All posts

最近，有关物联网的话题在IT业界火热讨论中。一下子好像所有东西都应该被联网：冰箱、咖啡机、电视机、微波炉、健身智能手环以及无人飞机。但这些东西也仅仅也只是冰山的一角。 物联网是因为在线社区网络的独特性才得以获得如此高的关注度，而一旦有消费性电子产品加入物联网必定会遭到媒体连篇累牍的报道。但在现实生活中，加入物联网的不仅仅只是家用电器。 有大批家用电器可能会被联网–其中有一些 – 联网根本毫无必要。大部分消费者几乎很少能想到一旦智能连接的家用电器遭黑客攻击的话，其危害程度远胜于个人电脑。 在《卡巴斯基每日中文博客》中我们定期会刊登有关一些让人意想不到的存在漏洞连接设备的文章。而David Jacobi在各大信息安全会议上所发表的关于他如何黑客入侵自己智能家庭的风趣演讲，一如既往给现场观众带来欢笑声以及随之而来佩服的掌声。 来自Laconicly公司的Billy Rios也带来了另一个有关黑客入侵洗车场的生动有趣的例子。洗车场。大家都知道，使用巨大刷子和泡沫洗车的地方。如今的洗车场也拥有了联网的智能控制系统，因而易于遭受远程黑客入侵。 一旦成功入侵，黑客就能获得有关洗车场运行各个方面的全方位控制。网络犯罪分子几乎可以为所欲为，包括获得免费服务。其原因在于车主账户有权访问多种工具，其中就包括支付系统。黑客通过获取出入口的控制权从而控制在洗车场内清洗的整辆汽车。此外，这还可能会破坏洗车场或损毁车辆，原因在于洗车设施内装备有大量移动组件和功率强大的发动机。 还有什么别的东西可以黑客入侵的吗？当然，只要你想得到的都可以！例如，在2015年安全分析专家峰会（SAS 2015）上，来自卡巴斯基实验室的安全专家Vasilis Hiuorios就报告了他对于警方监视系统的黑客入侵。而警方原以为定向天线足以确保通讯的安全。 如果说警方也如此粗心大意任由黑客入侵他们的网络和设备的话，那联网器件制造厂商的安全意识更令人担忧。来自卡巴斯基的另一名专家Roman Unuchek也在SAS 2015峰会上展示了如何对一款健身智能手环黑客入侵：在一连串的简单操作后，任何人都可以与健身智能手环相连，并下载有关手环所有者位置跟踪的信息。 总而言之，问题的关键在于那些开发和生产联网家用电器的厂商所面对的是一无所知的全新世界。他们最终发现自己面临的形势就好比是篮球运动员参加象棋比赛，而且对面坐着的对手却是一名名副其实的象棋大师。 而联网设备的实际用户所面临的情况还要更糟。他们根本不会去考虑任何的网络安全问题。对于一名普通的消费者而言，联网的微波炉和普通微波炉并无太大差别。这就好比网络用户从未想到过装备齐全的联网计算机会对我们的物质世界产生如此巨大的影响。 家用电器一窝蜂地进行联网迟早会对广大消费者带来不利影响。考虑到不管是用户还是电器厂商都在物联网世界中面临着艰巨的挑战，因此后者更应该开始考虑如何才能提升自己产品的安全程度。对于用户而言，我们的建议是尽可能不要使用过于”智能化”的联网技术。

我们（以及其他许多网络安全博客）常常会写一些有关各种盗读技术和以其它方式窃取银行卡的文章。今天，我们将讨论那些表面看上去并不危险，但却的的确确存在却被大多数银行卡用户所忽视的风险。我们即将讲述的故事是有关跨境支付的风险以及在支付系统内所发现的内在缺陷。 无需CVV代码的支付交易 许多人总认为必须输入CVV代码（印在信用卡背面的三位数字）才能完成在线交易。然而，有些网店却能跳过这一步骤，且无需将密码传送至支付网关。 就这一问题我们询问了DiaSoft商务拓展部研发主管Sergey Dobrinyuk，他是这样评论道的：”要完成在线交易通常需要提交这些认证信息：卡号、有效日期、印刻在卡上的持卡人姓名以及印在卡反面的CVV代码。” “凹凸印字卡片（持卡人姓名的字母在卡表面凸起显示）在在线支付时使用得更加频繁，且通常来说这些卡的级别较高，比如：VISA经典卡和VISA金卡等。发卡行则会对客户的身份和购买力进行核实和评估。这也是为什么在交易金额不大的时候，如果能确定是”高品质”买家的话，卖家可能只会验证卡号的真实性而跳过授权认证这一环节。” “这就是所谓的’免授权限额’。一些银行和网店的免授权限额最高可达1000美元。” Dobrinyuk说道。 据有关专家称，一些新兴市场的 “高品质”客户并非都能享受到如此的优待，而通常来说支付系统也会部署更多的安全等级，但目前还不存在共享的银行卡认证信息政策—每一家网店完全可以制定自己的规则。 “所有无需PIN码或3D Secure验证的远程交易都可能受到用户的质疑。如果你对交易的合法性抱有疑问的话，完全可以向银行申请退款，在银行调查清楚后便会将这笔钱退回到你的账户。” Dobrinyuk说道。 Dobrinyuk建议网购用户只在那些拥有3D Secure标准（VISA卡和万事达卡分别对应”Verified by Visa”和”SecureCode”）的网店进行在线交易—作为一种双重认证方式，交易时必须输入通过短信发送或打印在ATM凭条上的一次性密码。 不幸的是，网店完全能自行决定是否需要在其支付系统内部署额外的安全等级。就算你的信用卡受到3D Secure的保护，但网店依然可能跳过这一步骤。 使用虚拟信用卡也有助于提升安全保护等级。此类信用卡通常有效期很短，且所涉金额较小。即使遭受黑客入侵，主卡的支付认证信息也不会被泄露。 正如你所知的，将你的信用卡卡号告知他人并不是一个好主意。如果有网络犯罪分子引诱你透露持卡人姓名和卡有效期，那他很有可能就能从你的账户内窃取资金—就算没有CVV代码也完全可行。好消息是此类情况你可以向银行申请退款。但也有坏消息，就是你需要自己甄别欺诈交易并行动迅速。 仅限电子联机交易 对于VISA电子信用卡和其它采用各种不同支付系统的入门级信用卡产品，人们都有一个共同的误区。此类信用卡没有印刻任何信息但在卡正面却印有免责声明：”ELECTRONIC USE ONLY（仅限电子联机交易）”。 许多人都误认为这样的卡无法用于在线交易，但事实上这完全由发卡行决定。支付系统政策根本无法限制此类卡的在线交易。 简单地说：网络骗子同样能从入门级信用卡内窃取资金。 跨境支付 由于汇率的波动，持卡人在进行跨境在线支付和境外取款时总会遇到这样或那样的问题。其中主要的风险之一便是对持卡人不利的汇率波动。 “此类情况下可能最多需要进行4次汇率换算：从电子商务平台终端、收款行、支付系统最后到发卡行”。Dobrinyuk提醒说道。

卡巴斯基GReAT团队于近期发布了针对Equation网络间谍小组活动的研究报告，其中揭示了大量所谓的”技术奇迹”。该历史悠久且技术强大的黑客小组开了一系列复杂的”可植入”恶意软件，但其中最有趣的发现是该恶意软件能够对受害人的硬盘进行重新编程，进而隐藏这些”植入病毒”因此几乎”坚不可摧”。 作为计算机安全领域期待已久的”恐怖故事”之一 –永远存在于计算机硬盘且无法被清除的病毒数十年来被认为是一段”都市传奇”，但似乎人们花费了数百万美元只是为了将其变为现实。有些新闻报道煞有其事地宣称Equation黑客小组所开的这一恶意软件能让网络黑客”窃听全球大多数计算机”。然而，我们只是想尽可能地还原事实的真相。所谓能够”窃听全球大多数计算机“就像熊猫能在马路上走路一样不现实。 首先，让我们解释一下什么是”对硬盘固件重新编程”。通常一块硬盘由两个重要部件组成–存储介质（传统硬盘使用磁盘，而固态硬盘则采用闪存芯片）和微芯片，而后者则真正控制对硬盘的读写以及许多服务程序，例如：错误检测和修正。由于这些服务程序数量众多且相当复杂，因此从技术上说，一块芯片就好比是一台小型计算机，用于处理各种复杂的程序。芯片的程序被称为固件，而硬盘供应商可能不时需要对其进行升级更新：修正已发现的错误或改善性能。 而这一机制恰恰被Equation黑客小组所滥用，从而能够将其自己的固件下载到12种不同类型（按不同供应商/差异区分）的硬盘。修改后固件的功能依然不得而知，但因此计算机上的恶意软件却获得了在硬盘特定区域读写数据的能力。我们只能假设这一区域完全对操作系统甚至特定合法软件隐藏。而这一区域的数据即使硬盘格式化后也依然可能幸存，并且从理论上说固件能通过从一开始感染新安装的操作系统进而对硬盘引导区进行再感染。为了简化之后的工作，固件都是依靠自身检查和重新编程，因此就无法检验固件完整性或可靠地将固件重新上传至计算机。换句话说，受感染的硬盘固件根本无法被检测出，因此也就”坚不可摧”了。最简单和省钱的办法是将可能被感染的硬盘丢弃，重新买块新的。 但是，不用急着去找螺丝刀–我们并不认为这一终极感染能力会成为主流。就算Equation黑客小组可能也只用过几次而已，因此受害人系统存在硬盘感染模块的情况依然屈指可数。首先，对硬盘重新编程相比写入而言要复杂得多，可以将Windows软件作为例子。每一块硬盘的模块都是独一无二且造价相当昂贵，此外要编写出一个替代的固件也需要耗费相当长的时间和精力。黑客首先必须得到硬盘供应商的内部文档（几乎不可能），购买一些同一型号的硬盘，编写和测试所需的功能并将恶意程序植入现有固件，与此同时还需要保持其原先的功能。这是一个浩大的工程，需要花费数月进行研发并投入数百万美元的资金。因此在一些用于犯罪的恶意软件或大部分的有针对性攻击中，几乎不太可能使用此类隐藏技术。此外，固件开发显然只能小范围进行，无法简单地大规模进行。许多硬盘厂商每月都会针对多款硬盘发布固件，新型号产品也层出不穷，因此要黑客入侵每一款型号的固件对于Equation以及其他所有黑客小组而言几乎不可能实现（也没有这个必要）。 因此，真实的情况是–感染硬盘恶意软件不再是传奇了，但对于大多数用户而言不存在任何风险。千万不要轻易丢弃自己的硬盘，除非你是在伊朗的核工业工作。但却需要对一些我们已老生常谈的风险多加注意，比如因密码薄弱或反病毒软件长久未更新而导致黑客入侵。

高级持续性威胁（APT）是信息安全专家常常挂在嘴边的话题，这种攻击通常利用最最尖端复杂的黑客工具。但对于普通大众来说，这种威胁似乎与己无关。 对于公众来说，最广为人知的一些攻击类似于间谍小说中的情节。直到最近，APT还不是人们关注的话题，因为绝大多数APT针对的是政府机构，其中所有调查细节高度保密，并且实际造成的经济影响难以估计，原因显而易见。 然而，今时不同往日：APT已将触角伸入商业领域，更准确的说是银行业。结果可想而知：以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 攻击套路 为了渗透到银行内网，黑客利用定向钓鱼邮件来诱导用户打开邮件，借机使用恶意软件感染电脑。一旦成功，黑客就会在用户电脑上安装一扇后门，后门基于Carberp银行恶意软件源码，此项行动也由此得名为Carbanak。 以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 获得对电脑的控制权后，黑客会以此电脑作为入口点，探测银行内网并感染其他电脑，目的是找出能用于访问关键金融系统的电脑。 找到这样的电脑后，黑客将研究银行使用的金融工具，并利用键盘记录软件和隐蔽的截屏功能来查看和记录银行职员屏幕上的一切信息。 随后，为了完成行动，黑客会根据具体情况定义最为便利的方法来盗取资金，他们或者使用电汇转帐，或者建立一个假的银行账户，利用钱骡直接取现，或向ATM机发送远程指令吐钱。 这种银行网络盗窃行为的持续周期平均为两到四个月，从感染电脑的第一天开始算，一直到最终取现为止。 估计损失 黑客以某种方式从入侵的每家银行盗取250万美元到1000万美元，即便分别来看，此金额也相当惊人。假设有数十家，甚至上百家金融机构因APT攻击导致资金被盗，累计总损失很有可能达到10亿美元，令人瞠目结舌。 被ATP攻击导致持续严重损失的国家包括俄罗斯、美国、德国、中国和乌克兰。目前，Carbanak蔓延范围不断扩大，目前马来西亚、尼泊尔、科威特和若干非洲国家都已发现APT攻击。 据卡巴斯基实验室发布的信息，Carbanak所利用恶意软件的首批样本早在2013年8月创建。第一例感染发生在2013年12月。第一次有记录的成功盗取发生在2014年2月到4月间，攻击高峰时间是2014年6月。 很明显，除非被捕，否则黑客绝不会就此罢手。目前，众多国家网络防御中心和多家国际机构，包括欧洲刑警组织（Europol）和国际刑警组织在内（Interpol）都展开了调查行动。卡巴斯基全球研究分析小组（GReAT）也在其中贡献了自己的一份力量。 如何防御这种威胁？ 下面要告诉卡巴斯基用户一些好消息： 卡巴斯基实验室的所有企业级产品和解决方案都能检测到已知的Carbanak恶意软件样本：Backdoor.Win32.Carbanak和Backdoor.Win32.CarbanakCmd。 为了确保您的防御等级保持在高水平，我们建议您启用主动防御模块，卡巴斯基的所有产品版本中都含有此模块。 此外，还有一些小贴士，可保护您不受这种及其他安全威胁： 绝不打开任何可疑电子邮件，尤其是带附件的邮件。 定期更新使用的软件。例如，这次攻击行动利用的并不是零日漏洞，而是供应商之前打过补丁的已知漏洞。 启用反病毒软件中的启发式检测：此功能将提高极早检测到恶意软件样本的几率。 若要了解Carbanak行动的更多信息以及卡巴斯基GReAT小组调查的详细信息，请查看Securelist上的相关博文。

几个星期前，有人在Reddit网站发帖，帖子内容引述了三星智能电视服务条款：”请注意，如果你所说的话中包含了个人隐私或其他敏感信息，那些信息将被捕捉并通过您使用语音识别功能传输给第三方。” 在随后的几天，不管是旧媒体还是新媒体甚至是雪城大学的官方博客均陆续发表了关于智能电视窃听用户隐私的看法。不幸的是，在专业人士针对智能电视操作系统编写隐私扩展或类似”请勿追踪”和“广告拦截“的插件之前，唯一能阻止此类追踪的方法就是禁用语音识别功能。 让我来首先承认这样一个事实：我其实不管对三星过去的Google电视、现在的三星智能电视还是未来的Tizen 操作系统都不太熟悉，因此我无法确认反追踪或其它类似浏览器的插件是否能真的能起到作用。 然而在我从智能电视厂商的应用开发和审批程序所了解到的是，并没有阻止任何人编写隐私附加元件的明确政策，也不存在针对包括三星在内的所有智能电视系统的强大隐私插件。 如果你认为三星是唯一一家制定此类服务条款合同的智能电视厂商的话，我只能非常遗憾地告诉你：远不止三星一家 更为不幸的是，如果你认为三星是唯一一家制定此类服务条款合同的智能电视厂商的话，我只能非常遗憾地告诉你：远不止三星一家 苹果全部产品系列均保留以下权利：”使用[客户]个人信息以用于例如：审查、数据分析以及研究的内部目的，旨在改进苹果产品、服务和客户沟通”。同样，苹果也允许与其所有”附属公司”共享这些信息。 值得赞赏的是，苹果保证Siri不会保存用户iPhone手机外的位置信息。然而，苹果的隐私政策并没有明确表示Siri页面是否收集、保存或共享用户向Siri语言输入的信息。我们为此向苹果询问这方面的问题。但我并没有对苹果是否能作出回应抱有太大希望。 此外，Google也承认收集用户所使用服务的信息，尽管它巧妙地在弹出窗口内隐藏了详细内容，但依然有这些信息不幸被收集：数据使用和系统偏好设置、Gmail消息（顺便说下，就是消息的内容）、G+用户资料信息、照片、视频、浏览历史记录、地图搜索以及文档（即保存在你文档中的内容）等其它Google托管内容。 唯一了解某一家公司如何处理你个人数据的方式是阅读他们的隐私服务条款声明 我们只举了其中的几个案例而已，而唯一了解某一家公司如何处理你个人数据的方式就是阅读他们的隐私服务条款声明。然而，我们都知道这些声明文件篇幅过长、复杂难懂且使用了许多难以理解的法律术语。我们通常都会直接在”我已阅读并同意”选项上打钩，但真正读过内容的人几乎没有。 就算有人真的阅读了这些条款，但真正理解其中含义的也屈指可数。是否应直接勾选”阅读并同意”而不将整个内容看一遍，关于这一点长期存在争议。就目前而言，直接勾选”阅读并同意”已成为大部分用户的一种习惯，无论你内心是否真的非常渴望了解这些隐私声明和条款。 对于未来到底如何目前很难作出预测，但越多越多的联网设备将推出市场却是事实，其中许多就拥有更为强大的语音识别功能。Google、苹果、三星以及其它一些科技巨头在这一方面的技术稍领先于业内其它公司。无论你同意与否，这些公司已经意识到了隐私的问题。他们可能会将你的个人信息出售给第三方，但在这之前至少会考虑一下。 由于大多数应用厂商将语音识别功能和激活服务加入其产品的历史不超过十年的时间，且缺少更多有价值的隐私处理经验，因此我们还需要耐心等待。好吧，让我们一起拭目以待，到时候这一领域必将变得非常有趣。

有时候，飞行恐惧症患者会有些让人难以理解。虽然有些人并不承认自己害怕飞行，但他们一坐上飞机，就会疯狂地用Google搜索飞机注册号，目的是了解飞机的制造时间，之前飞过哪些地方。接着就是在Twitter上发贴：”刚上飞机，发现飞机居然比我还老！#震惊#死定了”，或者是”上帝保佑，千万别飞着飞着就散架了”。在某些情况下，飞行恐惧症患者甚至会干脆选择不飞了。 所有论坛上都会有人问：”我要乘坐XYZ航班，有谁知道它们的机队有多新吗？” 不管是航空公司还是旅行社，在宣传材料中，都时不时会把飞行恐惧症患者的一般信条拿出来利用一把，他们要么号称自己拥有”最年轻的机队”，要么就是按飞机机龄列出航空公司报价。 逻辑上的谬论 这种误解背后的推理非常简单：许多人认为飞机就和汽车差不多。据称，一辆汽车在全新的时候性能最好，在5到7年以内性能”可以接受”。而一辆20年的老车只能作为农村运羊的工具。 但即便就汽车而言，这一逻辑也是有漏洞的：一辆全新的出租车跑上三年就完全报废了，而一辆有年份的 “甲壳虫”特别款也许还光亮如新，似乎刚刚从生产线上下来 － 当然，前提是车主平时把车停在车库中，只偶尔短途旅行时才拿出来用一下。复古车迷就更不用说了，他们会把引擎盖擦得闪闪发亮，连一丝灰尘都不会放过。 当然，飞机是一种全天开足马力工作的运输工具：航空公司为了保证投资回报率（ROI）最高，会千方百计地搭载最多的客货，但这是否就意味着飞机和出租车一样，几年之后就会变成一堆废铁呢？不要惊慌！ 服役时间是关键 对于航空业，适航性取决于剩余服役年限、飞行小时数以及起飞和降落次数；其中每种因素都须单独进行评测。这就是为什么有些飞机会很快变成超龄机，原因就是它们飞的是短途频繁起降的航班。 “服役年限”适用于各种不同的情况。一种类型的”服役年限”是设计服役年限，是指设计者针对具体飞机型号所设计的最短”预期寿命”。换句话说，设计服役年限类似于保修期：比如新电视，1年保修意味着电视在第一年使用中不会出现问题，即电视或可正常工作2年、5年，甚至10年，期间一次故障都不出（而且大多数情况下确实如此）。 另一种类型的”服役年限”是”指定服务年限”，在此年限后即报废。此年限是在特定类型的飞机飞行一段时间后确定的。飞机服役一段既定的时间后，会对其状况进行全面评测，估计还能无故障飞行多长时间。 通常，”指定服役年限”是”设计服役年限”的2到3倍。指定服役年限到期并不说明飞机就不能飞了。特定类型飞机在机体状况进行仔细检查，并经过大修（O/H）后，可延长其指定服役年限。 定期维护 飞机的大修间隔期是严格规定的。有所谓第一次大修期以及大修间隔期（TBO）的说法。在某些情况下，根据制造商的强制规定，一些完全能正常运行的部件也要更换成新的。大修间隔期也可根据具体情况延长。 No used life-limited part should be installed on aircraft unless history of part

流行的移动消息服务WhatsApp于上月发布了其网页版，该服务允许用户在其喜爱的网页浏览器上使用WhatsApp —但必须用的是Google Chrome浏览器，才无需将个人的WhatsApp网页版账户与iPhone手机配对。 像往常一样，《卡巴斯基每日中文博客》最感兴趣的还是WhatsApp网页版的安全问题。尽管该服务仅公开发布了一个月不到的时间，但一些漏洞已被发现，与之相关的安全事件也时有发生。 Indrajeet Bhuyan是一名来自印度的年仅17岁的科技类博客博主和安全研究者，他发现了两个的确存在于WhatsApp网页版和移动版之间互动过程中的有趣bug。首先要搞清楚的是，网页版客户端只是WhatsApp移动应用程序的一个扩展，是通过映射移动设备的会话然后在Chrome浏览器上显示，其工作原理在WhatsApp官方博客上已与所介绍。因此当用户的iOS移动设备无法连接互联网的时候，就可以使用WhatsApp网页版。 大多数WhatsApp网页版bug在某种程度上与移动应用程序有关的可能性很大，Bhuyan已对其所发现的bug很好地进行了演示。 Bhuyan所发现的其中一个bug与删除的照片有关，也与移动版和网页版之间同步的方式有关。如果用户将WhatsApp与新的网页版服务配对后删除一张照片的话，该照片也将在移动版本应用程序内被删除。然而，据Bhuyan称，任何删除的照片将依然能在网页版客户端上看到。但在另一方面，一旦消息被从移动应用上删除后，网页版应用也将同步删除。 另一个Bhuyan所发现的bug与用户资料隐私选项有关。用户可以将用户资料照片选择向所有人或用户联系列表内的人公开，或者完全保密。Bhuyan宣称，如果选择仅向联系列表内的人公开你的用户资料照片的话，但事实上所有想看到的人都能通过网页版应用看到。下面这段视频说明了一切： Bhuyan在自己的博客上发布了一篇对其研究的简要分析文章，而Bhuyan本人从14岁起就在这个博客上开始发布与科技有关的文章。《卡巴斯基日报》随后联系到了WhatsApp，但该公司对此没有做出任何回应。 卡巴斯基实验室研究人员Fabio Assolini长期追踪利用平台公共利益实施诈骗的网络犯罪行为。据Securelist报道，此类网络诈骗活动通过模仿WhatsApp安装网页，将官方的Google Chrome插件替换成假冒的。要想安装WhatsApp网页版，用户需要访问web.whatsapp.com并用移动设备扫描二维码图片。当然，网络骗子采用的方式是部署含有恶意二维码的山寨网站来感染用户设备。 事实上，Assolini还提到了网络骗子围绕桌面版WhatsApp的网络诈骗活动早在WhatsApp网页版推出前就已屡见不鲜了。他表示已经注意到几个售卖巴西网银木马病毒的恶意域名将自己装扮成假冒的Windows 版WhatsApp。 如果你打算安装WhatsApp网页版的话，确保访问的是正确的网站。 Assolini发现还有其他的犯罪集团利用人们对于WhatsApp网页版客户端的新鲜感，专门收集电话号码以实施昂贵短信服务的诈骗活动，通过将这些电话号码在一些短信服务上注册，受害用户将不得不向犯罪分子支付昂贵的”服务费”。 我们非常期待想了解WhatsApp网页版的安全防范能力是如何领先于其它消息服务的。 目前最好的建议是：如果你打算安装WhatsApp网页版的话，确保访问的是正确的网站。

每个孩子都知道任何味道好吃、稀奇古怪或颜色鲜艳的食物事实上对人体健康是有危害的。有一句来自Winston Churchill、Oscar Wilde或Alexander Woollcott的谚语是这样说的：”所有我真正喜欢做的事情，不是非法的，便是不道德的，要不就是替自己催肥。” 如果根据热力学第二定律，我们完全可以明白这句谚语的其中道理。然而，生活充满了各种可能性，每一条定律都有其例外情况存在，大多数已经过科学验证。 让我们举一些有趣的例子。喝咖啡上瘾迟早会对健康造成损害（每一名好医生都会这样说），但与此同时，喝咖啡上瘾却能有效降低患上黑素瘤的风险，这一观点已得到美国近期的一项医学研究成果的证明；该项研究成果发布在了著名的《美国国家癌症研究所杂志》上。 喝咖啡上瘾迟早会对健康造成损害，但与此同时，喝咖啡上瘾却能有效降低患上黑素瘤的风险 事实很简单：每天喝4杯以上的咖啡能够将患恶性肿瘤风险降低20%。喝得越少意味着患肿瘤的风险越高，但需要牢记的是脱因咖啡无法对降低患肿瘤风险产生任何作用，目前没有任何证据表明脱因咖啡能起到任何作用。 当然，20%不算太高也不算低，每年因患黑素瘤而死亡的人数有5万人之多，且这一数字在逐年上升。但有一些确定的因素会造成死亡，大多数人患黑素瘤的主要原因有两个：一是暴露在阳光下的时间过长，二是遗传原因。 事实上，饮用咖啡和患皮肤癌的低风险性之间的关联在一些挪威和意大利早年出版的科学论文上已有所引用。但当时这些统计数据不足以证明其关联程度。 这项新的研究总历时长达10年时间，在对近50万美国白人的大范围调查取样后而得出处的结果。此外，研究人员还考虑了一些其它的重要因素，包括：性别、年龄、体育活动、肥胖、不良习惯以及天气等。 研究人员还注意到与患黑素瘤风险高低相关的其他行为模式还有酒精、吸烟以及高学历。吸烟能稍微降低一些患黑素瘤的风险，但酒精和高学历却起到了相反作用。后者的相反作用尽管让人感到奇怪，但高收入、高学历人群的享受生活方式-热衷于晒太阳一定程度上解释了这一疑问。但通常情况下，这两项因素的影响力极其有限。 研究人员在其研究中对这些影响因素的使用慎之又慎，并承认这些关联性带有一些猜测的意味（所宣称的关联性有一定巧合）。然而，研究表明包括咖啡因的咖啡内有益成分事实上的确能够对由强烈紫外线照射所引起的致癌产生影响。 研究人员还表示，紫外线防晒霜能够有效抵御太阳光照射，且效果远超每天喝数升咖啡所起到的防癌作用。 对于那些无法克服不良生活习惯的人来说，美国医学博士在《欧洲心脏杂志》所发布上的另一篇研究成果可谓是是又一条”福音”。 众所周知，经常性饮酒对心血管系统有害，同时还会提高心力衰竭的风险。在研究期间得到的新数据表明这些影响力完全由具体的饮用量而决定。少量饮酒的话并不会对身体造成任何危害，反而会起到有益作用。 研究成果如下：每周饮酒7个参考单位的男性相比不饮酒的男性能有效地将患心脏病风险降低20%。对于女性而言，这一数字较低一些（16%）。研究人员将17克乙醇（相当于100-150克葡萄酒、一小罐啤酒或30-40克烈酒）作为一个参考单位。 每周饮酒7个参考单位的男性相比不饮酒的男性能有效地将患心脏病风险降低20%。 如果每周的饮酒量超过这一数字的话，对人体的有益作用将逐步消失。如果每周饮酒量是研究人员所建议数字两倍的话（每周14个参考单位），其患心脏病风险将高于不饮酒的人。如果每周饮酒量超过21个参考单位，则过早死亡的风险将有所提高（无论出于什么原因）。 所得到的数据采集自对不分人种的美国青年和中年人的抽样调查（整个研究过程历时25年时间）。 与本文开头提到的研究相似的是，该项研究成果也并非全新观点：在这以前也曾发布过类似的研究成果，但该项研究所使用的统计数据却相当庞大，因此可信度极高：总计有约15万人接受调查，且整个研究过程历时25年的时间。 该篇研究论文的作者们警告目前还不能对饮酒和降低患心脏病风险的关联性下绝对的定论。我们只能说有一定关联而已，但其确切的因果关系依然还未得到验证。除此之外还有另一个重要的问题：喝哪一种酒更有助于长寿？这个问题有待相关研究人员的进一步发现。 上述所有研究的本质是什么？过度放纵根本无助于更健康的生活，也没有任何一项科学研究是在为抽烟或酗酒寻找借口。我们只需思考一下”没有被普遍接受的真理是绝对的”这句话的意义。打个比方，就算有再多迹象显示盒子内所装的东西，但只有真正打开盒子那一刻才能知道里面到底装的是什么。

一旦用户浏览类似于笔记本电脑或炖锅等商品，以后每次打开浏览器，相关的网店广告将从此形影不离。这正是所谓的”上下文广告”推广：大量追踪用户在线活动的合法方式。今天，我们将教会您如何摆脱这些最常见的已知追踪者。 谁在监视我们？ 这个问题的答案即简单又复杂：基本上来说，每一个人都有嫌疑。 用户受到几乎所有流行资源的追踪，但广告网络服务首当其冲；最流行的广告网络服务包括：Google关键字广告（双击）、Oracle Bluekai、Atlas Solutions（隶属于Facebook的一个事业部）以及AppNexus等等。这些网络服务都受到类似于存取计算器和其它网页分析工具的追踪。 社交网络同样不甘落后。流行的视频分享网站（例如：YouTube）、AddThis社会性书签服务以及评论Disqus插件同样也在密切追踪用户。而社交网络并不仅仅只追踪你在评论墙上的活动；如今，所有网站均采用流行网络服务提供的按键或窗体小部件，从而实现对用户的进一步追踪。 追踪方法 追踪的方法有许多。许多网站均具备获取基础用户数据的能力：浏览器会自动泄露你的IP地址、软件版本信息或所用显示器分辨率等内容。将所有各种看似无关的信息整合到一起后，广告商完全能仅凭这些信息为用户量身定制广告方案。 Cookies是在浏览会话结束后保存的小文件，里面含有验证信息、系统预设以及经常访问的网站板块等。凭借每一名用户的唯一识别符，重复最多的Cookies被用于追踪用户并收集相关数据。 正如我们所注意到的，社交网络按键是一种功能强大且使用方便的追踪工具：此外，与普通网页恰恰相反的是，社交网络是通过你的名字了解到你，因此能够收集到很大一部分的额外数据。 另外还有一些不太常见的追踪方法，且适用范围有限。例如，Adobe Flash插件部署了能存储可追踪的”局域对象”的系统。一台PC电脑还可通过高速缓存浏览器内容被识别出来。其实这样的方法还有很多。 追踪对于用户而言有何危害性？ 我们对广告商所积累的数据类型和容量几乎一无所知；你永远无法弄清其中的真相，而用户协议的真实法律效力也无从考量。对此你只能大概地去猜测。 在线追踪根本与其表面看似的无关联性可谓大相径庭。尽管在互联网上的一举一动都受到监视，但依然有一个始终缠绕心头的问题摆在我们面前：谁可能想要得到互联网公司苦心收集（无论是出于善意的还是恶意的）的庞大数据量？ 没有任何证据表明这些信息被安全地保存：成千上万用户登陆凭证遭泄的大型隐私外泄事件常常成为各大报刊的头版头条。这也是为什么每一名用户都应该行动起来，抵制互联网公司再如此肆无忌惮地收集您的信息。 保护方法 其实也有一种万无一失的方法：关闭自己的PC电脑并将它锁在一个安全的箱子里。 首先，更改一些浏览器的设置。你可以有效避免被追踪；如此，浏览器将会通知网络资源你不想共享用户数据，并打上一个大大的”标题”：请勿追踪。这一方法的前提是追总代理足够诚实，因此其有效性依然打上了一个问号：许多网站通常都会忽略”请勿追踪”。 此外，用户必须禁用自动扩展安装并启用阻止可疑网站和弹出窗口的功能，并对SSL证书强制检查。 阻止第三方cookies（广告网络cookies，而非你的网站cookies）也同样非常重要。考虑到这一点，你应该能想到广告网络正是凭借几种成熟的追踪技巧转移第一方cookies，因此需要启用一次性验证且保持不变。 如今的浏览器均提供单独窗口的无痕浏览功能：一旦被关闭后，会话上的所有数据均会被清除，因此大大加大了追踪的难度。使用这一模式，你可以轻松浏览所有网站而无需任何验证。 此外，还可通过请求式的插件激活功能摆脱追踪（通过点击启动Adobe Flash等）。当然也不要忘了清除浏览器中的高速缓存内容。 另外，最后请拒绝一切搜索面板、搜索助手和安装浏览器时提供的其它扩展–这些是需要用户同意后才能安装的合法间谍软件。

在我们最近的一篇博文《银行卡欺诈：针对ATM机的犯罪活动》中，我们介绍了”盗读者”们如何通过其独特的犯罪手段轻松窃取我们的卡内资金。这一犯罪活动之所以依然猖獗的主要原因是：银行仍然使用的是上世纪70年代的银行卡安全系统技术。卡内磁条上的数据以’纯文本’的形式编写，而PIN码只是一段很短的安全数字，因此非常容易被盗。而最关键的问题是，这是唯一保护您银行账户的安全措施。 毋庸置疑的是，金融业每天都因各种欺诈活动而遭受巨额的资金损失，因而他们正不遗余力地部署更为先进的交易安全技术。 到目前为止，最成功的技术非启用芯片的银行卡（或被称为EMV卡）技术莫属。随着欧洲和加拿大大范围采用这一技术，这些地区和国家的复制卡犯罪案数量得以大幅下降。使用读卡器的”盗读者”们不得不转战EMV卡还未普及使用的美国和亚洲地区，以寻求作案机会。 然而，先进的EMV系统可能会对银行卡保护起到一定作用，但并非是理想选择也无法保护任何所能想象到的威胁—假设盗读技术依然不断得到发展和进步。在不久的将来，最大的可能性是我们使用不同类型的银行卡。 那未来到底会有哪些类型的银行卡呢？让我们共同一探究竟。 密码和回答 最先想到的解决方案是再加一层安全保护—比如广泛运用于互联网的双重认证方法。 当在线支付时，除了银行卡背面的CVV2安全代码以外，持卡人还需输入随即生成的密码：以短信形式发送到手机的、ATM打印的或由银行授权硬件工具生成的代码。如果涉及金额很大的话，双重认证还可以被用于离线交易。 带集成显示屏的银行卡就部署了类似的认证方法。此类情况下，常规信用卡也可配备内置微型计算机（包括LCD显示屏和数字键盘）。除了生成一次性密码以外，还可显示账户余额和历史交易记录等内容。 尽管首张交互式银行卡早在5年多前就已问世，但仅有欧洲、美国和亚洲发达国家的特定几家银行可向客户提供。 按需”生成”磁条 一家美国公司Dynamics研究出了一项更为奇特的解决方案。就表面意思来说，该卡内的确没有固定的磁条。所谓的”磁条”由该卡内的硬件按需动态生成，而用户首先需要通过卡上集成键盘输入密码。 如果你碰巧忘记了密码，则磁条将无法生成，造成交易也无法进行。此外，该卡也没有通常的16位数卡号：一部分位数并未直接印刻在塑料卡片上，而在输入密码后显示在卡上的微型显示屏上。 指纹确认交易 密码可能是保护自己银行卡的强大武器，但对于健忘且无法保密的人而言几乎毫无用处。我们都听说过这样的故事：”聪明过头”持卡人将PIN码写在卡片上，随后就连卡一起丢失了。 基于生物统计的验证方法可以彻底解决这一问题。一家总部位于挪威的公司Zwipe与万事达卡合作，目前正在试验以确定在信用卡上集成指纹扫描器的可能。一旦成功推广的话，以后确认交易只需将手指按在卡上接触片即可确认交易。 量子技术将大有可为 尽管已研究了数十载，但完全可操作量子计算机仍然遥不可及。但希望依然存在：量子技术的某些功能可用来创建无法伪造的标识符。 来自屯特大学和埃因霍芬理工大学的荷兰研究人员计划将基于量子的安全系统理念运用于信用卡和个人证件上。尽管这项技术依然停留在实验室试验阶段，但基于量子的安全系统的模型目前正在开发之中并有了正式的名字-量子安全认证（QSA）。 一张普通塑料卡片的一小部分涂有一层非常薄的氧化锌（又称”锌白）。随后再小心地对该部分进行激光光子扫射。当射到纳米粒子时，光子会在氧化锌层内部随意反射。这一过程能够改变粒子层的光学性质，进而形成一个独一无二的秘钥。 任何尝试潜入系统的其它探测器将破坏至少一部分光子的量子状态，并导致攻击者的整个入侵过程以失败而告终。 如果有人对此类银行卡发射一系列激光脉冲（例如：’提问’），他们会收到一个确定的反射模式（例如：’回答’）。独一无二的’提问-回答’组合包被保存在银行数据系统内，并被用于验证秘钥。 犯罪分子将无法在交易过程中拦截提问-回答组合包。任何尝试潜入系统的其它探测器将破坏至少一部分光子的量子状态，并导致攻击者的整个入侵过程以失败而告终。 无论采用何种方式入侵该安全系统，伪造的银行卡必须大小完全一样，此外也必须满足位置和纳米粒子其它参数上的一致，如此才能保持和原卡的精确一致。但由于工艺实在过于复杂因此在实际操作中根本不可行。 QSA开发人员表示，尽管这一技术理念看似复杂，但完全可以利用现有的技术和方法，因此要部署这一技术相对简单且价格低廉。 快中有慢 银行立刻部署上述安全系统的可能性很小。金融业通常都相当保守，且真正大规模部署该项新技术需要耗费巨额成本。 考虑到这一点，我们相当确定支付方法创新将首先出现在非银行类的服务中：例如，类似于已为人们熟知的Apple Pay或Google Wallet的新支付系统；或像Coin、Wocket和Plastc这样前途光明的”黑马”（我们将在以后与您分享有关它们的故事）。

私下交易市场往往充斥着各种骗子。许多人会通过类似于易趣的网上拍卖和网购平台购买智能手机和其它手机配件。 每天有数千种手机配件在这样的网站上进行交易，其中就包括了流行的苹果设备。那些想在网上购买/卖出手机的人可能会遭受各式各样的欺诈，因为有些第三方买家/卖家很可能就是网络骗子。本篇博客将为您提供目前最流行的几种欺诈方法。 1.价格过低和预先付款 如果有卖家的货品价格极低且需要预先付款的，这时候你就要留一份心了。这样的卖家通常有理有据（例如：急需用钱和免费赠送两台类似设备等）–一旦付款后，你收到的很可能是一台二手设备（而不是事先说好的新货）、损坏的设备或根本什么都收不到。大多数情况下千万不要在收到货品前预先付款。只有一种情况例外：卖家的信誉度极高—比如有几百个好评的易趣账号。 2.损坏的设备以及塞满蜡烛和废纸的包装盒 甚至一些本地实体店和网上商城都会欺骗你。许多骗子以电池电量过低需要充电才能打开，因此不能立即检查的借口向实体店出售损坏的设备。这些骗子都是老手且巧令辞色。 当受害人满心欢喜地拿着新买的设备回家后，打开包装才发现根本就不能使用，郁闷的心情可想而知。相同的情况也在那些通过Craigslist免费广告购买iPad Mini和iPhone 4S手机的人身上时有发生。骗子卖家一旦收到货款后，即消失得无影无踪，受害人根本无从寻找。受害人打开包装盒，满怀期待的苹果设备不翼而飞，只剩下一块熔化的蜡烛和一本笔记本。 3.使用安卓系统的中国山寨iPhone手机 许多人明知是中国生产的山寨iPhone手机也会去买，只是因为价格便宜。只能说每个人的选择不同。但有时候山寨的却被当成正品来卖。有些山寨手机从外观看上去几乎可以以假乱真。比如，在这段视频中，你们可以看到一款以Goophone品牌出售的山寨iPhone手机。你能分辨出它的真伪吗？ 有一个简单的技巧可以检查是否是山寨机。由于山寨iPhone手机运行的是安卓操作系统，因此你只需开机看看支持哪种应用商店：Google Play（山寨）还是App Store（正品iPhone手机）。 4. 被盗设备 如果你打算买二手iPhone手机，收到被偷手机的机会很大。没有一种可以直接验证的方法；但可以间接调查是否是偷来的。查看卖家资料和其他买家的评论。浏览由该卖家账号发布的其它广告。如果你想亲自检查的话，可以比较包装盒上的代码、序列号和IMEI（移动设备国际身份码）是否与手机设置内所提供信息相符。 5.翻新机 购买原厂翻新iPhone手机可以为你节省部分额外费用，因为原厂会仔细检查机器的内部和外部，并细心修正所有存在的问题。如果是第三方公司翻新的话，机器的维修质量将无法保证。 6.远程锁定和勒索 谨防不法之徒！有时候，当你购买了一台二手手机后发现”发现我的iPhone” 功能（仅iOS 6及以上版本）被锁住了。不久之后，这些不法之徒会恐吓受害人：例如，受害人所购买手机是他们被偷走的手机，并威胁要报警。要想让设备正常工作，可以在购买之前重置为默认设置。 如果你想出售自己用过的手机，确保已清除里面的所有资料。否则的话，那就要做好被勒索或敲诈的准备，尤其是内存卡里还存储了重要信息的手机。如果真的不幸发生的话，应该立即将手机远程锁定。 7. 虚假网店和不正当的买家/卖家 有时候网络黑客会建造一些临时的网站，事实上却是虚假的网上商场，目的旨在收集信用卡信息和其它敏感数据。受害人因在这些网站上出售手机而导致自己的详细银行信息遭泄露，里面的钱也被转走。此外，这些数据还会被用于从你的信用卡内窃取资金。 8.抢劫、假币、欺诈和其它一些老式的行骗方法 如果你从本地卖家手上购买二手iPhone手机的话，为了防止被抢劫，记得在有免费Wi-Fi的公共场所交易，并现场检查设备是否正常运行。 如果是付现金的话，最好支付准确的数目。这不管对卖家还是买家而言都有好处，这样可以防止找钱时收到假币。千万不要向对方换零钱。时刻保持警惕，也不要碍于面子而不多数两遍钱或多检查几次设备是否完好无损。

我们信赖上帝；但上帝以外的我们需要好好再检查一番-在网络安全方面我们都有一套聪明行事方法，这其中当然包括了对流行二维码的使用。很少有人会怀疑张贴在银行、公共交通工具甚至博物馆这样场所内的正式广告上的二维码都会被”掉包”。然而近期发生的众多案件表明一些合法的二维码竟然被不法分子巧妙地调换成恶意代码。 扫描之前检查是否安全！ 有一些方法可以防范和解决针对二维码的网络钓鱼攻击，但这离不开你自身的防范和警惕意识。在你准备扫描任何二维码时，你必须使用抱有怀疑态度–万一这个是替代合法二维码的恶意代码呢？检查即将扫描的二维码链接可能听起来并不好玩，但却有可能避免遭受二维码网络钓鱼攻击。幸运的是，在如今这个数字时代，有一种更简单的方法可以保护你自己，例如：免费的卡巴斯基二维码扫描器应用程序。 其运行方式和普通的二维码扫描器并无二异，但加入了一些必不可少的功能：该应用程序会检查每一个扫描的二维码。卡巴斯基二维码扫描器能让你快速、简单和安全地访问网站、图片和文本，还能为你安全连接Wi-Fi并迅速保存名片内的联系方式而无需手动输入。 该应用程序提供苹果iOS和Google安卓两个版本。(目前在中国地区，只有iOS版本）。其操作界面整洁、简单且使用方便，不存在任何不必要的功能：先扫描和检查，如果安全的话再自动打开。一旦发现危险，即会发出警告。 使用卡巴斯基二维码扫描器可确保移动设备安全，免遭二维码欺诈。确保借助卡巴斯基的安全移动经验来检查其它应用程序，例如：卡巴斯基安全浏览器（iOS版和Windows手机版）、卡巴斯基安全网络安卓版以及卡巴斯基密码管理器（iOS版和安卓版）。

你是否有想过10年后的大部分办公室将变成什么样子？ 我们首先会想到的可能是出现在”科幻小说”中一些虚构的高科技设备：进门处的视网膜扫描器；具有人工智能的机械战警；在一间豪华会议室的老板3D影像等—所有这些科学幻想只是对当今现实生活的复制，并加入了极客对于数字世界的无聊想象。 现实毕竟还是现实，没有还多天马行空的东西，但在某些方面可能更让人感到震撼。接下来我们将为您介绍一些目前尚存争议的办公趋势，但很可能在未来的几年内让我们所熟知的办公室发生天翻地覆的变化。 无论走到哪里都是你甜蜜的家 从铺天盖地的广告和连篇累牍的相关文章来看，似乎在家工作将在不久的将来成为主流。这一观点得到了相关统计数据的支持：此类家庭办公室的数量在不断增加中。 尽管美国固定远程工作的总人数并未超过5%，但临时被雇佣进行远程工作的人数已达到美国总雇员人数的一半左右。 远程家庭办公室的蓬勃兴起可以追溯到10年以前，当时互联网用户数量的增长速度达到了顶峰。但近几年，互联网用户的增长速度某种程度上已经稳定。全美固定远程工作的总人数（包括自由职业者）并未超过群过总雇员人数的5%。 而与此同时，临时的远程工作则成为了一种更普遍的现象。今天，你坐在公司的办公室内工作。第二天，你却在飞机上准备PPT演示文稿。随后，你又坐在另一座城市的咖啡厅内回复邮件。这几乎是一半美国人工作方式的真实写照。 哪里都是你的办公室！ 任何曾经远程工作过的人，都非常享受去公司现场工作的时光，至少第一个小时的确如此。大量研究证明与工作同事的近距离接触（不是你想象的那种！）能大大提高工作效率。据Strategy Plus consultancy统计，在最繁忙时办公室空间的平均利用率仅为42%，灵活并能重新组合的开放式空间为员工提供了更多近距离沟通的机会。 但这并不一定意味着我们必须坐在一起工作。减小个人的工作空间将能有效降低办公空间闲置率，同时还能提升工作效率。这一理念在挪威Telenor电信公司内被证明相当有效，该公司早在2003年就部署了这一系统。 Google和IBM同样是共享工作空间理念的积极倡导者。 在咖啡机旁交流工作 大部分人都认同这样一个事实：公司最重要的决议并非是在会议室讨论出来的，而通常是在咖啡机或饮水机旁。 如今的办公室格局设计师将这一理念奉为金玉良言，并加入了一些科学的思维。在一些”最时髦”办公室，其内部格局设计都有助于来自不同部门的员工在此类”重要决策区域”进行一些’未经计划’的小型会议。 这是如何实现的呢？各个部门的所有咖啡机和饮水机都被装在了一个大型的”聚集区域”，公司的所有员工被迫只能在这个区域和同事进行工作交流– 这些方法已被Google和三星的开发部门所采用。 躺着工作和思考 在不久的将来，传统式的”办公桌+办公椅”工作区域很可能将在一些公司的办公室内消失。这样的做法并非是为了节省办公场地租赁成本，而为了员工的健康考虑。 久坐不动的工作方式被证明对健康有极大的损害。举个例子，据一项研究显示，一名年龄在45岁的员工每天坐在办公室超过11个小时的话，其在未来3年过世的几率将比平均值高出40%。 一家荷兰的艺术建筑公司RAAAF决定通过建造一间带有实验性质的工作室来解决这一问题。该工作室被戏称为’The End of Sitting’（久坐终结者），内部架构与传统的办公空间截然不同，更像是一座现代化的游乐场。在里面你无法像传统办公场所那样正常端坐，因为里面到处堆满了塑料叠层板。但你可以随心所欲地躺着、站着或将自己夹在两块板之间的狭小空间，甚至还可以蜷缩在一个球里面。由于没有特定工作区域可以让你长时间舒适地端坐不动，因此在工作时每个人都被迫需要到处走动。 为了让这个实验尽可能地真实，一群’年轻的专业人士’被安排在这间”办公室”内工作3周时间，并能够顺利地进行工作。实验结果证明，尽管参与者都抱怨双脚走动得有些疲惫，但明显感到比传统办公室更有活力。要显示实验的公正性似乎邀请一些更’年长’的员工参与更有说服力，但不知什么原因这些专家最终还是决定暂时终止实验。 站住！来人是谁？ 男孩子是不是都觉得指纹和视网膜扫描器看起来非常酷且颇具未来主义风格！然而一般来说，办公室目前最可行的门禁控制是基于可编程的电子锁，比方说用智能手机开门。 该解决方案的优势在于价格低—此类电子锁已被用于大众市场的智能家庭配置。每一名员工都会收到一个灵活配置的安全配置文件并使用临时数字证书开门进入。虽然即简单又高效，但没有特定配置智能手机的外人将难以进入。

在本系列的第一部分，我们探讨了银行卡’盗读者’所使用的犯罪技术。今天，我们将为您讲述此类犯罪案件的另一部分内容，即这些犯罪分子是如何实施危险性最高的盗读过程。 外包盗读过程 对于大多数’盗读者’而言，根本无需掌握太多专业的犯罪技术。然而，有些操作–包括硬件安装过程–危险性极高。有时候，这些高危工作就外包给了所谓的’业内专家’。 一名技术娴熟的”专业人员”只需要30秒钟左右的时间就能安装完成一部盗读设备。除此之外，还需要完成多个步骤的前期准备和情报收集工作，包括：现场环境和监视摄像机的分析以及确定人最少的时段—所有这些工作都少不了长期在目标附近蹲点的同谋犯。 熟练安装工所安装的盗读器很难被拆除。头脑冷静、衣着考究的绅士只需声称在ATM机上看到了一些可疑的东西并只是想在报警之前确认一下，就能将自己的罪行洗脱得一干二净。此类犯罪行为难以被证实，尤其是在犯罪分子将黏胶和安装的盗读器清除以后。这也是为什么银行方面建议用户不要去触碰任何可疑的东西，而应直接报警的原因。 除了ATM机以外，”盗读者”感兴趣的目标还有其它接受银行卡的终端类型。这些终端包括：加油站和火车站的自动售货机–以及其它各种类型的自动售货机。相比于ATM机而言，普通人对于此类机器的戒心较少，且安全保护等级也更低。 “收割”犯罪活动 一旦盗读硬件安装完毕，犯罪分子就能实施第二阶段的”欺诈”工作–’收割’。他们利用欺诈行为还未被发现前的这段时间疯狂地复制尽可能多的银行卡：只要银行发现了这一盗读犯罪活动，”被收割”银行卡持卡人阻止他们的几率将更高。为了观察现场状况，”盗读者”的同谋犯必须在目标ATM机对面的车内或咖啡厅内长期蹲点。 如果一直没人发现ATM机有异样，欺诈活动将一直进行下去直到电池耗尽，从而盗取上千个银行卡认证信息。 如果一直没人发现ATM机有异样且银行安保也毫无察觉的话，欺诈活动将一直进行下去直到电池耗尽，从而盗取上千个银行卡认证信息。 最贪心的犯罪分子会去拆除设备以便用于下次犯罪活动，但最聪明的”盗读者”则会直接将设备遗弃，为的是最大降低被捕风险。从被盗卡所赚取的所有利润可能有数千美元之多，这足以弥补任何设备的损失。 从复制的银行卡内取款也是一种独立的高风险犯罪行为–因此这一部分的工作也常常被外包出去。一般来说，”钱骡”被雇佣来完成这一部分的工作。 有时候”钱骡”只是简单地将取出的现金交给专业化的”盗读者”，按之前商定好的比例抽取佣金。但也有一些”钱骡”会主动购买被盗磁条数据，但这是另一回事了。 过于原始的技术 从银行卡内窃取现金之所以如此轻而易举，主要得益于银行卡的安全技术过于原始。基于磁条的银行卡最早出现在几个世纪以前，而在上个世纪中叶，专门窃取和复制银行卡认证信息还闻所未闻。 从银行卡内窃取现金之所以如此轻而易举，主要得益于银行卡的安全技术过于原始。 记录在磁条上的数据缺乏足够的保护措施，只有一条相当短且易受攻击的PIN码用来进行交易验证。在发明磁条技术后还出现了几种加强的保护技术，但却并非是每一张银行卡的标配。 不用说，支付系统和银行已花费了数年的时间来开发一种针对该问题的解决方案。在过去的20年内，欧洲越来越多采用同时配备磁条和集成芯片的EMV银行卡。 两者之间的差别是芯片无法像磁条那样能被复制。在使用EMV银行卡取现时，ATM机会要求卡内芯片创建一个独一无二的一次性密钥，虽然也可能会被盗走，但却无法用于另一笔交易。 尽管安全研究人员已报告了大量存在于EMV银行卡内的漏洞，但在实际操作起来却是另一回事。虽然这一技术进步可能会彻底打垮”盗读者”的犯罪活动，但依然需要一段过程：全部采用EMV银行卡将是一个长期、复杂且代价高昂的过程，并需要相关各方的参与。 所有相关各方都必须参与其中，共同协作：支付系统、银行、购方企业、POS终端生产商以及其他各方。这也是为什么如此多的国家（包括发达市场）依然使用陈旧的非EMV银行卡的原因。 即便如此，基于EMV的银行卡也有可能被盗读。但为了与旧式终端反向兼容和提高适应力，可能必须是基于磁条数据（而非芯片）才能完成交易。 据欧洲ATM机安全团队报告，尽管EMV程序正在全美范围开发，但”盗读者”依然十分猖獗。亚洲的印度尼西亚和泰国，欧洲的保加利亚和罗马尼亚也成为这方面风险最高的国家。 有关如何避免成为#ATM#机盗读者受害人的10条简单的#安全小贴士# 银行可能会赔偿被盗读者所窃取的资金，尤其是当责任被转移到了另一方–可以是支付系统、ATM机所有人或保险公司。但大多数情况下，被盗读卡持有人将不得不自己买单，这方面已有大量的案例佐证。 规避法则 不存在万无一失的方法能100%保证你的银行卡不会被ATM机盗读者所利用，但我们可以为你提供一些简单的安全小贴士以规避此类风险。 1.如果你的银行卡没有集成EMV芯片，则应完全弃用。你可以要求银行为你更换EMV银行卡。即便使用芯片集成的银行卡也无法保证100%的安全，但依然能规避大部分的风险。 2.启用短信通知功能来更好地追踪交易。你越早发现被盗刷的证据，则追回损失资金的可能性越高。 3.如果你不是经常外出旅行或出差，询问银行是否能够限制异地交易（当你需要出国时，可以将交易权限限制在目的地国境内）。这是一种非常有效的方法，在欧洲多国已得到验证。

一种”洋葱”勒索软件的新型变体已然问世，尽管大多数时候被称为”CTB-Locker”或”Citroni“。 无论你称它是什么，CTB-Locker就是一种类似于”加密锁”的恶意软件，通过对用户主机上的所有文件进行加密，然后向用户索要解密这些文件的赎金。 CTB-Locker（即Curve Tor Bitcoin Locker）与其它勒索软件有所不同，它很大程度上依靠的是恶意软件命令和控制服务器，即通过使用Tor项目的匿名网络将自身屏蔽。利用Tor（洋葱路由）也有助于其逃避检测和被阻止。为了保护CTB-Locker背后控制者，赎金支付仅接受分散且大部分匿名的加密货币-比特币。 所有这些特性都使得CTB-Locker成为一种极具危险性的威胁，且所利用了的先进技术在”行业”内可谓数一数二。 “通过在匿名Tor网络隐藏命令和控制服务器很大程度加大了搜索网络犯罪分子的难度，而使用非常规的加密协议使得文件根本无法被解密，就算将在木马和服务器传输过程中的流量拦截也无济于事。”卡巴斯基实验室高级恶意软件分析师Fedor Sinitsyn在去年向《卡巴斯基每日新闻》透露道。”所有这些特性都使得CTB-Locker成为一种极具危险性的威胁，且所利用了的先进技术在’行业’内可谓数一数二。” 据Sinitsyn 称，新版CTB-Locker—卡巴斯基实验室产品检测到的是Trojan-Ransom.Win32.Onion —包含了一些有趣的更新程序。随着受害人数的不断增加，该勒索软件竟然还向受害人提供了类似于”试用版”的程序，可为用户免费解密5个文件。CTB所加入的一些新功能还能躲避被安全公司研究。另外还增加了3种新语言：德语、荷兰语和意大利语。除了直接连接Tor网络外，还可通过6个web-to-Tor服务进行连接。 防范该勒索软件和其它威胁的最佳方式是永远备份你的电脑（每周都备份一次）。此外，你还需要运行一款强大的反病毒软件以确保你的软件、操作系统以及其它应用程序都已打上最新补丁。一旦不幸被感染，根本没有恢复被CTB-locker所加密文件的可能。当然你可以支付赎金，但随着网络犯罪成为一门专业程度越来越高且以客户服务为导向的生意，你根本无法保证在支付赎金后能收到解密文件的密码。 不管你喜欢与否，勒索软件就是门一本万利的生意，随着我们的日常生活和财产越来越多地连接到所谓的”物联网”，伴随而来的问题将越来越严重。 #防范#该#勒索软件#和其它威胁的最佳方式是永远备份你的电脑。 迄今为止，卡巴斯基安全网络已检测出了大约361次尝试感染，大部分发生在俄罗斯和乌克兰。卡巴斯基实验室产品用户完全可以防范该勒索软件和其它加密恶意软件的感染，除非”系统监控”功能遭禁用。一旦有可疑程序访问用户文件，”系统监视“将立即备份这些文件并进行本地保护。请确保这一组件正常运行。 新闻缩写：卡巴斯基用户只需打开”系统监控”即可受到保护。如果你的电脑不幸被感染，恢复文件的唯一方式是支付赎金，但就算支付了也未必能恢复。现实就是那么残酷。

每年都有数百万人的数据惨遭外泄。其中大多数受害人经历了悲惨的遭遇：网络黑客将用户银行信息在地下网站出售导致公司不得不向其受影响客户支付巨额补偿金，而消费者同样遭受了资金损失。 在世界数据隐私日这天，我们将为你介绍几起2014年影响力最大的数据外泄事件。此外，我们加入了这些事件背后有关数据遭窃成本和企业声誉影响的有趣事实。 处于危险之中的零售商 整个2014年，大型零售网络始终忙于应付网络黑客，而这些黑客手中握有数百万客户的个人数据档案。 据有关方面称，有一个黑客小组在2014年总共入侵了三家大型零售网络：零售业巨头Target（700万用户档案遭窃，内容包括：银行信息、电话号码、邮箱地址以及其它数据）；大型化妆品供应商Sally Beauty（25,000份客户档案被窃）；大型家居装饰零售商Home Depot（包括5600万张银行卡和5300万封电邮在内的银行数据被盗）。 Sally Beauty数据外泄事件最终演变为了一场闹剧：黑客们自己也被其他狠狠地黑了一把。起先，这些被盗的数据在多个地下网站上被出售。但不久不知道是哪里冒出来的另一名黑客竟然将其中的一个地下网站给黑掉了，并在网站的主页上留下了几句话和一段《黑衣人》电影中的视频： 此外在2014年，人们讨论较多的还有另一起发生在零售行业内的私人数据外泄事件：易趣网的海量用户名和密码数据遭到泄露，影响了多达1.45亿名客户。最终，该事件中的受影响客户集体将易趣网告上法庭。据PC World报道，原告代表提出500万美元的索赔，还不包括利息和成本。 无一幸免 银行、网站、设备制造商、电信公司和政府机构—无一幸免。你肯定听说过Sony Pictures数据泄露事件以及2014年最轰动的好莱坞女星艳照门事件。在这里，我想要为你们介绍几起有代表性的事件。 网络黑客在全球范围入侵银行系统。在2014年1月，韩国信用评价公司（Korea Credit Bureau）的一名内部员工非法窃取2000万份客户银行数据，并将这些数据全部外泄。 银行、网站、设备制造商、电信公司和政府机构—无一幸免。 2月份，英国银行巴克莱不幸惨遭攻击：27,000份客户档案遭窃并在rogue City traders网站上出售。巴克莱银行的信誉因此而遭受巨大打击，不得不向数千名个人数据在黑市上被出售的客户支付补偿金。 6月份，摩根大通美国分行的8000万份客户私人数据也惨遭外泄。在长达数月的时间里，银行方面对此事始终三缄其口，直到2014年10月才被报道出来。 由于遭受了黑客重创导致2700万客户（占韩国总人口的80%）的数据遭泄露，韩国信用评价公司正在评估是否可以全部推翻并重新设计国家身份证号码计算机系统。 众多电信公司在2014年也同样举步维艰。French telecom group Orange在2014年1-3月两次遭到黑客入侵，导致130万用户数据被盗。更糟糕的是，这群黑客们还用病毒感染了公司的软件平台，该平台用于向同意接收的客户发送促销电邮和短信。这一系列事件使得许多人在与该公司签约前不得不反复考虑再三。 10月份，AT&T将一名有嫌疑的员工辞退。该名员工非法窃取了1600名客户的账号信息，并可能已经复制了这些客户的社保号和驾照号。 10月份，厄运降临到了文件托管服务Dropbox头上。700万用户的资料档案被泄露到互联网上。但公司宣称登录凭证是从第三方网站或应用程序那儿泄露出来。无论公司如何努力保护其服务的安全，但在用户的懈怠和无知面前依然素手无策。如果’123456’密码依然是大部分用户首选的话，在未来还将发生更多的数据外泄事件。 被盗数据的市场价格

一名研究人员在上周发现可以利用Progressive的Snapshot驾车者跟踪工具黑客入侵某些车的车载网络。Snapshot作为一款可以插入OBD-II端口的工具，由Progressive汽车保险公司生产。其目的旨在通过监视驾车行为从而为更安全驾车者提供更低的保险费率。 首先为大家科普一下：OBD-II是下面的一个输入端口，一般位于方向盘的左侧。该端口可通过插入排放检测器来检查汽车计算机系统的所有代码，从而确保该车没有在排放有害污染物。此外，你还可以将诊断扫描装置插入该端口，检查发动机灯是否开启。 简单地说：你爱车的计算机网络由传感器、电子控制单元以及控制器局域网（CAN）总线组成。一辆车内ECU（电控单元）可以有许多，但应用目的各不相同，大多数用于处理来自于传感器的信号，同时监视发动机控制系统、安全气囊以及大多数从未听到过的汽车部件。ECU全都联网并通过CAN总线进行通讯。例如：一旦发生撞车，传感器会迅速将撞车情况告知ECU，ECU随即通过CAN总线将这一消息传至执行安全气囊部署的ECU。 @ Progressive #Snapshot# 驾车者监视工具并不安全，且将驾车者暴露在黑客入侵危险之下 OBD-II端口过去曾是汽车上的唯一接口，主要与CAN总线和ECU进行通讯。最新的研究显示还可以通过无线网络实现。 Digital Bond Labs安全研究人员Cory Thuen找到了一个Snapshot装置，该装置广泛运用于近200万辆汽车。他通过对该装置进行逆向工程，研究出了它的工作原理，并插入到自己一辆丰田Tundra车的OBD-II端口上。通过一番观察和使用后，Cory Thuen发现该装置无法证明是否对流量数据进行加密，也缺少存在数字验证签名和安全启动功能方面的证据。 需要明确的是，Snapshot装置是通过蜂窝网络以纯文本的形式与Progressive进行通讯。这意味着网络攻击者可以非常容易地建立一个伪造的蜂窝发射塔，进而执行中间人攻击。 远程黑客完全可以通过Snapshot软件狗将代码植入控制汽车安全气囊和紧急刹车的专用网络。 除了这些严重的安全隐患，该装置的确可以与CAN总线进行通讯。因此，远程黑客完全可以通过Snapshot软件狗将代码植入控制汽车安全气囊和紧急刹车的专用网络。Thuen的研究工作就差向自己的汽车网络植入代码了。他表示他唯一感兴趣的地方，就是找出是否存在任何的安全保护措施能够阻止他植入代码。 你们先不要惊慌，就在去年的时候，我就这一问题（将恶意代码植入到CAN总线）专门拜访了IOActive汽车安全研究主管同时也是著名的汽车黑客Chris Valasek，他对此的看法是：实际操作起来非常复杂。 当然从理论上说，当你的车在高速公路上减速行驶时，通过植入代码来操控汽车启动自动平行停车辅助程序的确可能实现。但问题是，当你的车在行驶过程中， ECU在任何一个时间点还在同时处理数千个其它信号。那么，要想启动自动平行停车辅助程序（或其它任何功能），网络攻击者都必须发送足够多的信号来占满整个CAN总线，从而取代汽车传感器输出的所有合法信息。 Valasek和他的研究伙伴Charlie Miller早在几年前即掌握了如何通过伪造的传感器信号将车载网络填满的方法，从而达到操控安全带锁扣、刹车和方向盘的目的。然而，这一过程过于耗费人力，而Miller和Valasek作为安全业界的翘楚，他们的研究显然得到了美国国防部高级研究计划局（DARPA）的批准。 好消息是目前并没有很多人在做有关CAN总线的研究。另一方面，却有很多人在研究浏览器安全。由于汽车制造商开始更多地将浏览器和其它联网软件集成入到他们所制造和销售的汽车内，未来有关汽车黑客入侵事件的数量将呈显著上升趋势。

以前还是学生的时候，在闲暇之余我还有一份兼职工作-为SMB客户维护和管理计算机。那么多年过去了，我偶尔也会回想起过去那段美好的时光—就在最近，我去了几个亲戚那儿帮他们维护日常使用的PC电脑，但对于有些问题我竟然束手无策。 就在两周前，有个亲戚要我去帮他维护一下电脑：是一台功能强大且配置还算主流的笔记本电脑，但运行速度却有些缓慢。在仔细检查后，我发现3/4的计算资源被5个不同的”主页助手”和”搜索面板”所占用。 这些”主页助手”和”搜索面板”还附有恶意广告软件，每次只要打开网页时就会跳出烦人的大尺寸横幅广告。最终我花了整整两个小时将这些”垃圾”全部清除，除了我的方法正确以外–当然，还因为安装卡巴斯基安全软件。 全部来自于广告！ 我之所以认定这些广告软件是恶意的，原因有二：第一，它过度消耗PC资源。第二也是更重要的，它会跳出各种广告。如果每次你打开网页时横幅广告就会跳出，同时模仿所打开网页的原始内容和特点，那就可以认定该广告软件是恶意软件的一种。 在访问了那些我经常使用的网站后，我才明白广告软件的危害程度之巨大。每个网页的最下面或正文旁边都至少被植入了5、6个页边广告。这让用户局的网站所有人贪得无厌，用尽页面的每一寸空间来发布广告。 该’超级助手’功能需要占用每个浏览器多达300 MB的内存，且CPU占用率高达2/3。还需要注意的是：没有一个万能的方法可以清除这些”垃圾”。 自愿被卸载 一开始，我通过计算机自带的任务管理器成功将耗费资源的广告软件关闭…但仅仅过了10秒钟大多又重新恢复，继续吞食PC的处理能力。进入控制面板卸载这些软件的作用同样有限。只有像Yandex 和雅虎搜索栏这样的’合法’的程序会”光明正大”地出现在控制面板的程序列表内。 事实上，有两个程序似乎只占用系统的很小一部分资源。《免责声明》：每一个程序并没有过多占用CPU的处理能力，但5个程序一起运行的话就另当别论了。5个程序会同时执行相同的任务，互相争斗只为了争夺浏览器主页。 然而无名’搜索助手’是具有真正潜在危险的顽固软件：这些软件不仅不会出现在已安装程序列表中，也无法删除，且每当我试图按下删除键时总会出现错误信息。 强制清除顽固程序 精通电脑的用户可以飞快地完成’指尖舞蹈’（the finger dance，电脑天才们，我不是指这个），只要停止PC电脑内存中的任务，他们就可以在三秒钟内手动删除所有应用程序的文件。使用KVRT或卡巴斯基病毒清除工具则是另一种更为有效的方法。虽然是一款免费的反病毒软件，却拥有基本的功能，可通过扫描受感染计算机将将顽固恶意软件彻底清除。 使用KVRT或卡巴斯基病毒清除工具可以有效删除这些恶意软件。这是一款附带基本功能的免费反病毒软件。 最终，KVRT成功删除了两个受感染的广告软件组件，在重启后这台PC电脑得以恢复到正常的运行速度。幸运的是，另外两个工具条和助手程序含有卸载选项，因此无需像恶意软件那样被强制删除。 再重启一次后，这台PC电脑的系统终于干净了。一旦系统干净了，你只需再做一些简单的维护操作，比如：从临时文件夹删除文件和对硬盘进行磁盘碎片整理。 这一切的根源 所有这些无法删除的恶意横幅广告都来自哪里？我只用了几秒钟就想到了：你只需要快速浏览一下桌面就能找到答案。桌面上的这些游戏，大部分都是由开发者免费提供下载。 Gamedev社区论坛并非是无私的公益网站。它所开发的每一款现代游戏，甚至是最简单的一款都需要付出成本，因此他们需要以某种方式筹集资金。如果他们不是向用户直接收费的话，那就需要从其它地方赚取利润。比如，他们可以和广告网络和搜索引擎进行合作。 基本上来说，这就是各种’搜索助手’和’主页保护’进入你计算机的渠道：通过游戏和免费软件。这样的商业模式基本还是可接受的，但正如我们所看到的，其实运作的并不太理想。 通常来说，PC用户不太会关心电脑里是否安装了5个不同的工具条，因此无害的竞争就此展开：如果想将一个工具条加入到PC电脑的浏览器上，在安装过程中安装向导可能会告知用户即将加入工具条。 这与反病毒软件的运行方式颇为相似：通常，一旦同一台电脑上安装了两款反病毒软件，那它们将永远无法和平相处。除非广告工具条开放者部署了相同的方法，类似于常规”广告清理”的”反病毒软件清理”程序，这一定会大受欢迎。 如何避免安装广告软件附件？ 相对于将广告软件从电脑中删除，防止广告软件”溜进”系统相对要容易一些。以下3条小贴士可能会对你有所帮助： 1.只从开发者的官方网页下载应用程序，而非软件集中下载网站。 2.在安装软件时，注意每一个安装向导窗口，并对建议安装的其他程序取消勾选。

Gizmodo于近期发布了一份2014年最差密码排行榜，并自鸣得意地对那些采用简单结构登录凭证的”傻瓜们”大肆嘲弄了一番。有些讽刺的是，这似乎在提醒人们作为Gizmodo母公司的Gawker Media曾经是薄弱密码管理方面的”典范”。在2010年，网络攻击者通过病毒感染Gawker网络，致使其20万个薄弱密码遭到解密。将Gizmodo嘲讽的对象与其母公司在2010年所遭受的读者密码泄露事件进行一番对比难道还不够有趣吗？ 有趣的是，在今年的最差密码排行榜中，排名前25位的密码中有16个密码也同样是2010年Gawker数据外泄事件中最常用的密码。如果我们再统计一下Gawker外泄事件中最常用的50个密码，其中仅有4个新密码未同时包含在两份榜单中。如果设置的密码是”access”、”mustang”或纯数字”696969″，那么恭喜你，此类密码的安全强度要高于大多数密码。 从2010年的@ Gawker #密码外泄#事件到今年发布的最差#密码#排行榜之间并无太大改变 该榜单集合了包含今年数据外泄的所有登录凭证，由安全公司SplashData负责收集和整理。如下所示，SplashData每年都会发布这样的一些榜单，并注明每个的密码排名位置和去年相比是否发生改变，是上升、下降还是保持不变。对于那些同样在Gawker密码外泄事件中排名前50位的密码，我用星号进行标标注。 1. 123456（排名未变）* 2. password（排名未变）* 3. 12345（上升17位）* 4. 12345678（下降1位）* 5. qwerty（下降1位）* 6. 123456789（排名未变） 7. 1234（上升9位）* 8. baseball（新晋上榜）* 9. dragon（新晋上榜）* 10. football（新晋上榜）* 11. 1234567（下降4位）* 12.

我们都知道需要小心提防扒手。尽管早期儿童教育并没有教给孩子如何在外面时盯紧自己口袋，但生活的经历教会了他们这些简单的道理。同样的道理也适用于网络黑客。如今，互联网上铺天盖地有关网络黑客活动的报道，即使是儿童也略知一二。 但有关”盗读者”的新闻却鲜有报道，因此很容易让你不知不觉地落入此类网络犯罪活动的圈套。这些盗读者借助安装在ATM机上的微型隐秘硬件，专门从事盗取银行卡认证信息的犯罪活动。尽管警察、银行和支付系统都付出了巨大努力，但银行卡账户的盗窃金额依然呈上升趋势。 盗读者有点像扒手（都使用类似的手上技巧），在某种程度上也有点像网络黑客–他们所从事的犯罪活动完全依赖于一些高科技和PC电脑技术。 只要你使用ATM机提款就有可能成为他们的攻击目标。一旦你的银行卡内没有内置芯片，你的处境将十分危险：无芯片银行卡被盗读的风险要高得多。如果你没有订阅银行短信通知、将自己的银行卡随意插入街上看的任何ATM机以及将取现PIN码到处公开的话，这些都会让你成为盗读犯罪受害人的可能性更高。而你的这些愚蠢行为将让盗读者们暗自窃喜。 事实是，近些年来此类违法活动案件与日俱增，且所用技术不断进步。但犯罪原理仍然缺乏新意：使用隐秘技术读取银行卡磁条内数据，偷偷记录PIN码，将卡复制后清空该银行卡账户内的所有资金。然而，数据盗窃的技术却已突飞猛进。 完全商业化 以前，有一些盗读者还会将自制的银行卡读卡器和粗制滥造的硬件用在ATM机加钞盒上，冒着当场被抓的风险手动提取数据。但这样的时代早已过去了。随着这个”行业”的不断发展，动手自制工具的盗读者也已不复存在。如今，银行卡盗读变成了一项组织精良且高度自动化的犯罪活动。 这一犯罪链的第一环是现成硬件解决方案（由大量可用部件制作而成）的制造者和销售者。所有交易均在网上进行，并通过快递送到买家手中–对于犯罪分子而言这是最安全的方法。 想要验证盗读硬件是否真如想象得那般流行，只需在任何一个搜索引擎中输入一个简单的求购信息。这一套工具包括：可从一张塑料卡片内提取数据的隐秘读卡器、一块能够获取PIN码的伪造面板以及附带相应功能的复制卡设备，所有这一套售价通常在1500-2000美元之间。而信息科学专家Brian Krebbs估计这样一套工具在几年前的售价高达1万美元。 盗读工具的买家并不需要是精通技术的专业黑客：这些工具通常都会附带详细的操作手册，有些手册甚至还写有’最优方法’的内容。有些内容甚至详尽到列明了推荐使用的一次性电池型号，以确保读卡器能够电力充足，持续工作。 科技突飞猛进 技术进步加上巨大的需求，推动了用于违法活动的电子部件技术的飞速发展。一旦安全专家推荐采用何种特殊方法检查ATM机，那这种推荐的方法很快就会失效。 首先，经验丰富的犯罪提供商所出售的硬件几乎很难与ATM机原始部件区分。即使是再仔细的用户都无法分辨两者的区别：伪造的加钞盒无论是所用塑料的材质类型还是颜色都与合法的加钞盒一模一样。只是在形状上稍有不同。 之所以能如此逼真，是因为制造商精心仿制了大量广泛使用加钞盒模型（拥有众多客户的大型银行都使用这一模型）的ATM机元素。当然，银行本身也采用了反盗读技术作为应对方法。 其次，还有盗读者将读卡器手动放入加钞盒随后进入ATM机内部。这一新奇的小玩意引述自欧洲ATM安全团队（非营利性组织）近期所发表的报告中。更可怕的是，此类设备根本无需读取银行卡磁条—他们使用ATM机内的资源来读取。 手动提取数据也早已过时了。新型读卡器配备有通过普通蜂窝网络发送加密（你听的没错，盗读者也用这玩意！）磁条数据的GSM模块。 看好你的PIN码 一切准备就绪后，获取PIN码变成了最简单的一环。为了偷偷记录PIN码，犯罪分子只需使用微型隐秘摄像机甚至类似于iPod Touch（以细长Z高度和强劲电力而著称）这样的普通移动设备就能办到。 微型摄像机可以安装在ATM机按键上方或房间的其他位置。盗读者尤其钟情于银行用来摆放宣传资料的架子。作为银行的内部装饰，这些通常都被视为安全的。 然而，如果有取款人不小心用手挡住了镜头，则偷偷安装的微型摄像机将无法起到任何作用。此外所拍摄视频也无法很方便地发送和处理，并需要一些手动工作。 针对ATM机小键盘的细长伪造面板的价格正在变得越来越便宜，现在黑市的售价普遍低于1000欧元，这也造成此类犯罪案件数量的持续攀升。如此就算镜头被遮住–伪造面板也能检测你的PIN码。将4位PIN码通过短信发送至盗读者数据库相比处理一长段视频要容易许多，且整个过程几乎都是自动进行的。 当然，尽管盖在原始小键盘上的虚拟面板明显有凸起感，但几乎没有一个取款人会近距离检查键盘并仔细查看之间的缝隙。从上面看，整个结构看不出什么异常–伪造面板采用与原始ATM机键盘相同的钢材和优质涂漆。 此外盗读者还使用另一项技术，用来保护解码和复制的信息。这也是盗读者用防范其他竞争同行和执法人员的方法。 一旦密码错误，盗读软件将无法提醒用户输入PIN码错误–只是简单地关机了事。一旦这些错误密码交给警察，盗读者完全可以辩解说这个程序是一种无害的小软件。这样的手段真是”高明”… 而想要证明这是这是用于犯罪活动，执法人员必须聘请有资质的专家来分析这些代码，而这将使一个艰苦且旷日持久的过程。 依照上述所说的，科技只是犯罪案件的一部分。许多盗读操作依然采用的是手动方法，且风险极高。在接下来的博客中，我们将详细论此类案件中这一部分内容，同时还将为您提供一些安全小贴士以保护银行账户避免落入犯罪分子之手。

你在晚上是否得到了充足的睡眠？平心而论，我自己的睡眠并不太好。只要考虑到我们平时忙乱的生活，没有时间在晚上获得良好的睡眠也不足为奇了。 但如果即便你提早上床也无法得到充足休息的话，那问题到底出在哪里？ 来自德国和美国的研究人员建议在上床前限制使用一切电子设备—例如，不使用平板电脑来阅读—引用自他们近期发表在《美国国家科学院院刊》（一本卓越的科学杂志）上的一篇研究报告。 该研究报告完全基于一项试验：十几个年龄在25岁左右的健康志愿者在一家医疗中心呆了两周的时间接受试验。所有志愿者都被要求在光线昏暗的房间进行阅读，每天4小时，10点准时上床。在第一周，一半的人使用苹果iPad阅读，另一半人则阅读纸质书本。第二周，两组人相互调换。 这个试验结果显示出一个十分明显的趋势。平板电脑用户的入睡所需时间比阅读纸质书本的人平均长了10分钟，而在不同步睡眠阶段的时间则少了10%（这是我们做梦时的睡眠阶段）。同样平板电脑用户血液内的褪黑激素水平比纸质书本阅读者低了55%—褪黑激素被认为是’睡眠荷尔蒙’并被用于治疗失眠。 在研究期间，使用iPad阅读的人普遍感到晚上睡意较少，且无法得到充足的睡眠。但他们在早上通常需要更多的时间完全清醒。 这些数字倒是其次。主要的发现是参与试验志愿者的主观认为与他们的真实感觉有所差异。据报告称，使用iPad阅读的人普遍感到晚上睡意较少，且无法得到充足的睡眠。他们通常需要更多的时间在第二天早上完全”清醒”。 事实上，亮度级别和褪黑激素水平之间的关联性（以及所导致的睡眠质量不同）此前早已公开阐述，那还有什么大惊小怪的呢？据研究人员发现，平板电脑显示屏无法发出足够的亮光，因而无法对最终的试验结果产生决定性影响。 报告背后的科学家表示，其实根本与光量无关，但与光的质量有关。iPad所集中发出的光谱短波—对于对光学知识一无所知的阅读者而言，就好比蓝绿色和彩虹蓝之间的差别难以辨别（450 nm波长）。此类亮度与常见环境光线有所不同，出于多方面原因，会对褪黑激素通路产生影响。 一些对此抱怀疑态度的人指出，实验室试验和真实生活肯定有些不同。我不相信所有人都会在每个晚上用iPad阅读4个小时，正好不多不少，然后在精确的固定时间上床睡觉。 你应该清楚的是，无论是iPad、现代电视机、智能手机和PC电脑使用的都是相类似的显示屏。当然对角线尺寸会有所不同，但光谱波长非常相似。所有此类显示屏的波长高峰都在450 nm，包括LCD显示屏和OLED显示器。 如果将一个普通人看电视、用笔记本电脑工作或日常使用移动设备的时间全部相加的话，这一数字可能让人大吃一惊–我们甚至还未将那些沉迷于电脑（电子）游戏的年轻一代加入统计。 没有人会因缺少睡眠而死亡，你说呢？事实上这一观点存在争议：仅在美国，每年就有因司机在驾车时睡觉而导致了25万起交通事故。 你会说，没有人会因为缺少睡眠而死亡，除了实验室小白鼠？但这一观点是存在争议的。 据美国睡眠医学会报告，仅在美国，每年就有因司机在驾车时睡觉而导致了25万起交通事故。《美国国家科学院院刊》（PNAS）的一名作者写道，那些经常上夜班的人，由于褪黑激素受到抑制，因此可能会提高患肿瘤的风险。 现在你清楚了这方面的相关数字，那到底如何才能获得更多睡眠呢？ 1.现在你清楚了这方面的相关数字，那到底如何才能获得更多睡眠呢？ 2.将背光亮度和色温调低（例如：将图片设为’暖色’）。如果对这些参数进行微调的话，可将蓝光强度降低6倍。同样还要确保对对比度也进行了微调以避免眼睛疲劳。 3.对于喜欢阅读电子书的人来说，试着读一些纸质书或采用被动屏幕的电子阅读器，此类电子阅读器通常反射光线而不是发出光线—例如，现在电子墨水阅读器的价格有所下降。 4.想一想自己家中所用的电灯泡。那些发出最自然且统一亮度光谱的灯泡一定是那种老式白炽灯。而节能的荧光灯和冷光LED灯可能发出不同的亮度，包括刺眼的光谱短波部分的高峰亮度。你可能会考虑使用LED背光红灯，里面不存在光谱的蓝光部分。 5.此外还有一种立竿见影的方法可缓解严重的失眠问题，那就是戴上特殊的橙色镜片眼镜，能够将光谱的蓝光部分彻底去掉。这一方法的实效性已得多大量科学研究的临床验证，比如，此类眼镜可以推荐给那些在计算机前熬夜工作的人使用。 如果戴上这样的眼镜让你眉毛上挑的话，只需加个箔盖即可。每次你需要被迫回答一个尴尬的问题时，就戴上它好了。