你的 QQ 號被盜過么?
6 月 26 日晚,部分用戶反映自己 QQ 賬號被盜,並會自動給好友和群友發送不雅圖片或賭博性的內容。對此,騰訊 QQ 官方微博發文回應稱,此類盜號事件系用戶掃描過不法分子偽造的遊戲登錄二維碼並授權登錄,該登錄行為被黑產團伙劫持並記錄,隨後被不法分子利用發送不良圖片廣告。
信息來源:新浪微博
無獨有偶,在今年 5 月,一則搜狐全體員工收到一封來自「搜狐財務部」名為《5 月份員工工資補助通知》的郵件,有員工按照附件要求掃碼,並填寫了銀行賬號等信息,導致卡內餘額被划走衝上了微博熱搜。
信息來源:新浪微博
騰訊 QQ 用戶遭盜號與搜狐員工遭遇郵件詐騙,暴露出企業在安全方面的漏洞。根據中國互聯網路信息中心(CNNIC)的報告顯示,中國網民在各類網路安全問題中,遭遇信息泄露問題的佔比最高,達 28.5%。
在另一方面,「掃碼」作為登錄的第一道關口,是企業與用戶信息安全的護城河。根據美國最大通信運營商威瑞森最近發布的《2021 年數據泄露調查報告》:
- 85% 的數據泄露涉及人的因素;
- 61% 的數據泄露牽涉登錄憑證。
那麼,如果登錄不可避免,我們如何提防網路陷阱、保障信息安全呢?
第一,正規渠道下載 APP。在下載 APP 時,一定要去企業官網或 iOS 與 安卓官方授權的 APP Store 下載。如果一不小心去了釣魚網站,各種一鍵下載、自動安裝的 APP,不光下載後軟體「套娃安裝」、流氓軟體永遠刪不掉,彈窗去不掉,甚至越點擊網頁越多,導致電腦不堪重負,導致個人信息被盜取或利用你的社交賬號發一些色情或詐騙信息。
第二,提防免費的陷阱。「免費 Wifi,一鍵上網」遍布了咖啡廳、車站、商場等公共場所。但一些不法分子卻可以利用分析滲透軟體或通過 Wifi 植入病毒的方式,輕鬆獲得用戶的移動設備和地址信息。
所以公共場合,在流量足夠的情況下,盡量減少 Wifi 使用頻率,也不要隨意點擊那些來路不明的、打著免費旗號的 Wifi 鏈接,尤其提防那種需要很詳細填寫個人信息的鏈接,包括電話、銀行卡、家庭住址等私密信息。
第三,各種單據要撕毀敏感信息。快遞、車票、外賣單等等單據都含有用戶姓名、電話甚至住址等敏感信息,很多人往往將單子隨手一扔。最好將單據撕毀、塗抹後再丟棄,以防信息被不法分子盜取。
第四,做好許可權管理。很多用戶在下載 APP 後,為了儘快體驗功能,會不仔細看 APP 的提示信息,一鍵「授權到底」,比如攝像頭、相冊、通訊錄、位置信息等等,讓很多 APP 一鍵獲得用戶信息,將其肆意賣給不法分子牟利。
所以,用戶不光要從正規渠道下載 APP,也要做好對 APP 的許可權管理。
第五,做好信息認證。對於一些安全性要求較高的 APP,比如理財、銀行類等涉及財產的系統,在異地或者更換設備時,需要一些額外的認證,比如身份證信息、指紋等等,安全性更高的 APP 甚至需要人工校驗、審核。
多因素身份認證(MFA)是一種非常簡單的安全實踐方法,它能夠在用戶名稱和密碼之外再增加一層保護。
啟用多因素身份認證(MFA)後,用戶進行操作時,除了需要提供用戶名和密碼外(第一次身份驗證),還需要進行第二次身份驗證,多因素身份驗證結合起來將為您的賬號和資源提供更高的安全保護。
MFA 建立了一個多層次的防禦,使沒有被授權的人更難訪問計算機系統或網路。MFA 由 2 個或 3 個獨立的憑證進行驗證,這些憑證主要包含以下三個要素:
- 所知道的內容:用戶當前已經記憶的內容,最常見的如用戶名密碼等;
- 所擁有的物品:用戶擁有的身份認證證明,最常見的方式有 ID 卡、U 盾、磁卡等;
- 所具備的特徵:用戶自身生物唯一特徵,如用戶的指紋、虹膜等。
MFA 提高了安全性,即使一個憑據遭到入侵,未經授權的用戶也無法滿足第二個身份驗證要求,並且也無法訪問目標用戶的身份空間、計算設備、網路或資料庫。
MFA 驗證至少混合了兩個單獨的因素。一方面,是你的用戶名和密碼,即你的信息。另一方面,是你的物理信息,即你的指紋、人臉等人體特徵,即你是誰。自適應多因素身份認證主要包括以下幾種認證方式:
- 手機令牌
- 簡訊/郵箱驗證碼
- 兼容第三方身份驗證器
- 生物識別
- 小程序認證
簡言之,通過實施多因素身份驗證(MFA)為賬戶添加額外的安全層,成為防止個人數據泄露的最佳安全實踐方法。
關於 Authing
Authing 身份雲國內首款以開發者為中心的全場景身份雲產品,集成了所有主流身份認證協議,為企業和開發者提供完善安全的用戶認證和訪問管理服務,已幫助 20,000+ 家企業和開發者構建標準化的用戶身份體系,包括可口可樂、元氣森林......客戶選擇並實施 Authing 解決方案。
Authing 既是客戶的支持者,也是客戶的產品專家和戰略顧問,更是值得信賴的合作夥伴。我們提供全球化的身份專家支持團隊,通過網路或電話,7*24 小時不間斷支持。
Authing 的幫助中心提供最新的技術知識庫、商業案例以及與您的同行和 Authing 專家聯繫的機會。無論您何時需要我們,Authing 的支持團隊總能最快響應。
