火眼金睛小心防范网络盗贼三板斧的侵袭

火眼金睛小心防范网络盗贼三板斧的侵袭

作者：lvvl　来源：赛迪网安全社区

现在越来越多的网民、游戏玩家遇到过QQ号、网游账号，甚至网上银行账号被盗。网上窃贼已经从早期的单兵作战，发展到盗号销赃一条龙。针对网络盗窃，一方面存在调查取证难，二是有关立法司法严重滞后，使得网络盗窃的风险远比普通盗窃要低很多。如何保护自己的网络财产？成为网民普遍关心的问题。

其实网络盗贼常用的手法，不外乎“猜”、“骗”、“偷”三板斧。

一“猜”

这一招是最没有技术含量的，就是盗贼获得你的账号信息后，尝试猜解账号密码。我曾看到过CCTV有期节目，说福建某地查获一批小盗贼，他们在受害人银行提款时，记录银行账号，拿到账号后，就尝试猜解密码，按说这应该是非常困难的，但是他们却缕缕得手，其原因就是太多人使用的口令非常容易被猜到。很多人的口令与出生日期、车牌号、电话号码关联，这样自己记起来是容易，小偷偷起来更容易，最要命的是，不少人的口令只用一个，比如MSN，QQ，网游账号，用的都是一个，一把钥匙开所有的门。

防止密码被猜中的方法很简单，使用位数更长，也更复杂的密码吧，自己牢记在心，别写在纸上或者记录在任何电子文件中，让贼去猜，累死他，呵呵。

二“骗”

曾经有个真实案例，某地小区发现一个新建的储蓄所，外观和其它银行并无二致，小区居民觉得不错，银行开到家门口，当然是方便了。有个银行的工作人员从这家即将建好的储蓄所经过，觉得太陌生，打了个电话咨询上级，发现根本没有在本地建储蓄所有情况，打电话报警，警方调查的结果令人大吃一惊，这根本就是个假银行。而在网络上，这种类似假银行的就不再是个案，而是随处可见。稍不留神，你可能就进假银行办业务了。专家给这种“骗”取了个形象的名字——网络钓鱼。

防止被骗，首先要练自己的眼力，和对付面对面的骗子一样，千万别因贪心而被骗。认准自己常去的网站，在你准备输入账号密码时，再检查一遍地址对不对，在线交易时要特别留神。也有协助你防骗的技术手段，比如金山毒霸的网络反钓鱼功能，支持模糊匹配保护白名单，发现和白名单特别像的连接会提醒访问者，但切记技术不是万能的，关键还的靠自己。

三“偷”

在这三板斧中技术含量最高，窃贼在受害者登录的电脑上种植木马，偷盗用的木马通常有两类，一类是通用木马，可以远程控制受害人电脑，被远程控制的电脑一举一动都可能被远程控制者观察到，或者通过键盘钩子监视受害电脑的每个击键动作，将日志文件发送到远程攻击者分析。这类手法需要分析的数据量太大，不利于分析大量目标，严重影响作案效率。另一类就是精确制导了，比如广泛存在的QQ盗号木马、魔兽盗号木马、征途盗号木马、网银大盗等等。这类木马只监视特定目标，可以通过键盘钩子，也可以捕获鼠标指针周围一定像素的屏幕图像，即使网络银行，网络游戏的登录窗口使用虚拟键盘，也一样被盗。最近一个朋友说他的网络银行账号里被人分10多次偷了1万多元，盗窃者通过木马窃取了受害者的网络银行登录账号密码，因为使用的是网络银行大众版，日消费转帐上限为1000元，盗窃者多次完成交易，使得该盗窃者留下多处盗窃痕迹。这里需要指出的是，因为网络银行大众版的证书是公用的，窃贼只要偷到账号密码就算得手了，其安全性备受质疑。网络银行专业版需要同时偷走账号密码和证书，证书在尝试恢复时，系统会通过短信或邮件通知用户，并且证书的恢复过程中还多了输入口令的环节，安全性要高得多。

防被偷，就需要防木马，用网络银行专业版取代大众版，只在安全的电脑上登录。杀毒软件是很好的辅助工具，但是别迷信杀毒软件的报告。任何一款杀毒软件都不能保证你的系统不被植入木马，如果谁说可以，一定江湖骗子。比如，我在网吧登录QQ或网络游戏时，首先会看看进程，当然这不适用于一般用户，进程启动项，只有专业玩家才能看明白。普通用户可以这么干，打开一个记事本，随便写多段字串，其中含有登录密码，多次使用剪贴板复制密码的多个部分，组成真正的密码，将其粘贴到登录窗口，一定程度上可以避免号码被盗。还有，将你的QQ号，网游账号和手机绑定，方便你被盗后追回你的账号。

网络消费慎防各类来自互联网的欺诈威胁

作者：茫然的风　来源：赛迪网

现在很多公司企业利用计算机技术、网络技术和远程通信技术，实现整个商务(买卖)过程中的电子化、数字化和网络化。人们的交易是通过网络，通过网上琳琅满目的商品信息、完善的物流配送系统和方便安全的资金结算系统进行交易(买卖)。 例如，许多合法的公司通过Internet销售其产品或服务，慈善团体可以使用Internet请求捐款等等。不幸的是，一些非法的公司和个人也利用互联网这个便利的媒体平台进行非法的、欺诈性的谋利活动。那么如何面对这种可恶的网络欺诈呢？本文给出几个技巧，供您在网络上花钱做一参考。

知道你在和谁进行贸易

如果你对卖方并不熟悉，就请你上网查一下国家或当地的工商行政管理部门或者是消费者权益保护组织的网站，或者咨询一些经常进行网络消费的人员。有一些网站拥有反馈论坛，这可以为用户提供其他人与特定网络销售者进行贸易时的经验、经历的信息。最好是得到其所在的物理地址以及其电话号码等，一定要验证此类信息的真实性！因为公司可以假冒，电话号码也可以伪造！

搜索投诉处理的有关信息

处理投诉可能比较为困难，特别是当销售者位于另一个国家时。你需要上网查找Web有关站点资料，明确有关公司企业需要承担的法律责任标准，并且知晓有哪些组织可以处理你的投诉请求。

无投诉并不意味着有了安全保障

网络骗子公司开的快，关门也快，因此如果一家公司没有受到投诉并不意味着它是合法的、可信的。你仍然需要搜索其它的可证明其欺诈的危险性信号。

不要相信让你快速发财的承诺

如果有人宣称你用很少的金钱和少量的劳动就可以获得贷款或信用卡，即使你的商业信誉不好，也可以让你无风险地快速致富，这极有可能是一个骗局。永远记住，天上不会掉馅饼。

理解对方所提供的信息

一个合法可信的网络销售商会向顾客展示其产品或服务的详细信息，如产品规格与型号、价格、交货时间、退货及取消条款，当然还包括保修条件等。

反对强制性要求

正当的公司乐于给用户做出决策的时间。如果有人要求你立即付款或不允许顾客做出否定的回答等，那他可能正在对你实施欺诈。

在填写由不熟悉的公司提供的具有争议性的报名表时，要慎之又慎。

网络欺诈者有时会用一些具有争议性的表格或条款欺骗那些潜在的受害者。

当心那些未被请求的电子邮件：这种电子邮件通常是欺诈性的。如果你熟悉某个给你发送电子邮件的公司，而你又不想再接收其电子邮件了，你应该发送一个要求从电子邮件列表中清除的请求。然而，响应一个未知的发送者可能只会确认你的电子邮箱是一个可以正常使用的邮件地址，其结果就是会有更多的陌生邮件陆续发送到你的邮箱。最好的方法是删除这个邮件。

当心“披着羊皮的狼”或称冒充者：有人可能会给你发送一个电子邮件，装作与某某公司有联系，或者创建一个看起来像是一个合法的或著名的公司的Web站点。如果你并不知道自己是否正在与一个真实的组织打交道，那就找另一种方法联系这家合法的公司，并进行仔细询问。

保护你的个人信息：除非你真得要付账，不要提供你的信用卡号或银行账号。如果有人宣称来自某某公司，而你在此公司有一个账号，此人向你索要此公司保存的信息时，需要特别当心。这有可能是一个陷阱。

当心“危险的下载”：在下载看图、听音乐、玩游戏等程序时，有可能同时下载能毁坏你的计算机文件的病毒、木马等，它们可能会要求与远程计算机连接。因此，除非你清除这个程序一定是善意的，请不要随便让你的防火墙解除对其访问网络的阻止。而且只从你信任的站点下载程序，还要仔细阅读所有的用户协议。