网络钓鱼

50 文章

炎热夏日小贴士:如何让孩子在今夏安全上网

每年的暑假意味着孩子们的大部分时间都在家里,有些家长不得不稍加注意下他们的孩子在家里的时候到底在干些什么。无论是在外游逛玩耍,还是在家打电动、玩电脑或是看电视,一定程度的成人(或哥哥姐姐)监督必不可缺。我们无法阻止你的孩子去邻居家后院”大肆破坏”,但当他们上网或以某种方式与互联网交互时我们可能帮得上忙。 我们绝对不只是想简单地敷衍了事,比如只是建议给孩子一台iPad,让他/她坐在那儿一整天上网。然而,如果安装了适当的工具,你完全可以让电子技术担负你的一部分监督工作,甚至每次孩子上网的时候,都是你一天中最轻松的时刻。 网上和现实生活中的欺凌 –众所周知所造成的心理影响甚至还会延续至孩子成年以后 –是一个相当严重的问题,同时你还需要担心一下孩子所用设备的安全性 限制孩子的上网时间 全新2015版卡巴斯基安全软件拥有最新且更为直观的家长控制功能,能够让你完全掌控孩子的互联网使用情况,同时有效限制孩子的上网时间。卡巴斯基安全软件内置的上网限时功能是让孩子离开网络去户外活动的有效方法之一(或至少让孩子不再一整天地盯着电脑屏幕)。 控制上网内容 卡巴斯基安全软件可使家长能够限制孩子访问不适当的网站或玩一些与其年龄不符的游戏外,还能有效防止孩子将个人数据与第三方共享。根据不同内容和每个孩子的年龄,将各个网站和游戏进行分门归类。家长能够轻易地查看有关孩子网上活动的详细报告。这一监控功能即使在孩子访问加密(HTTPS)网站时也同样有效,尤其重要的是像Facebook、Google这样的大型网站,这些网站正越来越多地对与用户通信的每一个字节加密。 此外,上网限时、行为报告以及内容阻止对于防止孩子受到或参与网上欺凌有着巨大的帮助。 保护你的计算机 – 来自于孩子和网络的威胁 尽管网上和现实生活中的欺凌 –众所周知所导致的心理影响甚至还会延续至孩子成年以后 –是一个相当严重的问题,但你依然还是需要担心一下孩子所使用设备的安全性。孩子通常缺乏判断力,当然也不是《Kaspersky Daily》的忠实读者。卡巴斯基安全软件拥有防范核心恶意软件、加密恶意软件以及漏洞利用的保护功能,可完全抵御各种在线威胁(包括:偷偷打开网络摄像机的威胁)。 更确切地说,孩子相比于成年人更易于受到网络欺诈和钓鱼攻击。网络钓鱼不仅限于网站和电子邮件;网络骗子也已调整了他们的网络钓鱼计划,将目标锁定在网络游戏、社交网络以及聊天服务的用户。卡巴斯基实验室反钓鱼保护功能对遇到的每一个URL进行分析,以确定其是否是旨在窃取用户凭证和其他信息的虚假网站。首先,采用反钓鱼数据库对URL进行检测,然后再是卡巴斯基安全网络,最后再使用超过200度量的启发式分析器进行最后的检测。如果该网页被识别为是钓鱼网站,则反钓鱼组件可迅速阻止访问。 保护手机、平板电脑和其他移动设备 当然了,有些孩子时常还会使用智能手机和其他移动设备来连接互联网。这些”小电脑”通常可随身携带,且相比传统电脑含有更多敏感信息,因此将面临几乎一样多的威胁。除此之外,丢失移动设备的风险也远高于笔记本电脑或传统电脑。幸运的是,卡巴斯基在台式机上所拥有的众多保护功能在移动产品中也丝毫不少,对于使用卡巴斯基安全软件安卓版的用户而言更是如此。 苹果iOS版卡巴斯基免费安全浏览器以及微软的Windows手机操作系统都能有效阻止钓鱼网站链接和其他可能威胁用户的基于网络的资源。该应用还可根据用户选择的标准(基于17个预定义的内容过滤类别)对访问内容进行过滤。因此,用户能够自动阻止访问不适当的网站、含有暴力或脏话的材料、赌博网站、社交网站、聊天室以及论坛等,从而使家长对于孩子的网上活动拥有更强的控制能力。 夏日小贴士:如何让孩子在今夏安全上网

十大安全新技巧,全年安全无忧

年复一年,网络犯罪分子为了窃取资金、数据和劫持设备,可谓花样百出。自然,如何保护计算机或移动设备,抵御网络威胁也变得越来越复杂。下面列出了一些新的防御技术,用于应对2014年新出现的黑客骗术(有些确实很可怕)。2015新版卡巴斯基安全软件多设备版中将实施全部这些防御技术。 1. 撤销CRYPTOLOCKER文件加密 您对Cryptolocker可能有所了解,此勒索软件去年至少登上过两次头条。这种臭名昭著的恶意软件通过唯一密钥加密用户文件,并以此要求用户支付赎金(通常需支付大约300美元)才能解密文件。即便删除该恶意软件也无法恢复被加密的文件。 #卡巴斯基防御#cryptolocker - 备份被可疑应用更改的文件并撤销加密 往往没有密钥就无法恢复文件,而密钥只有Cryptolocker背后的黑客才有。如果近期备份过所有数据,那么解决方法很简单,只要恢复一下就行,但问题是很多人并没有做过备份。现在我们推出了一种新的解决方案 - 卡巴斯基System Watcher,进过改进后只要有任何可疑应用尝试访问用户设备,就会自动备份用户文件。如果稍后发现,该应用是类似于Cryptolocker这样的恶意软件,那么可以撤销对文件进行的所有更改(包括读取加密)。 2. 远离网银木马 没错,网络犯罪分子能够利用银行木马直接从用户帐户窃取资金。银行木马效率极高(最近一个犯罪团伙一周时间就窃取了50多万欧元),有时候甚至能绕过双重认证和其他银行保护措施。银行木马会监视用户输入的密码,从用户数据保险库中复制并粘贴信用卡卡号,甚至还能在用户进行网上银行交易时进行截屏。 Safe Money能阻止键盘监视、剪贴板监视和网银交易时截屏。 为了保护用户安全,用户安装的安全解决方案必须能确保计算机访问的是正确的网站,实施了严格的加密技术,并且计算机中没有任何入侵程序。卡巴斯基安全软件多设备版运用了一项特殊技术 - Safe Money。这种技术整合了上述所有措施,能够阻止木马监视键盘输入,使木马无法插入网络浏览器等。新的防御措施包括阻止截屏(木马可能会利用此功能来监视屏幕上的虚拟键盘)和保护剪贴板。 3. 使用不安全WI-FI时发出警告 使用开放式Wi-Fi网络时,用户的所有数字操作是完全公开的,在公共场所尤其如此。监视这类连接简直不费吹灰之力,所以用户最好还是避免使用开放式Wi-Fi。当然,可能出现的网络安全问题绝不仅限于无密码的Wi-Fi。所以应该安装智能防御软件来检测可能的安全漏洞并向用户发出警告。卡巴斯基在这方面遥遥领先 - 不仅能通过相关设置来通知用户使用的是开放式Wi-Fi,而且还会阻止密码在未加密的情况下被传输。 此外,我们还会就如何正确设置家庭网络给出相关建议,并建议避免使用已知的危险公共网络。 #卡巴斯基帮助用户避免使用危险的#Wi-Fi热点。 4. 阻止摄像头监视 这听上去像是好莱坞烂片里的情节,但在真实世界中确实存在。黑客能利用计算机的网络摄像头来监视用户。通常这是用于网络间谍活动,但有时候,一些居心不良的家伙仅仅是出于恶作剧心理,会以此向用户(尤其是长得漂亮的姑娘)勒索钱财。

孩子与计算机-需要哪些保护?

你可能会认为你的计算机和内部存储的数据没什么价值,只需基本的保护即可,例如:OS系统内置的安全功能。但一旦计算机成为孩子的工具和玩具,情况则完全不同。从现在起,家长除了保护计算机以外,还应保护孩子免遭各种网络威胁。这似乎有些相互矛盾-因为孩子通常比家长更精通于电脑,因此赋予孩子充分的信任,让他们自行挑选合适的保护措施似乎合情合理。然而,孩子通常倾向于选择基本的保护甚至无任何安全保护,因为他们认为免费的恶意软件保护程序就完全足够了。这是一个常犯的错误,因为恶意软件只是现有网络威胁中的一种,而其危害程度则远远小于其它威胁。 除了恶意软件,还存在更大的威胁 网络安全类产品可能会提供更佳的恶意软件保护功能,但更关键的是如何保护孩子免受其他在线威胁的危害。我们暂且先将恶意软件的话题放在一边,思考下孩子在上网冲浪时可能遇到的各种麻烦: 宣称可以赚钱和免费获取物品的欺诈性服务; 骗子试图赢得孩子的信任,随后安排在现实中见面; 虚假(钓鱼)的邮件试图骗取孩子的个人资料,甚至家长的财务数据; 含有各种不适当内容的网站,从千奇百怪的色情内容到仇恨言论; 最后但并不是最重要的-坏同学试图通过网络寻找欺凌目标,甚至找个家伙帮他买毒品 网络安全类型的保护软件在孩子独立上网时起了至关重要的作用。 仅仅使用反病毒软件或防火墙根本无法避免所有的威胁。但对于含有家长控制工具的网络安全产品,只需花一点时间创建,即可防止此类威胁的发生。钓鱼和色情网站将能有效阻止,一旦发生危险的在线交流,关键字控制功能将对家长发出警告,从而防止网上欺凌和骗子对孩子的危害。此外,家长还能阻止孩子打开与年龄不符的游戏,并限制上网时间。 自我防卫 有时候,你会发现即便在计算机内安装了功能强大的反病毒解决方案,也依然存在活跃的恶意软件。不要这么快下定论,责任通常不是在开发者这边!很有可能是你的孩子将反病毒软件关闭了。原因可能是为了让游戏运行地更流畅些。(事实上,反病毒程序并不会减缓游戏运行速度,但大部分孩子却对此并不知情)。或者反病毒程序可能正在阻止安装游戏插件(和恶意软件将自身伪装成游戏插件)。或者是另一个什么重要原因。然而,一款强大的安全解决方案能通过”杀死”恶意软件或网络骗子来进行自我防卫。例如:卡巴斯基安全软件拥有强大的自卫机制和密码保护功能,有助于防止未授权的人关闭软件。而免费的反病毒软件则缺少这一功能。 在保护程序被孩子关闭的时候,通常是恶意软件入侵计算机的最佳时机。 广告泛滥 免费安全软件开发商通常的赚钱方式是加入各种广告联盟,例如与软件捆绑的浏览器工具栏。此类工具栏可能提供”安全搜索”功能,这意味着搜索结果不会含有任何恶意软件,但却充满各种广告。孩子更容易受到广告的诱惑,当在网上看到一款新的摩托车,必定会不停地缠着家长去买,有时长达数月之久。而这一切都能够轻松地避免,比如使用相当便宜且完全没有任何广告插件的网络安全解决方案。

网络诈骗应对与举报方法

我们花费了大量的时间来讨论网上的各种威胁,并给出了如何避免成为网络诈骗目标的建议。今天,我想简要谈谈发现网络威胁后应对的最佳方式,网上有大量机构提供此类服务,致力于打造安全的网络环境。在某些情况下,所有这些组织唯一需要用户做的就是向他们举报信息。 网络钓鱼 网络钓鱼是一种社交工程欺诈,即攻击者尝试欺骗用户向他们传递具有潜在价值的信息。其中最流行的一种网络钓鱼攻击是通过电子邮件进行的。攻击者伪造电子邮件,让收件人信任邮件是可信源发送的。电子邮件可能声称来自知名银行,警告系统有潜在安全问题,并提供链接,供用户执行密码重置。 无论您是当事人还是知情者,都能向许多机构提交网络威胁信息,共同打造更安全的网络环境。 这种链接通常会使页面转至类似于邮件中所声称银行的网站。用户点击此链接后,要求输入用户名和密码来访问自己的帐户并创建新密码。当然,实际情况是攻击者引诱用户泄露自己的网银凭证(这就是为什么银行警告用户不要点击来路不明的电子邮件中的类似链接,而鼓励用户直接输入银行网址,进入银行网站登录)。 所以,如果曾意识到是网络钓鱼攻击,无论目的是获取支付信息、社交网络凭证还是其他什么信息,您应该怎么做呢?实际上您有很多种选择,但一般来说,应该遵循以下5个步骤: 1.不要点击可疑的链接; 2.一定要将网络钓鱼电子邮件及链接转发给被假冒的公司 3.在某些情况下,可能需要联系执法机构; 4.通知政府消费者保护机构或相关技术公司也是个不错的选择; 5.做完上述事情后,一定要删除欺诈邮件。 假设遇到以PayPal为主题的网络钓鱼活动。您希望联系PayPal专设的反欺诈部门。方法是在您偏好使用的搜索引擎中,输入”PayPal网络钓鱼举报”或”PayPal反欺诈”进行搜索就能找到他们的信息了。 完成上述操作后,应该遵循他们提供的指导信息。如果是一封网络钓鱼电子邮件,则应将其转发给PayPal,然后删除此邮件。在此之后,服务将建议浏览整个交易历史记录,确保金额正确。类似行动可以在许多类似情况下执行。Gmail也有网络钓鱼举报功能,直接内置于图形用户界面中。大多数银行和商家也都设有举报网络钓鱼攻击的功能。 根据情况的严重性,您有可能需要联系执法机构,但此话题我们将在下面的部分中进行讨论。 美国计算机安全应急预备小组(US-CERT)是美国国土安全部旗下的一个网络事故响应部门。该小组有一个专门的电子邮件地址(phishing-report@us-cert.gov),鼓励用户向他们发送网络钓鱼攻击。与此类似,美国国税局也有自己的专用网络钓鱼和反欺诈页面,其中包含市民应该如何应对纳税相关的欺诈行为的信息。这些都是美国特有的机构,但只要稍用点心搜索一下,就能轻松找到其他国家的类似机构。除了政府机构外,像Google和微软这样的技术型企业也有用起来很顺手的页面,用户可以在其中举报有关网络钓鱼和欺诈行为的信息,并允许用户提交网络钓鱼网站的链接。 帐单差异 1.联系收款机构。 2.如果问题得不到解决,请联系银行。 3.在某些情况下,可能需要联系执法机构。 如果在购物时曾遇到以下情况:为自己没有购买过的物品或服务而多付了钱,或者已购买但从未收到货,那么一开始应该联系违规商家。如果收款方不是合法的商家,似乎是欺诈行为,则需要立即联系银行或信用卡提供商,向对方解释有纠纷的交易。 如果收款公司是信誉良好的商家,例如eBay或亚马逊,则可能设有某种类型的纠纷交易页面或解决中心。任何有信誉的网络商品与服务销售商都应该为客户及其他用户提供一定的方法来解决有纠纷的交易。但我敢肯定,在某些情况下,你得多花点功夫,可能还需直接给对方公司打电话。如果你诚实又有耐心,那么就能与最负责任的商家一起解决这些纠纷。在这种情况下,你甚至不必联系银行或信用卡提供商。 但是,如果显然你从来没收到过订购的商品,而且认为等待收货的时间超出正常的范围,或者显而易见有欺诈行为,则应该直接联系银行。不管你的钱是存在哪家银行,也不管你使用的是哪个品牌的信用卡,银行或信用卡公司都有一套系统,专门用于举报欺诈收费。在互联网上搜索到相应的银行或信用卡公司,浏览他们的网站,或者直接打电话给客服部门。 除此之外,像在eBay或亚马逊这类网站,个人可以直接向客户销售商品,因此可能会发现自己被实际上并未入驻这些大商家的卖家所骗。此时,你需要做的是遵循有关如何处理有欺诈行为卖家的具体指导信息进行操作,亚马逊和eBay肯定提供有此类信息。 如果发现欺诈行为直接从您帐户扣款(比如有人拿到你的信用卡号或eBay登录凭证,并不断支付款项),则需要联系执法机构。在此可以找到相应的区域管理机构(至少是美国境内的)。当然,如果在美国境外,请还是搜索”消费者欺诈举报”,我相信你会找到相应的机构。 ConsumerFraudReporting.org是一个庞大的资源,如果发现自己遇到欺诈情况,请访问此网站。在此网站中,您可浏览各种内容,包括如何处理社会保险号被盗,如何应对恶意程序感染,一直到向主要信用机构举报有欺诈行为的商家。 恶意程序感染 首先最重要的一点是,应该始终运行安全软件。强大的反病毒产品能使你的计算机坚不可摧,并有效地防止被恶意程序感染。 但是,假设你的计算机被信息窃取类恶意软件感染。一般来说,应采取以下三个步骤: 1.补救感染; 2.评估暴露程度;

网络游戏中的五大威胁

不久前,打游戏还只是青少年热衷的一种娱乐活动。但现在这一情况已发生了变化,游戏日渐收到大家的热捧,现在几乎无处不在。几乎每个人都玩过游戏。不管是《糖果粉碎传奇》(Candy Crush Saga)、《星战前夜》(EVE Online)、休闲益智游戏QuizUp还是《坦克世界》(World of Tanks),即使是偶尔玩在线游戏的人,这些游戏名也一定不陌生。也许你不会通过游戏机或电脑,而是喜欢用平板电脑来打游戏,或者可能你只在每天通勤路上花10分钟时间玩游戏;但这些都不重要。你必须知道的是打联机游戏具有一定的风险。你得知道并提高警惕。从普通的骗子到黑客,都能利用最近曝光的Heartbleed漏洞入侵游戏开发者的帐户,一旦被入侵后,不管是你的游戏、心情还是个人财产统统会受到影响。下面列出了打联机游戏的玩家所面临的五大主要危险: 5. 网络钓鱼 有些骗子会发送一封假冒电子邮件,其中含有一个链接可转至其网站(也是假冒网站),这些网站与花旗银行、Facebook或Gmail极为相似,这一行为被称为网络钓鱼。犯罪分子的目的是骗取你的登录凭证或信用卡详细信息,并最终窃取你的数据甚至是钱财。事实证明,这一做法对于攻击游戏玩家非常有效。犯罪分子先构建某个联机游戏的假冒网站,然后催促玩家”变更密码”或”验证帐户”,并威胁说如果不这样做会封锁玩家的帐户。一旦按其要求进行操作后,黑客即可盗取你的游戏帐户,并将其拿到黑市上转卖出去。 解决方法:切勿点击电子邮件中的链接。打开网络浏览器,亲自输入游戏的网址,登录到自己的帐户来执行需要的任何检查/确认。另外,请使用在线防护,这可阻止浏览器打开假冒网站。 4. 恃强凌弱 如今,几乎每种联机游戏都含有某种形式的聊天。你可以使用耳麦和其他玩家对话,或者使用位于屏幕角落看起来还不错的旧式文本框进行聊天。对于某些游戏,团队成员之间进行此类通信至关重要。但遗憾的是,此工具被大范围地滥用了。在联线对战最激烈的时候,你可能会听到一些咒骂,或者一些人身攻击。因为大多数游戏竞争过于激烈,因此总是会出现贬低在当前场景中失败的玩家的情况,但有些玩家却做得太过份,而演变成常常会欺负其他玩家。在有些游戏中,尤其是专注于联机人物”虚拟生命”的玩家,这种聊天很可能会变成进行人身攻击的场所,导致不愉快的交谈。 解决方法:立即阻止任何言语攻击者;不要和对方继续玩游戏或聊天,并告知游戏骚扰小组对方的昵称。切勿向游戏玩家透露自己的真实身份或个人信息。如果玩游戏的是你的孩子,请教会他们与父母讨论此类事件,并确保他们都十分清楚”陌生人=危险”这一原则也同样适用于联机游戏。 3. 骗子和诈骗犯 游戏中的商品能在官方游戏市场以外被交易,极大增加了玩家被骗的机率。 根据不同的游戏类型和规则,有多种诈骗途径 – 有些被视为是合法的或半合法的,有些则不是。在各种骗局中,最严重的是利用修改过的游戏客户端(或者甚至是机器人程序)使游戏条件优于普通玩家 – 速度更快、更精确等等。此外,一些玩家利用在游戏服务器代码中发现的错误在游戏中占据先机。其他诈骗方法有修订游戏,通过虚拟团伙抢劫新手玩家,或者采用某种虚拟诈骗。对于游戏中的经济,有着几个世纪历史的诈骗模式有时仍会生效。玩家可能会碰到有人给自己一些库存,或者以优惠价格提供游戏攻略,但此类行为往往最终证明是一场骗局。 解决方法:如果有人吹得天花乱坠,几乎不像真的,那么很可能是骗人的。不要接受陌生人提供的任何可疑内容。如果注意到有人在游戏中的进度过快,请向支持团队进行报告。大多数联机游戏都有严格的规范,可以立即把骗子踢出游戏。 2. 人物/库存盗用 犯罪分子可能会瞄准的目标有四类:游戏中的资源、发展良好的游戏人物、付费游戏帐户或关联的信用卡数据本身。最后一类要作为目标具有难度,但其他几类则能通过多种途径盗用:网络钓鱼、专用密码窃取恶意软件、某种类型的游戏内诈骗等。关键要点是 – 玩家的人物或帐户越好,则犯罪分子瞄上你的可能性就越高。对于在全世界范围内拥有海量忠实受众(和玩家)、发展成熟的游戏来说,尤其如此。 解决方法:打游戏过程中,你必须对自己的帐户提高警惕。为帐户设置双重认证,游戏帐户和电子邮件地址使用复杂、唯一的密码,对设备使用强安全性解决方案,监视网络钓鱼邮件和其他试图骗取凭证的活动。 玩家在游戏中的角色越出色,则被犯罪分子盯上的可能性就越高。

一周要闻 – 4月1日

本周要闻:首先出场的是微软公司,下周微软停止支持(终于停止了!)曾经无处不在、漏洞永无止境、部署范围超广的Windows XP系统。 本周发生的事件:我们获悉比特币的更多新闻;关于特斯拉S型车的安全问题;全球网络钓鱼游戏的深入洞察;苹果Safari浏览器修订;飞利浦智能电视中的漏洞等。 据路透社报告,美国德克萨斯州联邦法官已下令Mt. Gox公司首席执行官马克•卡佩勒斯(Mark Karpeles)赶赴美国,回答与比特币交易破产案有关的问题。Mt. Gox曾是世界上最大的比特币(数字加密货币)交易所,该公司在丢失客户价值4亿美元的比特币后于今年2月停业,并在美国申请破产保护。据报道,卡佩勒斯已向传唤其到庭的德克萨斯州法庭申请根据美国《破产法》第15章给予Mt.Gox破产保护,目的是为了让其美国客户在芝加哥联邦法院提起的集体诉讼不能再继续下去。德克萨斯州法官认为,如果卡佩莱斯希望寻求法庭的保护,那么必须亲自来到这里。 据Threatpost的同事Chris Brook报告,在受到大众欢迎的飞利浦智能电视中,支持互联网的某些型号含有漏洞,攻击者可能会借此漏洞访问电视机系统和配置文件中潜在和敏感信息,并能读取插入电视本身的U盘上的任何文件。如果用户碰巧就在这台电视机上浏览互联网,那么攻击者就能窃取cookie,并利用这些cookie来访问特定网站或网上帐户。这一问题与名叫Miracast的WiFi功能有关,这种功能默认情况下已通过预设的固定密码启用。通过此密码,处于电视WiFi适配器辐射范围内的任何人都能连到该电视,并访问电视中的许多功能。 Threatpost的另一位同事Dennis Fisher报告说,深受大众欢迎的高端全电子特斯拉S型汽车上针对移动应用部署了一种易受攻击的单因素验证系统,它允许用户对车门解锁以及执行其他更多功能。研究人员Nitesh Dhanjani发现,新车主在特斯拉网站上注册了帐户后,必须创建一个6位字符的密码。此密码将用于登录iPhone应用程序。该应用支持车主操纵门锁、悬架和制动系统以及天窗。其中真正的问题是对登录尝试次数没有限制;这意味着攻击者可以对相对较短的密码发起暴力破解攻击。在没有登录尝试次数限制的系统中,六位字符是很容易破解的。另外,我想提醒所有苹果用户,位于加州库比蒂诺的计算机巨头-苹果已发布了25个Safari浏览器安全漏洞修订。其中一些漏洞非常严重,所以如果还没有更新Safari浏览器,请尽快更新。 我们的朋友-Securelist的研究人员发布了2013年金融网络威胁黑幕研究报告的第一部分。第一部分密集分析了全球的网络钓鱼环境。简而言之,他们发现,2013年的所有网络钓鱼攻击中有31%针对的目标是金融机构。所有攻击中大约有22%涉及虚假银行网址,这一比例较上年2012年的研究翻了一番;2012年,只有11%的此类攻击是部署虚假银行网址。其中不到60%的网银钓鱼攻击利用的是25家国际银行品牌,其余40%利用的是1000多家银行品牌。最后,我推荐您阅读BBC的一篇新闻,它报告说加州圣地亚哥的一名五岁男童发现流行的XBOX Live在线游戏平台中有漏洞,他通过这一漏洞可以登录到他父亲的XBOX Live网络帐户。当时他输入的密码不对时,系统提示他重新输入密码。他随便按下了空格键,结果就像魔法一样,直接登录了。”我很紧张。我想[爸爸]会发现的,”Kristoffer告诉当地电视台KGTV。”我想有人会偷走Xbox。” BBC说,Kristoffer的父亲从事安保工作,他已经向微软报告了漏洞的详细情况。微软已修复此漏洞,并对Kristoffer的帮助表示了感谢。

四月一日(以及其他日子)甄别虚假网站

在四月一日愚人节这天遇到虚假网站的机率特别高。除了主流媒体开玩笑的头条外,还会遇到指向专门网站的链接,这些网站中不仅满是讽刺性新闻,甚至还有针对性的恶作剧。但是,有些网站建立的目的并不是为了开玩笑,而是为了盗用钱财。 讽刺性新闻 官方的讽刺类新闻已经有150年的历史了。其中首开先河的就是大名鼎鼎的马克•吐温。互联网的出现,为这类新闻注入了新的活力;现在,有许多网站只专注于主流媒体恶搞。此类讽刺性新闻网站很容易和正规网站混淆,因为他们外观都设计得很得体,严格遵循普通新闻网站的所有原则。 访问新闻网站时请检查地址栏。不要相信陌生网站的新闻文章。 全球最著名的讽刺新闻网站包括The Onion、The Spoof、The Borowitz report、World Daily News report和Private Eye。最后三个网站尤其”危险”,因为它们的名称并不会让人联想到内容是杜撰的;您必须依靠常理来判断到底是假新闻还是真新闻。The Borowitz report甚至就活跃在《纽约客》杂志的网站上。 许多网民是根据外表来判断假新闻的。别被愚弄了 – 在陌生网站上遇到的任何讽刺新闻或假新闻文章(取决于查看的内容)都会把你搞得精疲力竭,直到你去Google上核查过新闻真伪。 人物类新闻 这种恶作剧在21世纪的今天变得流行,也一直存在专门针对特定人物制造假新闻的制造机。制造机通常允许用户提供受害者姓名以及其他一些数据,从而创建出一条貌似可信的新闻,像”吃汉堡包餐增重100磅”、”向公共图书馆捐赠20 TB的黄色书刊”等等。 如果读到关于自己的新闻,那么几乎可以肯定是恶作剧。是不是恶作剧很容易判断 – 选择浏览器地址栏,删除”新闻”站点地址中的其他所有内容,只留下域名。此时最可能出现的情况是浏览器会转至一个输入表单,你可在其中输入内容来生成有关自己的假新闻。 资金类新闻 从更严重的方面来看,这类虚假网站是一年365天一天24小时不间断运行,危险程度极高。在此我说的是虚假网银、支付系统和金融机构。访问这些网站可能一开始会收到一封令人大吃一惊或报警电子邮件,内容类似于您所贷款已被批准;你的帐户中有可疑交易;你已收到一笔款项,你的卡已被冻结等。通常这封信里不会包含任何细节信息。要了解更多信息,你必须点击链接,在网银站点上输入你的姓名、密码,或许还要输入卡号。但有一些极小但非常重要的细节可供甄别真伪。链接会将页面转至虚假网站,而不是转向真正的网站。虽然页面看上去一模一样,但你输入的所有信息都会发给网络犯罪分子,而不是发给银行。这是目前横行的一种骗局,被称为网络钓鱼。行骗者还会假冒大型网上商店、预定网站、大型互联网公司(Facebook、Gmail、iCloud等)。 要确定钓鱼邮件和网站十分简单,只是要注意一些特定的细节: 网络钓鱼邮件中通常在你的姓名中不会包含正确的称呼语。 邮件不会含有帐户、卡号等任何具体信息。 邮件总是会含有一个链接,需要你点击来了解更多信息或解决问题。通常还会有一个威胁,表明如果不立即行动会有麻烦。

一周要闻:元数据收集、零日漏洞、MH 370网络钓鱼等。

上周对于我们这些以采写计算机安全新闻为业的人来说的确是漫长的一周。虽然这一周的新闻事件寥寥可数,但还是有一些值得关注的事件。 新闻概述如下:网络安全公司White Hat发布了内部网页浏览器,专注于安全性和隐私,可应用于Windows操作系统计算机;美国总统奥巴马要求美国国家安全局(NSA)终止搜集公民通话元数据;骗子以马来西亚航空370号失联客机为饵实施网络钓鱼骗局;微软再次曝出零日攻击漏洞。 Aviator浏览器 互联网安全性和隐私依然一如既往地成为了流行焦点,这在很大程度上要归功于去年美国国家安全局曝出他们有能力监控任何想要监控的人。然而,保护网络会话安全,尽可能确保这些会话私密是一项艰巨的工程,尤其是对于那些缺乏相关技术知识的用户,或更重要的是,根本无暇了解自己心爱浏览器的设置。 为此,White Hat Security的研究人员几个月前决定向公众发布Aviator浏览器(至少推出Mac版)。该款浏览器在公司内部已使用数年。本周早先时候,他们又发布了Windows版本,使得更多的用户能够使用到这款浏览器。 Aviator浏览器基于Chromium代码库构建,外观与Google的Chrome浏览器非常类似。但Aviator旨在优化用户隐私、安全性和匿名性。默认情况下,该浏览器不允许存在来自广告商的网络跟踪。DuckDuckGo是浏览器默认搜索引擎,它不会收集用户搜索历史记录,也不会以任何方式显示广告或跟踪用户。 总之,该浏览器并不是简单地靠大量流行的扩展程序来阻止广告(全球三大浏览器就是这样做的),而是根本就不与广告网络建立任何连接。这样不仅能阻止无处不在的企业跟踪,而且还能保护用户不接收潜在的恶意广告。该公司表示,所有这些附加的优点使得这款浏览器的运行速度比其他大多数浏览器都要快。 奥巴马要求停止搜集元数据 大约一年前,曝出美国国家安全局(NSA)通过手机或电脑收集和保存几乎所有人的通信元数据。所有这些秘密信息均是由NSA前雇员爱德华•斯诺登披露的,其中有大量内容是针对美国间谍装备的指控- 对批量元数据搜集的披露吸引了美国公众最大的关注。这让人感到相当奇怪,一方面是因为两年前大多数人甚至不知道元数据为何物,另一方面当我们回顾过往,元数据搜集相对于NSA被曝出的其他一些事件来说,并不算太离谱。 虽然说进步总是好的,但显然,白宫方面决定希望终止该情报机构搜集和存储电话记录。在目前的系统下,NSA可存储五年的电话记录信息。根据新的规定,NSA绝对不能再存储元数据。元数据改为由各服务提供商保存,但要求服务提供商只能将此类信息存储18个月。 事实上,就在我写这篇文章时,白宫方面已向公众宣布其终止批量搜集元数据的计划;元数据搜集行为原本是根据《爱国者法案》第215款所允许的。 利用马航370失联航班的网络钓鱼 你可能知道,三周前,马来西亚航空公司的一架由吉隆坡飞往北京的航班离奇地与地面失去联系,导致机上200余名乘客下落不明。截止本文写作时,已确定该航班失事。目前,还没有确切的证据能证明该航班的下落,除此之外,其很可能坠毁于印度洋某处。 和其他神秘事件和令人费解的失踪一样,马航370航班(虽然失踪航班最后的结果往往是可怕的失事)也催生了一大堆令人啼笑皆非的荒谬说法,其中许多被无耻的媒体持续报道。 同样无耻的是(你可能没那么吃惊,因为我们现在讨论的就是犯罪分子,而不是那些被称为记者的家伙),黑客组织也在互联网上以马航370失联班机为诱饵,盗取信息,骗取钱财。 大量社交媒体点击欺诈争相出现,纷纷表示已经找到马航370客机。用户会看到提示,要求点击链接才能了解新闻内容。这种老式的链接钓鱼欺诈几乎会在任何时间以任何事件为饵弹出,以吸引公众注意(名流身故、国际体育赛事、自然灾害等等)。然而,除此之外还有更复杂、更有针对性的鱼叉式网路钓鱼活动,在此类活动中,攻击者向美国和亚太区政府官员散播与航班相关的电子邮件,其中含有恶意附件。 Microsoft Word零日漏洞 最后一条新闻:本周一,科技巨头微软公司在其Technet博客上宣布,发现Microsoft Word 2010零日漏洞,将成为黑客针对性攻击的目标。虽然发现的攻击目标是Microsoft Word 2010,但该公司表示Word 2003、2007、2013和2013RT,Office for Mac,