论文部分内容阅读
Croll入侵Twitter
Hacker Croll首先是建立一个目标公司的简历,Twitter就是这样沦为他的攻击目标。他编制了一个员工公司岗位和他们相关电子邮件地址的列表。在基本信息汇总完毕后,Croll为他的每一位员工用他们的生日、宠物姓名等信息建立了一个小型档案。这些档案建立完毕后,他只是挨个去敲门,直到有人相信他。当他为Twitter员工的私人Gmail邮箱实施密码恢复流程后,问题就这样发生了。Croll发现与这名员工Gmail关联在一起的次级账户是一个Hotmail邮箱。问题是Hotmial邮箱由于始终处于静止状态,已经被删除和重复再用——这也是Hotmail长期实行的政策。如今,Hacker Croll所有要做的事情就是为他自己重新注册Hotmail邮箱,返回,然后恢复Gmail密码,Gmail会将密码重设信息直接发送到犯罪分子重新激活的邮箱当中,但是事情到此并没有结束。Gmail会要求Hacker Croll重新设置Twitter网站上员工的私人电子邮箱密码,然后Hacker Croll就按照该程序执行。但是如今原来的用户被他们自己的邮箱账号拒之门外,邮箱被标注上明显的红色小旗作为警告。因此Croll所做的就是搜索Gmail本身的邮箱账号,查找此人其他活动服务的密码。然后键入他所发现的常用密码,看看邮箱主人是否在正常使用他们的邮箱。目前Croll从屏幕背后访问Gmail邮箱,还能访问未经发现的信息。为了让使用起来更加方便,Twitter的员工通常在他们的业务邮箱和私人邮箱中使用同样的登录密码,因此黑客就可以轻而易举地入侵这两个邮箱。你会受到同样的攻击吗?
令人担忧的是Croll使用的方法可能在每个人身上都会发生。笔者检查了自己的谷歌邮箱,发现自己也暴露在Twitter员工同样的安全风险之下。笔者很久以前就注册了Gmail账号,已经忘记了所有二级电子邮件地址的信息。就像Twitter的员工一样,和Gmail关联的二级电子邮件处于休眠状态,可能会被任何人重新注册。一切都改变了。笔者在自己的电子邮件中搜索用过的密码,困惑的是反馈回来很多结果。使用你最常用的密码在你的电子邮箱中进行搜索,看看结果会是什么。你可能会感到十分意外,但是黑客可能会有各种方法来获取你的信息。你曾经在Twitter这样的公共服务网站上收到过生日贺卡吗?你曾经向别人透露过电话号码或者任何其他信息吗?你的社交网站上有哪些信息?你的MySpace和Facebook账户关闭了吗?或者任何人都可以在这些社交网站上通过搜索找到你吗?你的Facebook网页上有你的生日、你曾经上过的学校名称吗?你父母的姓名(这是一个常见的安全提问)会通过你的社交网站账户被发现吗?你使用的其他服务都是什么?如果你认为被人发现这些信息的可能性不大,那么在你所谓的"Deep Web"搜索引擎上搜索你自己的信息,看看会发生什么。你可能会发现连你自己都完全忘记的网上账户。
类似的电子邮件安全
多数电子邮件服务使用的都是类似的密码恢复方法。Hotmail和Gmial几乎完全一样。雅虎的邮箱甚至更加简单,因为如果你告诉雅虎你无法访问你的二级电子邮件账号,你只需回答一个秘密问题即可。在笔者对雅虎电子邮箱恢复网页的测试中,笔者发现似乎你可以有无数次尝试的机会去猜测雅虎电子邮件提问的秘密问题的答案。AOL Mail也好不到哪去,因为你可以选择键入你的二级电子邮件或者键入你确切的生日外加文件的Zip代码即可。Zip代码对于一些人可能很难攻破,但是并非完全没有可能。如果你发现你暴露在Twitter这样的漏洞风险之下,就把它当做是你的叫醒电话吧。你必须定期检查你的各种电子邮箱的安全设置,以便这些安全信息还在你的控制之列,因为这些信息可能是你在很久以前输入的,很容易被遗忘。要注意与你初始电子邮件地址关联的二级电子邮件账户,对于安全提问设置一个只有你知道的答案,定期更换你的密码,无论是自行更改还是通过GRC或者strong Password Generator这样的工具来随机产生密码。不要只使用一到两个密码,使用Clip-perz、KeePass或者Yubic这样的密码管理器来记住你替换的密码信息。但是最重要的是,在你自己的电子邮箱中搜索你使用的最常见的密码,然后删除这些信息。
来源:“安全在线”
Hacker Croll首先是建立一个目标公司的简历,Twitter就是这样沦为他的攻击目标。他编制了一个员工公司岗位和他们相关电子邮件地址的列表。在基本信息汇总完毕后,Croll为他的每一位员工用他们的生日、宠物姓名等信息建立了一个小型档案。这些档案建立完毕后,他只是挨个去敲门,直到有人相信他。当他为Twitter员工的私人Gmail邮箱实施密码恢复流程后,问题就这样发生了。Croll发现与这名员工Gmail关联在一起的次级账户是一个Hotmail邮箱。问题是Hotmial邮箱由于始终处于静止状态,已经被删除和重复再用——这也是Hotmail长期实行的政策。如今,Hacker Croll所有要做的事情就是为他自己重新注册Hotmail邮箱,返回,然后恢复Gmail密码,Gmail会将密码重设信息直接发送到犯罪分子重新激活的邮箱当中,但是事情到此并没有结束。Gmail会要求Hacker Croll重新设置Twitter网站上员工的私人电子邮箱密码,然后Hacker Croll就按照该程序执行。但是如今原来的用户被他们自己的邮箱账号拒之门外,邮箱被标注上明显的红色小旗作为警告。因此Croll所做的就是搜索Gmail本身的邮箱账号,查找此人其他活动服务的密码。然后键入他所发现的常用密码,看看邮箱主人是否在正常使用他们的邮箱。目前Croll从屏幕背后访问Gmail邮箱,还能访问未经发现的信息。为了让使用起来更加方便,Twitter的员工通常在他们的业务邮箱和私人邮箱中使用同样的登录密码,因此黑客就可以轻而易举地入侵这两个邮箱。你会受到同样的攻击吗?
令人担忧的是Croll使用的方法可能在每个人身上都会发生。笔者检查了自己的谷歌邮箱,发现自己也暴露在Twitter员工同样的安全风险之下。笔者很久以前就注册了Gmail账号,已经忘记了所有二级电子邮件地址的信息。就像Twitter的员工一样,和Gmail关联的二级电子邮件处于休眠状态,可能会被任何人重新注册。一切都改变了。笔者在自己的电子邮件中搜索用过的密码,困惑的是反馈回来很多结果。使用你最常用的密码在你的电子邮箱中进行搜索,看看结果会是什么。你可能会感到十分意外,但是黑客可能会有各种方法来获取你的信息。你曾经在Twitter这样的公共服务网站上收到过生日贺卡吗?你曾经向别人透露过电话号码或者任何其他信息吗?你的社交网站上有哪些信息?你的MySpace和Facebook账户关闭了吗?或者任何人都可以在这些社交网站上通过搜索找到你吗?你的Facebook网页上有你的生日、你曾经上过的学校名称吗?你父母的姓名(这是一个常见的安全提问)会通过你的社交网站账户被发现吗?你使用的其他服务都是什么?如果你认为被人发现这些信息的可能性不大,那么在你所谓的"Deep Web"搜索引擎上搜索你自己的信息,看看会发生什么。你可能会发现连你自己都完全忘记的网上账户。
类似的电子邮件安全
多数电子邮件服务使用的都是类似的密码恢复方法。Hotmail和Gmial几乎完全一样。雅虎的邮箱甚至更加简单,因为如果你告诉雅虎你无法访问你的二级电子邮件账号,你只需回答一个秘密问题即可。在笔者对雅虎电子邮箱恢复网页的测试中,笔者发现似乎你可以有无数次尝试的机会去猜测雅虎电子邮件提问的秘密问题的答案。AOL Mail也好不到哪去,因为你可以选择键入你的二级电子邮件或者键入你确切的生日外加文件的Zip代码即可。Zip代码对于一些人可能很难攻破,但是并非完全没有可能。如果你发现你暴露在Twitter这样的漏洞风险之下,就把它当做是你的叫醒电话吧。你必须定期检查你的各种电子邮箱的安全设置,以便这些安全信息还在你的控制之列,因为这些信息可能是你在很久以前输入的,很容易被遗忘。要注意与你初始电子邮件地址关联的二级电子邮件账户,对于安全提问设置一个只有你知道的答案,定期更换你的密码,无论是自行更改还是通过GRC或者strong Password Generator这样的工具来随机产生密码。不要只使用一到两个密码,使用Clip-perz、KeePass或者Yubic这样的密码管理器来记住你替换的密码信息。但是最重要的是,在你自己的电子邮箱中搜索你使用的最常见的密码,然后删除这些信息。
来源:“安全在线”