胡赳赳
信息之贼难防,信息安全的问题就像环保问题一样严重,稍不注意,就有可能变成透明人,等着被偷伺和宰制。
2013年4月16日对曲高强来说,只是一个普通的日子,他骑着电动车从北三环赶到CBD,参加一家叫“安全联盟”的网站举行的媒体沟通会。“安全联盟”刚刚在网上掀起了不小的热点:年薪20万招聘“首席淫秽色情鉴定官”。这个沟通会向媒体发布了上述以及“首席网络欺诈鉴定官”“首席恶意软件鉴定官”的面试题。在堵车的北京,电动车反而是他外出的首选交通工具。
在举办方提供的厚厚的一本资料中,可以看出中国网络环境的恶劣生态:钓鱼网站、账号被盗、爱心微博诈骗……人性中的恶更容易在互联网上释放出来,而各类骗技层出不穷,逐渐规模化、产业化,一不小心,人们就会掉入各种类似于“弱点营销”的陷阱中去,互联网的道德底线也在一点一点下滑。
曲高强的工作使他对此保持着警觉,他是《电脑时空》杂志的副总编,办公室与一般的编辑部不同,是实验室,有很多台模拟机器,对最新上市的电脑及软件运用进行安全测试,经常是在带毒情况下运行的,而参加发布会也是他日常的事务之一。“我喜欢写作,也喜欢见人,这样的生活很有意思。”
但就是这样一个专业人士,也陷入到对信息泄露的苦恼和深深忧虑之中。因为,他自己就是一个受害者。
密码三个月不换,基本都在黑客手里
前一段时间,朋友发给曲高强一个网站,告诉他这个网站出售多达数百万用户的密码。“每个月只需要50元,你就可以任意查询用户名和密码,网站还提供免费试用服务。”
出于好奇,曲高强输入了自己的两个QQ号、一个163邮箱和一个Gmail邮箱,虽然试用服务隐去了查询结果的中间两位,但是,曲高强还是认出那就是自己的密码。他被彻底搞蒙了:“我足足愣了一分钟,尽管中间是两个星号,但是从两头露出的字符来看,我十分确定,这就是我的密码。”
曲高强说:“作为一名混迹于互联网的专业人士,我自认为这玩意儿离我远着呢。”去年年底CSDN(中文IT社区)密码泄露的消息传出来时,曲高强并未在意,后来又陆续爆出人人网、天涯、多玩等论坛的数据库泄密事件,他仍然觉得与他无关。
思维惯性让他没朝那个方向想,当他通过网站查询到时,才发现自己早已置身于脆弱而危险的境地。
好在那家网站已经遭到关闭,但出售此类数据的网站层出不穷,金山安全反病毒工程师说,“密码三个月不换,基本都在黑客手里”。他表示宁可降低效率,重要密码非换不可。
也有用此类数据做好事的,登录一家叫“安全宝”的网站,就可以查询自己的密码是否已经泄露。
曲高强解释说:“网上QQ群里公开卖数据的很多,成本也很低。”
在此之前,他的QQ号密码还遭遇过一次被盗事件。他的QQ号是576666,由于号好,经常会有人破解密码,当时是6位纯字母。曲有两个QQ号,互相加的是好友,他想丢了就丢了,并不吃惊。但是有一天,他仍在使用的QQ弹出消息,正是被盗之号发来的。曲高强说:“问我在吗,来,帮忙买点东西,给了链接,总花费是1500元。超过2000元公安局就可以立案。”
他感觉不对劲,赶紧通知能想到的亲友,盗号上有六七百个好友,他几乎把能想到的人都通知了一遍。结果,到了晚上,一个同学打来电话,说,“你是让我给你买东西吗?我两点买了,怎么四点又让我买一遍?”
他心里叫苦不迭:“完了,被骗了。”
就连他太太也险些上当,在最后支付时,打电话问他要信用卡密码,才获告知。曲高强面色凝重地说:“所有网上转账都不可靠,一定要打电话核实,发短信都会误会的。”
要是腾讯没人,谁还干这玩意儿
尽管后来通过腾讯公司的朋友找回了QQ号,并更改了密码,但无论是金钱损失,还是名誉损失,都已经让曲高强感觉很受伤。
“盗号的很专业,先是用软件封住渠道,让你走不了24小时申诉的流程,然后搜索你的记录,行骗完了把好友删光,使你无从取证。”
曲高强曾在QQ上跟盗号人交涉,说自己认识腾讯的人,结果对方来了一句,“要是腾讯没人,谁还干这玩意儿”,呛得他一时回不过味来。
曲高强还讲了他听到的故事。利用QQ向海外人士诈骗的案例越来越多,先是假装美女加为好友,视频聊天,套取录像资料,然后盗号,修改密码。之后,利用录像资料取得对方父母信任,假装扩音器坏了,说缺钱用,骗取巨额钱款。
曲高强说,前一段时间某网站推出两元购买移动电源的活动,很多用户信以为真,纷纷下单。实际上,他们被骗走了真实姓名、电话号码、通联地址等个人信息,包括常用的用户名和密码。
曲高强说自己仿佛看到了无数犯罪分子,他们的成本可能就是每个月几十元,而得到的却是以百万计的用户名和密码,这些用户名和密码被他们逐一验证并制定出各种不同的欺诈骗局。
另外一次,曲高强的手机不小心丢了,他吓出一身冷汗,幸好落在朋友家里。他写了一篇专栏文章《丢不起的手机》,文中描述说:“我惶惶不可终日,我想到了手机里面这半年多拍的珍贵的聚会照片,我想到了信息里面保存的几条重要的客户短信,我想到了记事本里面还存了几个重要的账号信息,我还想到了那数百个好友的联系方法,这要是丢了,我可怎么找回来这些信息啊!”
再往下想,曲高强又陷入了恐惧:“如果有人捡到我的手机会有什么后果呢?会不会用我的手机给我父母打电话行骗呢?我的微博账号在手机里面捆绑着,如果存在社交欺诈我将有何颜面在圈子里混?我的支付宝账号也绑定着手机,里面还有一千多块呢!还有我的手机QQ都是记住密码的,如果坏人登陆后,再用我的手机号修改密码,岂不是轻而易举?还有建行、招行的网上银行……”
他在文中悲叹:“天,似乎越想越害怕!”
电子书的App,竟然在读我的短信息
曲高强在考虑的一个问题是:“我不知道我还会不会泄露新的密码,因为我依然感觉安全意识不算太差,可问题就在于,我的的确确泄露了我的密码,而且也很有可能继续泄露,怎么办?”
如果要偷走一个用户的密码,有两个路径,一是人家设了一个局,你自己将密码送过去了,比如各种假冒App、钓鱼网站;另外就是为你提供服务的网站或者App被黑客攻击,导致保管用户密码的数据库被盗,对于中小企业或者各种小型创业公司来说,这种情况发生的概率还是极大的。
作为专业人士,曲高强先将自己武装了起来,他用诺顿安全软件保护自己的电脑,“国内的我信不过”。另外他还装了“安全宝”软件,这是IT人士中流行的一个防护软件。
他将重要密码设置为字母、数字、符号三组的组合,并且记在一个小本子上,记录时,也作了处理,只有自己能看懂。“一定要密码加强,尽量复杂,但也要有记忆规律,我采取的是八个数字加固定符号加网站名称的形式。”
曲高强说,他感觉信息泄密最严重的时候是2008年到2010年:“那时候,老莫名其妙收到推销基金、股票、房产等的广告。孩子出生的时候,推销尿布的短信就来了;刚在银行办了信用卡,推销保险的短信就来了,这是典型的内外勾结贩卖信息。”
后来,他的手机不仅加上了锁屏,还有面部识别、图形密码,所有的应用软件,他都宁可麻烦点,每次使用后退出。因为有次他发现他一本电子书的App也是有害的,“它竟然在读我的短信息”。
曲高强说:“一定要谨慎选择第三方应用市场,尤其是安卓手机用户,涉及社交网络、网银等方面的应用还是去官方网站下载。”
无论是手机还是平板电脑,或者笔记本,曲高强建议,一定要找一套安全软件来当你的第三只眼。它们对假冒和危险App或者网站的鉴别能力,超过人眼。总之,要养成一个良好的用户习惯。
但更多时候,面对海量和难辨真假的信息世界,曲高强又是力不从心的,他说:“没办法,越想越恐怖。”