楔子
日剧 dele 中有一个桥段,
圭司问祐太郎:’你知不知道,想要进入黑进数字世界的某个空间,需要的是什么?’
多数人都以为是技术或是知识,
但这只是一部分,更重要的是社交能力和随机应变的能力。
精于人性弱点与黑客技能的骗子是最可怕的。By:evilcos
原则
黑暗森林法则
“每个文明都是带枪的猎人…”
这是其实是老话重谈了.
互联网信息传播的非对称性导致了很多情况的产生,
最经典的例子是各种黑产们的诈骗电话之流。每当接到这种电话时,
人心中常常存有疑问,自己的隐私数据到底是如何泄露出去的。我在这里简单的分成两类,请诸位参考:
一类是对信息控制失效导致的泄露
这一类的例子主要分为端控制失效和管道控制失效。
端控制失效比较常见,例如个人的信息泄露。
当信息的价值被忽视的时候,这种信息泄露有时候是毁灭性的。
举个栗子,你去办会员,要求提供身份信息(例如身份证,银行卡复印件)。
这时候很多人在利益的驱使下(内心 OS:这便宜我不占就亏了)乖乖奉上,
这就给人可乘之机,盗用身份,恶意推销甚至更恶劣。而注明专件专用就能有效规避风险。管道控制失效相对来说少见但是风险更大,同时个人往往难以招架。
经典例子就是各种数据泄露,这个讲实话个人很难控制。
首先是泄露途径,各方面都有可能:业务漏洞,平台漏洞,内部泄密,外部入侵…
诸如此类实在太多。其次就算你经常改密码,但是只要他能获得你的关联账号和个人信息,
依旧能干掉大多数防御机制。
举例:利用社工库旧密码+密保问题重置账号密码。另一类是基于公开信息研究和社会工程学的结合
有人讲这不就是蒙么。我觉得还是有点区别的。
是人就有弱点,一部分基于行为心理学 + 部分信息收集
有时能形成完整的打击链路。
钓鱼如此,鱼叉…水坑也是如此。吾日三省吾身
所以说,无论再好的密码和防护措施,都不如日常对策略的检查来的实际。
可以从这几个方面思考:- 攻击我的所需成本几何?(攻击成本,反制措施,潜在价值)
- 一旦我被控制,有哪些数据/权限会泄露,最坏的可能是什么?
- 如果我是黑客,我能从哪方面下手?
- 是否存在应急预案?
如果不能控制熵增,那么就改进流程
- 生产环境运行仅可信来源的软件,设备,及时更新安全策略和补丁。做好隔离。(不确定的统统扔虚拟机)
- 有必要的话,建立多个身份档案,统一管理,限制活动区域。(分割身份,避免追踪)
- 定期擦除设备,有必要的话建立分析手段(镜像出来,避免被探测)
技巧
- 善用工具:
Tor,VeraCrypt,密码管理软件(Bitwarden)强推,
Firefox 新版(内置内容拦截和密码泄露验证)。
以上工具可以使用移动版,避免留下注册表痕迹 。 - 不要以为VPN等绝对安全,控制流量出口控制一切。
- 系统入侵不可完全规避,重要数据不上网,控制拷贝。
- 任何时候记得评估行为的危害,三思而后行。
最后还是那句话:Be safe,have fun.
EOF.