你的 QQ 号被盗过么?
6 月 26 日晚,部分用户反映自己 QQ 账号被盗,并会自动给好友和群友发送不雅图片或赌博性的内容。对此,腾讯 QQ 官方微博发文回应称,此类盗号事件系用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。
信息来源:新浪微博
无独有偶,在今年 5 月,一则搜狐全体员工收到一封来自“搜狐财务部”名为《5 月份员工工资补助通知》的邮件,有员工按照附件要求扫码,并填写了银行账号等信息,导致卡内余额被划走冲上了微博热搜。
信息来源:新浪微博
腾讯 QQ 用户遭盗号与搜狐员工遭遇邮件诈骗,暴露出企业在安全方面的漏洞。根据中国互联网络信息中心(CNNIC)的报告显示,中国网民在各类网络安全问题中,遭遇信息泄露问题的占比最高,达 28.5%。
在另一方面,“扫码”作为登录的第一道关口,是企业与用户信息安全的护城河。根据美国最大通信运营商威瑞森最近发布的《2021 年数据泄露调查报告》:
- 85% 的数据泄露涉及人的因素;
- 61% 的数据泄露牵涉登录凭证。
那么,如果登录不可避免,我们如何提防网络陷阱、保障信息安全呢?
第一,正规渠道下载 APP。在下载 APP 时,一定要去企业官网或 iOS 与 安卓官方授权的 APP Store 下载。如果一不小心去了钓鱼网站,各种一键下载、自动安装的 APP,不光下载后软件“套娃安装”、流氓软件永远删不掉,弹窗去不掉,甚至越点击网页越多,导致电脑不堪重负,导致个人信息被盗取或利用你的社交账号发一些色情或诈骗信息。
第二,提防免费的陷阱。“免费 Wifi,一键上网”遍布了咖啡厅、车站、商场等公共场所。但一些不法分子却可以利用分析渗透软件或通过 Wifi 植入病毒的方式,轻松获得用户的移动设备和地址信息。
所以公共场合,在流量足够的情况下,尽量减少 Wifi 使用频率,也不要随意点击那些来路不明的、打着免费旗号的 Wifi 链接,尤其提防那种需要很详细填写个人信息的链接,包括电话、银行卡、家庭住址等私密信息。
第三,各种单据要撕毁敏感信息。快递、车票、外卖单等等单据都含有用户姓名、电话甚至住址等敏感信息,很多人往往将单子随手一扔。最好将单据撕毁、涂抹后再丢弃,以防信息被不法分子盗取。
第四,做好权限管理。很多用户在下载 APP 后,为了尽快体验功能,会不仔细看 APP 的提示信息,一键“授权到底”,比如摄像头、相册、通讯录、位置信息等等,让很多 APP 一键获得用户信息,将其肆意卖给不法分子牟利。
所以,用户不光要从正规渠道下载 APP,也要做好对 APP 的权限管理。
第五,做好信息认证。对于一些安全性要求较高的 APP,比如理财、银行类等涉及财产的系统,在异地或者更换设备时,需要一些额外的认证,比如身份证信息、指纹等等,安全性更高的 APP 甚至需要人工校验、审核。
多因素身份认证(MFA)是一种非常简单的安全实践方法,它能够在用户名称和密码之外再增加一层保护。
启用多因素身份认证(MFA)后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要进行第二次身份验证,多因素身份验证结合起来将为您的账号和资源提供更高的安全保护。
MFA 建立了一个多层次的防御,使没有被授权的人更难访问计算机系统或网络。MFA 由 2 个或 3 个独立的凭证进行验证,这些凭证主要包含以下三个要素:
- 所知道的内容:用户当前已经记忆的内容,最常见的如用户名密码等;
- 所拥有的物品:用户拥有的身份认证证明,最常见的方式有 ID 卡、U 盾、磁卡等;
- 所具备的特征:用户自身生物唯一特征,如用户的指纹、虹膜等。
MFA 提高了安全性,即使一个凭据遭到入侵,未经授权的用户也无法满足第二个身份验证要求,并且也无法访问目标用户的身份空间、计算设备、网络或数据库。
MFA 验证至少混合了两个单独的因素。一方面,是你的用户名和密码,即你的信息。另一方面,是你的物理信息,即你的指纹、人脸等人体特征,即你是谁。自适应多因素身份认证主要包括以下几种认证方式:
- 手机令牌
- 短信/邮箱验证码
- 兼容第三方身份验证器
- 生物识别
- 小程序认证
简言之,通过实施多因素身份验证(MFA)为账户添加额外的安全层,成为防止个人数据泄露的最佳安全实践方法。
关于 Authing
Authing 身份云国内首款以开发者为中心的全场景身份云产品,集成了所有主流身份认证协议,为企业和开发者提供完善安全的用户认证和访问管理服务,已帮助 20,000+ 家企业和开发者构建标准化的用户身份体系,包括可口可乐、元气森林......客户选择并实施 Authing 解决方案。
Authing 既是客户的支持者,也是客户的产品专家和战略顾问,更是值得信赖的合作伙伴。我们提供全球化的身份专家支持团队,通过网络或电话,7*24 小时不间断支持。
Authing 的帮助中心提供最新的技术知识库、商业案例以及与您的同行和 Authing 专家联系的机会。无论您何时需要我们,Authing 的支持团队总能最快响应。
