上周六受到企业的邀请讲网络安全,这篇博客是内容的整理。
随着大数据、AI(人工智能)与互联网络的高速发展新的网络安全问题变得越来越严峻,自己身边时不时总有人被网络诈骗,为了更少的人被攻击写了这些文字。
我国从事网络与电信诈骗人数:160万
我国去年网络与电信涉案金额:1152亿
大学生防网络与电信诈骗合格数不足:30%(其它人群估计负数了)
网络与电信诈骗的源发地在境外约:90%
网络上每分钟被手机病毒与木马攻击约:1000000次
大数据与人工智能与其它方面带来的问题:
a)、我国的经济发展与物质文明的进步速度非常快,30年巨变,但人民的精神文明没有跟上,道德空间大。
b)、网络与移动互联网空前繁荣,约8亿网民(估计更多)
c)、大数据使诈骗变得非常精准
d)、人民使用网络的频率越来越高,安全意识不高,投机者不少,手机与资金强耦合
e)、人工智能让一些传统的身份识别手段变得无效,如语音采集后生成声音,高清相机采集指纹等
不法分子还将罪恶的双手伸向儿童,通过网上购买的软件工具,非法入侵免疫规划系统网络获取20万儿童信息并在网上公开售卖
太多了,数不胜数,不列举了...
危基百科上的网络定义如下:
网络安全(Networksecurity)包含网络设备安全、网络信息安全、网络软件安全。
黑客通过基于网络的入侵来达到窃取敏感信息的目的,也有人以基于网络的攻击见长,被人收买通过网络来攻击商业竞争对手企业,造成网络企业无法正常营运,网络安全就是为了防范这种信息盗窃和商业竞争攻击所采取的措施。
(图:2016年手机病毒感染用户达5亿)
(图:2016年诈骗短信类型占比)
与此同时,手机端在2016年也出现了五大病毒:“粗口木马”、Android锁屏勒索、开学通知书、手机实名认证、刷单助手。它们均通过短信、恶意网址的形式传播,用户一旦点击短信中的链接,下载木马病毒,将导致手机中毒,甚至造成钱财损失。
从山东准大学生徐玉玉被骗离世,到清华老师被冒充公检法不法分子骗走1760万,从著名演员黄晓明收到来自“孩子学校”的诈骗短信惹来网友热议,到ETC卡隔空被离奇盗刷…腾讯安全盘点了2016年十大电信网络诈骗案例,分析这些案例可以发现,如今的电信网络诈骗呈现出如下特征:首先,诈骗分子充分结合当前时事热点设计骗术,能够让受害人更轻易地上套;同时,社会工程学原理的熟练运用也让受害人难以辨别真伪;而这些案件的根源都是用户信息泄露,导致了精准诈骗的发生。
2016年,互联网安全形势错综复杂,PC端流氓软件、木马病毒和钓鱼网址猖狂,手机端病毒和诈骗短信善于借势传播,信息泄露让电信网络诈骗越来越精准。2017年,“追热点”的诈骗形式将更多;打击个人信息泄露犯罪将成为重点;此外,得益于腾讯开放的安全能力和大数据资源,过去一年警方破获了多个大案,2017年大数据技术将在警方打击网络犯罪中起到更加重要的作用。
信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源,也是企业财产和个人隐私等的重要载体。与此同时,信息安全的重要性也越加凸显:从最高层次来讲,信息安全关系到国家的安全;对组织机构来说,信息安全关系到正常运作和持续发展;就个人而言,信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家,保持关键的信息资产的安全性都是非常重要的。
据统计,世界上每分钟就有2个企业因为信息安全问题倒闭,而在所有的信息安全事故中,只有20%—30%是因为黑客入侵或其他外部原因造成的,70%—80%是由于内部员工的疏忽或有意泄露造成的;同时78%的企业数据泄露是来自内部员工的不规范操作。案例一:HBgaryFederal邮件泄露
普渡大学的GeneSpafford博士在美国众议院商务委员会的听证会上揭开了导致这次史上最严重的消费者数据泄漏事件的重要原因:索尼的服务器运行着一个过期的ApacheWebserver软件,没有打上补丁,也没有安装防火墙。而索尼早在几个月前已经知悉此事,因为问题早已在论坛上报告给索尼工作人员。很明显,不是黑客匿名组织的技术高超,而是索尼负责信息安全的员工在此次事件中犯下了低级错误,结果门户大开,引狼入室。案例三:LinkedIn用户密码公布于网上
大约有650万个LinkedIn用户密码的散列密码字段被盗并被公布在互联网上。目前LinkedIn已经承认了该事件,但是他们并没有透露具体的数字。由于有部分是重复的,因此实际数字有可能低于外界猜测的数字。LinkedIn已经作废这了些受影响的用户的密码,公司称,他们已经通过电子邮件通知了用户,告之他们密码可能存在泄露的风险,用户可以通过点击电子邮件中的链接升级他们的密码。LinkedIn的悲剧发生后,eHarmony交友网站也确认大约有150万密码被盗
以上所举三个案例给所有企业和组织敲响了警钟,案例涉及企业管理层、技术人员及普通员工,可见上至企业老总、下到基层员工,安全意识的薄弱正在成为企业面临的最大风险,忽视信息安全意识教育,可能遭受灾难性的打击。根据GooAnn发布的国内首份《中国企业员工信息安全意识调查报告(2010)》结果显示,受访者认为在所有企业的安全隐患中,信息安全意识缺乏是最大的安全隐患,占到42.8%的比例,提高全员信息安全意识的重要性由此可见。
不法分子将二维码植入病毒程序,再以返利或者降价或送礼品为饵,发送二维码。一旦轻易扫描安装,木马就会盗取应用账号、密码等个人隐私信息,再以短信验证的方式篡改用户密码,将账户资金转走。共享单车扫码请看清楚。
骗子高度模仿正规电商中领取的优惠券、打折券等页面内容,通过社交平台网站发布钓鱼网站链接,诱骗消费者在领取优惠的同时,输入电商平台的账号、密码,甚至支付密码、短信验证码等信息,来盗取消费者账号资金。
骗子利用网银账号内部交易不需要验证码和U盾的特点,在受害者网银账号内部通过购买贵金属、活期转定期等操作,制造银行卡上有资金流出的假象。然后冒充银行工作人员,谎称受害者银行资金被盗刷,帮助其进行退款,诱骗受害者开通快捷支付或者骗取转账的动态验证码短信,盗取受害者银行卡内资金。
骗子在社交平台上发布虚假的支付宝“花呗”套现服务,谎称受害者可利用“花呗”购买虚拟商品,扣除手续费后返还余下金额,以实现套现。但实际上,在受害者购买商品后,骗子并不退还任何钱款,随即消失不见。
骗子发布虚假购物消息,与受害人交易后以卡单为由,要求交纳保证金。为取得受害者的信任,骗子建议其在支付平台上开通信用支付来付这笔保证金,待交易激活后会退还保证金。受害人因不了解信用支付的开通过程,按照骗子的说法操作付款后,将钱款打给骗子。
骗子伪装成跨境代购电商,利用低价引诱消费者购买所谓的代购商品,然后发送虚假的物流信息,并谎称该商品在海关被扣押,需要交纳保证金后领取,从而骗取购物金额及保证金的诈骗
通过开设网址与真实网站极为相似的虚假购物网站或在知名大型电子商务网站进行注册,然后以虚假内容吸引网上消费者。犯罪分子会要求受害人预付货款或提出预付邮寄费、保证金款等,在收取众多的汇款之后,诈骗者不提供商品或者干脆“网上蒸发”。
防范提示:选择有信誉度的购物网站,要坚持使用支付宝之类的第三方交易平台,绝不轻信价格便宜,可以用线下交易直接汇款等理由,拒绝先付订金;在网上购买需要核对对方身份;注意保存购物凭据及网上聊天记录,以便在维权的过程中向网上商家索赔;用银行卡支付,最好使用一个专用账户,卡内不宜存放太多资金。
淘宝刷钻、手机充值卡刷信誉及游戏点卡刷信誉是最常见的三种兼职代刷骗局。犯罪分子首先在各大招聘网站上发布兼职信息,以给淘宝店铺刷信誉为由,让应聘者购买手机充值卡、游戏点卡等虚拟商品,谎称会返还购买的本金和佣金,利用受害人对淘宝虚拟商品购物流程不熟悉的弱点,诱骗受害人发送拍好的卡号和卡密,从而盗取钱财。
犯罪分子通过开设所谓的投资咨询网站,谎称掌握股票、期货交易内幕或能预测彩票开奖情况,以咨询费、押金、保密费为由诱骗受害者向其提供的账号汇款。
防范提示:投资理财要通过正规渠道,切莫有“一夜暴富”等不切实际的想法。
通过婚恋网、交友网等网络交友、相亲网站,以“高富帅”或“白富美”的虚假身份迷惑受害人,骗取信任、确立交往关系后,选择时机提出借钱周转、急需医疗、家庭遭遇变故等各种理由,骗取钱财后销声匿迹。
防范提示:应认准正规的交友网站,交友过程中如对方提出汇款请求,一定要反复核实,切忌贸然汇款,谨防上当受骗。
借用某些企事业单位或酒店的名义通过网络发布招工信息,待受害人联系后以缴纳押金、保险、服装费等多种借口要求受害人向指定账户汇款。
防范提示:找工作要到正规的招聘网站、劳务市场或有营业执照的中介所。对于先让交报名费、培训费的招工,要提高警惕,防止被骗。
此类案件的侵害对象较为明确,即广大网络游戏玩家。网络游戏中,犯罪分子以低价出卖游戏装备或帮玩家“练级”为诱饵,诱使受害者向其付款,等受害者付款后,不发货或中断和受害者联系,以达到诈骗目的。
防范提示:网络游戏虚拟世界里,不轻信网游中的一些“战友”,不轻易泄露银行账号和密码,尤其警惕先付款后交货的交易方式。游戏点卡、装备应通过官方指定渠道进行交易。
计算机病毒(ComputerVirus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。
计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
熊猫烧香
电脑中的特洛伊木马:在计算机领域中,木马是一类恶意程序的伪装。
一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,实时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码无安全可言了。
木马程序不能算是一种病毒,但可以和最新病毒、漏洞利用工具一起使用,几乎可以躲过各大杀毒软件,尽管越来越多的新版的杀毒软件可以查杀一些防杀木马了,但是不要认为使用有名的杀毒软件电脑就绝对安全,木马永远是防不胜防的,除非你不上网。
指的是用来加密或解密的算法。使用密码,可以将一段明文的内容,经过特定程序,转换成无法理解的密文;或是反向,将密文转换成可以被理解的明文。在现代密码系统中,密码可以可分为对称密钥加密与公开密钥加密两种。
公元前405年,雅典和斯巴达之间的伯罗奔尼撒战争已进入尾声。斯巴达军队逐渐占据了优势地位,准备对雅典发动最后一击。这时,原来站在斯巴达一边的波斯帝国突然改变态度,停止了对斯巴达的援助,意图使雅典和斯巴达在持续的战争中两败俱伤,以便从中渔利。在这种情况下,斯巴达急需摸清波斯帝国的具体行动计划,以便采取新的战略方针。正在这时,斯巴达军队捕获了一名从波斯帝国回雅典送信的雅典信使。
斯巴达士兵仔细搜查这名信使,可搜查了好大一阵,除了从他身上搜出一条布满杂乱无章的希腊字母的普通腰带外,别无他获。情报究竟藏在什么地方呢?斯巴达军队统帅莱桑德把注意力集中到了那条腰带上,情报一定就在那些杂乱的字母之中。他反复琢磨研究这些天书似的文字,把腰带上的字母用各种方法重新排列组合,怎么也解不出来。最后,莱桑德失去了信心,他一边摆弄着那条腰带,一边思考着弄到情报的其他途径。当他无意中把腰带呈螺旋形缠绕在手中的剑鞘上时,奇迹出现了。原来腰带上那些杂乱无章的字母,竟组成了一段文字。这便是雅典间谍送回的一份情报,它告诉雅典,波斯军队准备在斯巴达军队发起最后攻击时,突然对斯巴达军队进行袭击。斯巴达军队根据这份情报马上改变了作战计划,先以迅雷不及掩耳之势攻击毫无防备的波斯军队,并一举将它击溃,解除了后顾之忧。随后,斯巴达军队回师征伐雅典,终于取得了战争的最后胜利。
第二次世界大战密码起了非常大的作用,图灵机,中途岛战役,日本被美国破译的密码等。
凯撒密码作为一种最为古老的对称加密体制,在古罗马的时候都已经很流行,他的基本思想是:通过把字母移动一定的位数来实现加密和解密。明文中的所有字母都在字母表上向后(或向前)按照一个固定数目进行偏移后被替换成密文。例如,当偏移量是3的时候,所有的字母A将被替换成D,B变成E,以此类推X将变成A,Y变成B,Z变成C。由此可见,位数就是凯撒密码加密和解密的密钥。
采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
RSA算法是一种非对称密码算法,所谓非对称,就是指该算法需要一对密钥,使用其中一个加密,则需要用另一个才能解密,不是同一个钥匙。
(1)对称加密加密与解密使用的是同样的密钥,所以速度快,但由于需要将密钥在网络传输,所以安全性不高。
(2)非对称加密使用了一对密钥,公钥与私钥,所以安全性高,但加密与解密速度慢。
(3)解决的办法是将对称加密的密钥使用非对称加密的公钥进行加密,然后发送出去,接收方使用私钥进行解密得到对称加密的密钥,然后双方可以使用对称加密来进行沟通。
计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护
2009年谢涛和冯登国仅用了220.96的碰撞算法复杂度,破解了MD5的碰撞抵抗,该攻击在普通计算机上运行只需要数秒钟。
MD5已经广泛使用在为文件传输提供一定的可靠性方面。例如,服务器预先提供一个MD5校验和,用户下载完文件以后,用MD5算法计算下载文件的MD5校验和,然后通过检查这两个校验和是否一致,就能判断下载的文件是否出错。
MD5亦有应用于部分网上赌场以保证赌博的公平性,原理是系统先在玩家下注前已生成该局的结果,将该结果的字符串配合一组随机字符串利用MD5加密,将该加密字符串于玩家下注前便显示给玩家,再在结果开出后将未加密的字符串显示给玩家,玩家便可利用MD5工具加密验证该字符串是否吻合。
例子:在玩家下注骰宝前,赌场便先决定该局结果,假设生成的随机结果为4、5、6大,赌场便会先利用MD5加密“4,5,6”此字符串并于玩家下注前告诉玩家;由于赌场是无法预计玩家会下什么注,所以便能确保赌场不能作弊;当玩家下注完毕后,赌场便告诉玩家该原始字符串,即“4,5,6”,玩家便可利用MD5工具加密该字符串是否与下注前的加密字符串吻合。
该字符串一般会加上一组随机字符串(Randomstring),以防止玩家利用碰撞(Collision)解密字符串,但如使用超级电脑利用碰撞亦有可能从加上随机字符串的加密字符串中获取游戏结果。随机字符串的长度与碰撞的次数成正比关系,一般网上赌场使用的随机字符串是长于20字,有些网上赌场的随机字符串更长达500字,以增加解密难度。
世界上没有不能被破解的密码,只是成本与效益的平衡问题,没有绝对安全的密码。
2014年12月25日,12306网站用户信息在互联网上疯传。对此,12306官方网站称,网上泄露的用户信息系经其他网站或渠道流出。据悉,此次泄露的用户数据不少于131,653条。该批数据基本确认为黑客通过“撞库攻击”所获得。
撞库可以通过数据库安全防护技术解决,数据库安全技术主要包括:数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。
量子纠缠技术是安全的传输信息的加密技术,与超光速传递信息无关。尽管知道这些粒子之间“交流”的速度很快,但我们却无法利用这种联系以如此快的速度控制和传递信息。因此爱因斯坦提出的规则,也即任何信息传递的速度都无法超过光速,仍然成立。
网络应用中出现的风险有多种,包括口令安全、系统账户权限、数据存储安全、电子邮件安全等问题。“个人网络安全防护,三分靠技术,七分靠意识,要防护这些问题,安全意识的提高不可忽视。最重要的是您有安全意识,比任何技术手段都重要,麻痹大意出事情。
冷静出智慧,在跟骗子斗智斗勇的过程中一般都是被蒙,被吓得智商为零,不让他找到你的软肋;不做亏心事不怕鬼敲门,没有什么大不了的。
大数据时代个人没有隐私,再不重视就是裸奔。
2)、身份证复印件,写上仅XX使用
3)、快递包裹上的单据
4)、网站上注册时的个人信息
5)、个人不用的资料、银行单据销毁
6)、要管理好含有自己隐私的物品。
7)、发现有人披露自己的个人隐私,要依法制止,学会运用法律的武器维护自己的隐私权。
8)、尊重别人的隐私(最重要)
走多了夜路总会碰到鬼
信用卡设置密码,不离开自己的视野,国外信用卡欺诈严重
贪、嗔、痴中贪为三毒之首。
基督教认为人性本恶,生来都有原罪,人性本来就是贪婪的
被骗的人一般符合两个条件:贪婪+无知
苍蝇不叮无缝蛋
“知止而后有定;定而后能静;静而后能安;安而后能虑;虑而后能得。物有本末,事有终始,知所先后,则近道矣。”“物格而后智生,智生而后意诚,意诚而后心正,心正而后身修,身修而后家齐,家齐而后国治,国治而后天下平。自天子以至于庶人,一是皆以修身为本。”
与家人或有经济往来的人事先定义一个暗号,如:数字,变化的日期中的日或月,比如跟财务约好每次用2个数字加当前的天为口令,如今天是2017-05-08,则口令为:XX8,如198,888,788等
开源密码管理软件,密码多了也不好记
1Password(Mac和iOS均有中文、收费,很贵)
LastPass
KeePass(免费,开源,下载地址在博客末尾)
PasswordBox
设置复杂的wifi密码
不连接没有密码的wifi
不随意连接公共,免费的wifi
wifi密码的破解非常容易,可防一般人,防不了高手
卡的类型(换掉磁条卡)
网银工具(U盾比密码器安全)
短信验证码打死不告诉别人
APP与短信手机分开
一类卡、二类卡、三类卡
2016年12月1日起,银行为个人开立银行结算账户的,同一个人在同一家银行只能开立一个Ⅰ类户,已开立Ⅰ类户,再新开户的,应当开立Ⅱ类户或Ⅲ类户。
限制、降低支付额度
承诺高收益低风险的都是骗子,天上不会掉馅饼
现在年化7以上的就要非常小心了
互联网金融如雨后春笋,一个身份证就可以网货,校园贷款,网上赌博。
第一个隐忧是来自于各种套现,其实过去在传统的线下信用支付类产品也一直面临这套现难题,滋生了各种灰色产业,小到黄牛抢购、恶意注册领优惠券,大到代办信用卡、各类贷款、公积金提取等。如今京东白条、支付宝花呗以及各种校园、汽车等垂直细分领域的金融分期消费开始兴起,正是这种分期、赊账的消费方式给了很多不法分子新的可乘之机。
通过语音,暗号确认身份,不轻信他人;文字、图片易伪造。大数据再发展,伪造声音与视频是不难的。
上海信息安全行业协会会长、众人科技创始人谈剑峰指出,如果可以选择,图形开机密码比数字更安全。另外,“在公共场所设置和使用开机密码时,也要注意遮挡,”他补充道。
不要在浏览器中下载软件,这样可以有效避免病毒软件。
在不使用WIFI和蓝牙时要及时关闭,避免信息泄漏。
不要用自己的名字、生日等个人信息设置用户名和密码,这样能有效避免别人猜到信息。
避免平台窃取信息,可以设置一定的规律来记忆不同的密码。
因为有些可能携带病毒造成损失。
因为相较于频繁使用手机的你,他们可能在这方面缺乏防护意识。
因为这样容易导致手机出现安全漏洞,给意图不轨的人以可乘之机。
如不要存像老婆,爸爸,小三,二奶这样的名称,直接写名称如张如花,李刚,等
你睡觉了,还有人没有睡觉,特别是想你的人,想从你那里得点什么东西的人
与钱有关的应用设置成打开就要输入密码
里面可能是木马
随着人工智能与大数据的发展网络安全变得越来越重要。
越来越多的手段可以获得您的敏感信息,安全意识与提高警惕、不贪是防范网络诈骗的基础。
当然没有必要草木皆兵,您如果能按上面的提示加以防范一般不会有问题。
健全的法律、人们不断提高的道德水平是网络安全的基石,从我做起,从现在开始。