网络信息安全
录入:胡长生   建立时间: 2018-06-22  

根据中国互联网络信息中心发布的报告显示,截至到2012年6月底,中国的网民数量已经达到5.38亿,是15年前的867倍,互联网的普及率已达到39.9%。互联网的高速发展使得网络已经融入到大多数人们的生活、学习之中,然而人们在享受互联网带来便利的同时,也深受个人信息泄露之苦。虽然倒卖网站用户数据早已形成了一个完整的黑色产业链,但此前一直并未受到厂商、普通用户的重视。直到去年以CSDN、天涯等大型网站为代表的泄密门事件被爆出后,才引起了人们广泛的关注。

用户信息泄露途径

一、网站泄密

现在许多网站、论坛都需要用户注册账号后才能正常使用。因此,每个网民拥有多个账号是很平常的事情。在注册时,网站一般都需要填写一些个人信息,如常见的账号、密码、邮箱等,像一些电子商务、婚恋、交友网站等还需要实名认证,要求填写的信息更加详细。网站上的用户数据主要通过三种方式泄露:

1.黑客利用网站存在的安全漏洞入侵网站,盗取用户数据库

当前国内大部分网站都存在不同程度的安全漏洞,这些漏洞轻则会影响网站正常运行,重则会导致网站服务器沦陷,网站机密数据遭到泄露,去年CSDN、天涯等大型网站就是因为网站存在安全漏洞导致用户数据被黑客盗取。

大型网站如此,一些中、小型的网站、论坛更是存在许多安全漏洞,一个熟练的黑客可以在很短的时间内入侵一个普通网站,窃取到网站的机密数据。

2.网站内部工作人员倒卖用户信息

一些网站、论坛的工作人员因为工作性质可以接触到大量用户资料信息,其中一些不法之徒便通过倒卖网站用户数据来牟利,目前已经发生过多起这样的案例。

3.通过撞库攻击,窃取用户数据

现在基本每个网民都拥有多个账号,其中很多人为了方便记忆,多个账号使用的都是同一密码。这样做导致的后果就是一旦某一账号密码泄露,很可能导致用户的其他账号也被盗。

黑客运用手中拥有或互联网上公开的用户数据库去尝试登录用户注册的其他网站,如果使用的都是同一密码,这样就很容易中招。这样的攻击手段被形象地称为”撞库“攻击。

二、社交、聊天工具泄密

现在许多人都热衷于使用社交网站和网络聊天工具,并且在上面公布了自己的详细信息。如果权限设置不当,个人信息很容易被别有用心的人窃取。

三、利用社会工程学手段盗取用户信息

社会工程学攻击是一种通过对被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱所采取的诸如欺骗、伤害等危害手段,进而获取自身利益的手法。它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。

四、利用钓鱼攻击窃取用户信息

钓鱼攻击是指网络不法分子通过钓鱼网站实施的一种网络欺诈行为,它其实属于社会工程学的一种。这里把它单独列出来是因为近年来钓鱼攻击整体呈现上升趋势,其危害已经超过此前肆虐的挂马网站,很多用户都受到过钓鱼攻击的危害。

其中针对网上银行、大型电子商务网站、社会上的热点事件进行钓鱼攻击的比例较大,在一些重大节假日时钓鱼网站的数量明显增加。

五、通过木马、病毒窃取用户隐私信息

黑客利用木马盗取用户的账号、密码,远程控制用户电脑窃取隐私早已不是什么新鲜事了,如多年前的”灰鸽子“就是一款非常著名的远程控制木马,利用它,黑客可以完全控制对方的电脑,这时用户在攻击者面前已经毫无隐私可言了。

利用钓鱼攻击窃取用户账号信息实例

现在我们通过在本地搭建一个钓鱼网站程序来具体分析下钓鱼网站是如何窃取用户账号信息的。

上面是笔者刚搭建的中国银行的钓鱼网站,如果将这个网站的URL发送给目标用户,通过社会工程学或其他技术手段诱使用户在该页面登录自己的网上银行。一旦用户在这个页面输入了自己的网银账号信息,点击登录按钮后,这时并不能成功登录自己的网上银行,而是将自己的网银账号信息发送到黑客指定的后台中了。

这样用户的网银账号信息就被盗取了,整个获取账号信息的过程其实非常简单,只要找一套钓鱼程序即可,难点在于如何让用户相信这个就是真的网站,诱使其输入自己正确的账号信息。

用户信息安全防护

对于个人用户来说,如何合理保护自己的个人信息不被泄露是很多人关心的问题。我们可以从以下几个方面来做,最大程度地避免个人信息的泄露,把潜在的风险和损失降到最低。

1.提高自己的安全意识,这一点非常重要。

2.为账号设置足够复杂的密码,一定不要使用类似”123456“,”password“之类的弱口令作为密码。这样的密码非常容易被人猜到和暴力破解,还有密码中尽量不要包含生日、手机号之类的个人信息。

3.如果有多个账号,请为这些账号设置不同的复杂密码。

4.现在每个人都会拥有多个账号、密码,这样就很容易忘记或记错密码,给使用带来不便。可以将密码加密,保存在加密软件中。

5.尽量不要在公共场所或他人电脑上登录网站,尤其是像网银、电子商务类网站这样非常重要的账号。

6.不要轻易接收、打开别人发来的文件、邮件等。

7.不要随便在互联网上泄露自己的个人信息。

8.安装安全防护软件,定时扫描电脑,并及时升级病毒库。

总结

笔者认为对于如何保护用户的个人信息不受侵害,需要从三个方面来做:

首先,需要建立完善的法律、法规,通过法律的手段来保护用户个人信息。2012年12月28日,十一届全国人大常委会第三十次会议通过了《全国人大常委会关于加强网络信息保护的决定》。《决定》规定:“任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。网络服务提供者和其他企业事业单位有保护个人电子信息的义务。政府有关部门及其工作人员对在履职中知悉的公民个人信息同样负有保密和保护义务。”

其次,网络服务提供商需要提高安全意识,加大网络安全方面的投入。目前的现实情况并不乐观,除了一些大型的互联网、安全公司,其他公司对网络安全的认识和重视程度还远远不够,这也是许多网站存在安全漏洞的一个原因。

最后,用户要养成良好的上网习惯,提高安全意识,尽量较少的公开自己的个人信息,以免给自己带来不必要的损失。