社交工程黑客和关联账户：如何防范身份盗用

在这个时代，互联网与我们生活和身份的大多数方面密切相关。事实上，每个人都有Facebook个人资料，可能还有Twitter帐户，LinkedIn页面，在线支票帐户，在线零售商帐户，以及其他可能收集虚拟粉尘的网站上的大量旧配置文件。我们大多数人都用我们的信息来信任互联网。我们有信心像PayPal，Facebook，亚马逊等全球性的复杂公司以及所有其他大牌公司都不会将我们的信息置于黑客攻击之下。但是，全世界黑客的集体智慧正在寻找新的和创新的方式来破坏这些公司的系统。

之前已经说过了，但我会再说一遍：安全性与你最薄弱的环节一样强大。导致您的个人信息的链条到底有多弱？您的在线状态存在许多漏洞：您可能会注意到的一些漏洞以及您从未想过的其他漏洞。保护和预防是您的在线安全流程的关键 - 防止黑客攻击比修复损坏更容易。

什么是社会工程？

在这种情况下，社会工程是一种用来操纵人们泄露个人信息的方法。 Wired的Mat Honan最近的一篇文章详细描述了他是如何成为社交工程黑客的受害者，这使他的数字生活崩溃了。亚马逊和Apple的安全协议中的漏洞允许黑客访问一系列作者的帐户。黑客能够闯入他的亚马逊账户，该账户提供了账单地址以及信用卡号码的最后四位数字。这些信息只是说服苹果黑客是Honan所需要的，因此允许他重置Apple ID密码。从那里，黑客获得了访问他的Apple电子邮件帐户，然后导致他的Gmail帐户，这是更多在线信息的中心。这是工作中的社会工程。黑客如何知道Honan先生拥有亚马逊账户并不完全清楚，但值得注意的是一系列事件让他们感受到了他的漏洞：

“在浏览我的[Twitter]帐户后，黑客做了一些背景研究。我的Twitter帐户链接到我的个人网站，他们在那里找到了我的Gmail地址。猜测这也是我用于Twitter的电子邮件地址，Phobia [黑客]访问了Google的帐户恢复页面。他甚至不必真正尝试恢复。这只是一次侦察任务。由于我没有启用Google的双因素身份验证，当Phobia输入我的Gmail地址时，他可以查看我为帐户恢复设置的备用电子邮件。谷歌部分模糊了这些信息，主演了许多角色，但有足够的角色，m••••n @ me.com。大奖“。

三思而后行

你的数字生活的字符串在某处开始和结束，如果发现一个易受攻击的漏洞，它将被利用。亚马逊声称它已经改变了它的安全程序，因此不再可能使用这种类型的漏洞了（但是，在阅读了有线故事后，我已经从亚马逊删除了所有信息，并且从现在开始每次都会手动输入。没有太小心的事情）。另一方面，苹果并没有表示它已经改变了任何安全政策 - 苹果公司只表示其安全措施没有完全遵循。还有许多其他公司易受社会工程策略的影响，而您的关联账户告诉他们从哪里开始。有时最简单的漏洞可能是您的Facebook帐户。

数字化线索可以带回您的非数字生活

假设您的Facebook个人资料是公开的，或者您接受了实际上并不知道的人的朋友请求，您的个人资料是否包括您的完整生日？您的个人电子邮件地址，家庭住址和电话号码？你有一个老家庭宠物的照片，你给他们命名，或者你是你妈妈的朋友，她仍然使用她的婚前姓名？是否有一年级的图片显示学校的名称，你的第一个女朋友或你的BFF？

是的，为什么我要问所有这些个人问题？那么，你的出生日期和地址可以给我足够的信息来开始在其他公司或网上冒充你。在某些情况下，我可能需要您的社会安全号码的最后四位数字，但这不是您认为的权宜之计。那么，为什么你的第一个家庭宠物，你妈妈的娘家姓，你的第一所小学，第一个女朋友，或你最好朋友的名字是否重要？它们都是帐户恢复过程安全问题的答案。如果您不知道 - 我已经破解了您的电子邮件，但我的真正目标是您的银行帐户，我现在已经解答了您的安全问题，并且我将能够更改您的银行帐户上的密码以获取访问权限。为了更好地衡量，我可能还会更改您电子邮件中的密码，或者如果我已经完成了利用它，我可能会完全删除该帐户。当然，有很多因素可以使这种情况变得理想，还有其他方法可以用来接管你的身份。

如果您有像“bucketKid”这样的弱密码，作为一个完全随机的例子，对您的帐户进行强力攻击大约需要8天时间来破解您的密码（更多关于我如何在建议部分中知道这一点）。简单地添加一个数字使其成为“bucketKid7”会增加六年时间，黑客就会破解它。

您的信息也可能在另一家公司的黑客中被视为附带损害。如果您在多个站点上使用相同的密码（其中一个包含您的电子邮件），那么您应该更改所有密码并调查损害可能会消失多久。现在，你脑海中有最糟糕的情况，让我们继续探讨如何实际保护自己。

我们的网站推荐

切勿两次使用相同的密码！我知道你之前已经听过一百万次了，你可能会认为在很多站点上拥有数十个独特的密码是不切实际的。那么，你可以做两件事来实现它：

首先，您可以使用程序来帮助您为所有站点创建和存储唯一密码。 1Password是一个这样的程序 - 当您登录到您的某个在线配置文件时，您只需选择所需的登录名，1Password将提供密码并授予您访问权限。但是，您可能不希望将所有密码存储在一个数据库中 - 这是一个有效的问题。

下一个选项是创建一系列相关密码。一个密码可以是“Treez4Eva”，下一个是“Trees4eVer”，依此类推。记住哪个网站使用哪个版本可能有点棘手，但它是可行的，绝对值得尝试。请记住，您始终可以恢复忘记的密码。这可能非常耗时，但不要忘记密码会阻止您创建独特，安全的密码。

现在转到密码本身：您可以使用“如何安全是我的密码”作为一个方便的参考来衡量您的实际安全性。始终使用字母数字组合以及大写字母和特殊字符。如果站点允许，也使用空格。 “bucketKid”是非常安全的，当它是“bu（k3t K！4 15 r3a！”这个密码需要3个五十年才能破解，根据How Password Is My Password，这么多年来它听起来很假。你可以我想你需要多年才能记住这样的密码 - 但想想你如何使用记忆技巧来简化这个过程。上面的例子写道：“斗小孩是真实的”，所有你必须要记住的是哪些字母你已经大写了，你如何用数字或特殊字符替换字母。如果你仍然希望在多个网站上使用相同的密码，请使用你最强的一个，如上面的例子，用于经常使用的网站，如电子邮件。然后创建一次性对于您经常不使用或感觉不安全的其他网站，如“伞男15假”等密码。

始终对支持它的任何站点使用两步验证。还记得有线作家关于他是如何被黑客入侵的说法，因为他没有使用两步验证吗？不要犯同样的错误。谷歌支持它，雅虎和Facebook也是如此。两步验证意味着当您从无法识别的计算机或IP地址登录帐户时，系统会提示您输入发送到手机的代码。这也很棒，它也可以作为您帐户的报警系统。如果有人试图访问您的电子邮件，并且您突然收到一个文本，为您提供登录代码，那么您就知道是时候关闭这些密码了。

最后，如果您对您的在线安全有任何疑虑，请检查我是否应该更改我的密码。该站点允许您输入您的电子邮件地址，并查看它是否显示在破解站点后黑客已编译的任何列表中。他们刚刚添加了一项新功能，您可以在其中存储您的电子邮件地址，并且他们会在未来的任何攻击中交叉引用它。

这一切看起来都像是走向深渊而对你太偏执了，但在互联网上偏执有时可以保证你的安全。您还应采取许多其他措施来保护自己，例如：加密硬盘，为您不信任或缺乏安全性的网站创建一次性电子邮件地址和名称，并每隔几个月更改一次密码。本指南应作为让您更安全的起点，如果您只需创建一个强密码并使用“我应该更改我的密码”数据库注册您的电子邮件，那么这至少是保护自己的第一步来自互联网上的身份盗窃。

专家建议

瑞恩迪斯雷利，TeleSign欺诈服务副总裁：

“普通人非常讨厌，但事实是黑客会攻击最容易攻击的目标。这与离线没有什么不同。一个小偷是否会抢劫一个带有全天候保安人员的家或一个总是让前门解锁的房子？现实情况是，一个好的小偷仍然可以抢走一个拥有极好安全感的家，但更愿意追逐一个更容易受害的人。就像你会采取预防措施来保护你的个人财产一样，个人应该寻求增加一些预防措施来保护他们的在线身份。“

多迪格伦, GFI Software的VIPRE Antivirus产品经理:

“像电脑一样对待你的智能手机。如果您在手机上执行任何类型的金融交易，则同样的安全“最佳做法”将适用于计算机。“

舒曼Ghosemajumder，Shape Security战略副总裁：

“请注意您访问网站的方式。确保您信任某个网站的一部分是验证该网站背后的组织是否有信誉。另一部分是确保您信任您与该网站的连接。您应确保URL正确，直接导航到该URL，并且未点击来自未经请求的电子邮件，IM或弹出窗口的链接。如果可以，只使用自己的设备和连接。如果可以，您应该避免使用公共WiFi连接和共享公共计算机，因为攻击者很容易嗅探网络流量或安装键盘记录程序来捕获密码。如果您必须使用公共WiFi连接，请确保您不向不使用HTTPS连接的站点提交任何登录或个人信息。“