚人节的玩笑,别当真!
董师傅八卦
最近,董师傅看了一条微博:一个名为“小马哥”的牛人的笔记本电脑屏幕不是触摸的,无法体验Windows 8的触控设计,于是他动手一步一步改造屏幕,使之变成触摸屏。这才叫真正的Windows 8粉!
羡慕这些动手能力超强的牛人。
——@被幸福的某地人(新浪微博)
好复杂,照着图片模仿都感到困难!
——@风橘子(瓢虫网论坛)
笔记本电脑屏幕支持触摸是未来的趋势,对Windows 8来说是好消息。
——@酒神(电脑报交流群)
董师傅调查
董师傅茶坊,离不开广大热心读者的支持,董师傅希望大家踊跃参与我们的选题调查。董师傅经过小范围的调查后,筛选出两个选题,大家来聊聊你们对哪个选题更感兴趣:
1. 四种免费获得天气短信的方法;
2. 研究IE10的增强保护功能。
参与调查方式:访问董师傅的微博http://weibo.com/cdx1983(也可以加入电脑报交流群:63357672,验证码:陈邓新)。