惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
腾讯CDC
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
L
LINUX DO - 热门话题
D
Darknet – Hacking Tools, Hacker News & Cyber Security
Project Zero
Project Zero
V
Vulnerabilities – Threatpost
Cisco Talos Blog
Cisco Talos Blog
P
Palo Alto Networks Blog
C
Cisco Blogs
A
Arctic Wolf
月光博客
月光博客
The GitHub Blog
The GitHub Blog
T
The Blog of Author Tim Ferriss
量子位
小众软件
小众软件
Latest news
Latest news
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Microsoft Security Blog
Microsoft Security Blog
T
The Exploit Database - CXSecurity.com
Security Latest
Security Latest
N
Netflix TechBlog - Medium
K
Kaspersky official blog
人人都是产品经理
人人都是产品经理
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
博客园_首页
Y
Y Combinator Blog
P
Proofpoint News Feed
H
Hackread – Cybersecurity News, Data Breaches, AI and More
M
MIT News - Artificial intelligence
T
Threat Research - Cisco Blogs
S
Schneier on Security
D
Docker
Scott Helme
Scott Helme
MyScale Blog
MyScale Blog
Spread Privacy
Spread Privacy
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
GbyAI
GbyAI
有赞技术团队
有赞技术团队
Google DeepMind News
Google DeepMind News
The Hacker News
The Hacker News
H
Help Net Security
Simon Willison's Weblog
Simon Willison's Weblog
J
Java Code Geeks
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Tenable Blog
B
Blog
Know Your Adversary
Know Your Adversary
IT之家
IT之家

蒲公英

蒲公英 502 了 - V2EX 为什么你的 App 不够完美 ——搜索&文本框篇 - V2EX 你的 App 与完美近在咫尺,相隔的只有这些问题 ——注册登录篇 - V2EX [Bug 管理云] 将你的项目和 Github / Bitbucket 的代码库关联起来! - V2EX 深入浅出 App 端安全漏洞之任意调试漏洞、中间人劫持漏洞及加密算法漏洞 - V2EX Android 开发 APP 端常见安全漏洞解读——敏感信息泄露漏洞 - V2EX 从单独应用扩散到整个行业,问题本质是金融类 APP 的安全 - V2EX 你的 Android HTTPS 真的安全吗? - V2EX 可能比炸机还恐怖, Android 系统 APP 的那些安全隐患你了解吗 - V2EX 蒲公英平台用法的最佳实践(Android 篇) - V2EX Ant 多渠到混淆打包 - V2EX
大选日来临!邮件门阴霾仍未散去,每个人都该检查自己的邮箱,和 APP - V2EX
ZCPgyer · 2016-11-08 · via 蒲公英

今天就是美国的大选日了,在美国人民站队选择给谁投票坏处更少一点的时候,希拉里邮件门事件的阴霾还未散去, WikiLeaks 表示,要把最重磅的消息,留到大选前夕公布,给希拉里最致命的打击。表面上看是全球人民等谁当选,不如说是等谁先倒下,在这期间我们不妨回顾一下整件事情。

2009 年至 2013 年,希拉里在任国务卿期间利用私人电子邮箱和位于家中的私人服务器收发公务邮件,其中包括一些涉及国家机密的绝密邮件。这批邮件一共月 6 万封,在调查开启之前,其中 3 万多封已经被希拉里团队以涉及私人生活为由删除了,只剩下另外约 3 万封邮件可供调查。

2015 年 7 月, FBI 启动对这件事请的调查,然而,这一次的邮件门危机被希拉里糊弄了过去。在接受 FBI 调查时,她不断以“不记得”“不清楚”来回答问题。整整 39 次,当被问及如何保存政府文件、处理涉密信息等相关问题时,希拉里至少有 39 次用“忘记了”“想不起来”来应答。

第二天美国司法部长决定不会对希拉里提出指控。但是——

今年 7 月 22 日之后,就在美国司法部宣布不指控希拉里的两周之后,阿桑奇领导下的 WikiLeaks 公布了希拉里乙方民主党委员会内部约 2 万封的绝密邮件,所有邮件中主要讨论的当然是怎么把希拉里捧上总统宝座。

在这些邮件公布之后,美国人才真正发现,原来希拉里还有那么多各种暗地里的勾当!

就算是吃瓜群众,也都意识到,如果你们党内的邮件都有这么多黑料的话,那你删掉的那 3 万封绝对不能给外人看的邮件里,究竟有什么?

就在这牵一发而动全身的关键时刻,希拉里的竞选团队主席 John Podesta 点开了一封来自黑客的钓鱼邮件,泄露了自己的密码,这也就意味着, Podesta 的邮箱已经毫无秘密可言了,黑客已经把他的邮箱翻了个底朝天。对于如此重视电子邮件交流的美国,这无异于在大街上裸奔,更何况当事人是时下总统竞选人旗下的军师级人物。

随后,从今年 10 月 9 日开始, WikiLeaks 开始逐渐公布 Podesta 的邮件,邮件中一些黑暗邪恶的内容让整个美国更加人心惶惶。 10 月 29 日, FBI 也宣布重启了对希拉里的调查,虽然在当地时间 11 月 6 日 FBI 又突然决定不建议对希拉里提起诉讼,但这期间的舆论纷争无疑对希拉里团队是一个不小的打击。

那么,黑客究竟是如何通过钓鱼邮件获取这些机密信息的呢?

首先我们得先了解一下什么是钓鱼邮件,维基百科中是这么解释的:钓鱼式攻击( Phishing ,源自 Phone + Fishing ,与英语 fishing 发音一样;又名网钓法或网络网钓,以下简称网钓)是一种企图从电子通信中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程……网钓通常是通过 e-mail 或者即时通信进行。它常常导引用户到 URL 与接口外观与真正网站几无二致的假冒网站输入个人数据。

那么我们就可以推测出, Podesta 可能就是点开了来自黑客邮件中的某个伪装后的链接,进入了仿冒的登录页面,输入了自己的邮箱密码,从而将自己的邮箱拱手送给了黑客。只因为在错误的时间点击了一个错误的链接,就让整个美国甚至全世界的下巴惊到了地上,除了让大家感慨“你们美帝精英阶层真会玩”之外,网络安全的问题也引发了人们的密切关注。

在美国,电子邮箱对各个阶层来说都是一个使用频繁的工具,所以很多攻击可以通过电子邮箱进行,在中国来说,电子邮箱的使用频率没有美国那么高,但要知道,大家平常经常使用的手机 APP 上也是有类似的漏洞存在的。

以 Android 系统为例,由于其高度的开放性和可定制性,系统的漏洞和各种 APP 的漏洞就会给予黑客可乘之机,在一个有漏洞的 APP 中,可能是一个广告,可能是一个按钮,可能是一个弹窗,邮件钓鱼还需要你手动去输入密码等关键信息,但在 APP 中,一个简单的点击动作就有可能将你手机里的信息暴露给黑客。

很多人会说,这些政坛人物对黑客来讲本身就是非常有价值的目标,这些高端的黑客攻击跟我们平民大众可没什么关系,那蒲公英可要说,这种想法真的是大错特错了。黑客选择攻击对象时,一般会考虑两种类型,一种是如政客、明星等具有攻击价值的个人,一种就是某类具有攻击价值的群体,我们大多数人其实属于第二种类型,只是你可能还没有发现而已。那些骚扰和诈骗的电话、短信中,电话那头的人可以脱口而出你的真实姓名和工作单位,这些信息他们可不是凭空猜到的,正是从黑客那里以及其便宜的价格买过来的,一次购买的个人信息数量可以达到数万条甚至数十万条,这就是我们普通大众对于黑客的价值,我们可能就是那被拿到黑市上售卖的数十万分之一。

那么,是不是目前网络上就没有安全可言了?

其实,只要有合理的预防和保护意识,以上这些问题是完全可以规避掉的,蒲公英为大家总结了一下几点:

  • 千万不要响应要求个人金融信息的邮件

  • 检查你所访问地址是否正确,有没有字母 O 被替换为数字 0 等情况

  • 检查地址栏中的地址。如果你访问的站点是一个安全的站点,它应当以 https:// 开头,而不是通常的 http://

  • 不要点击链接,通过在浏览器地址栏键入域名或 IP 地址等方式访问需要敏感信息的站点

对于 APP 中可被黑客用来钓鱼的漏洞来讲,除了在开发过程中要考虑的事无巨细以外,开发完成后的安全性测试也是必不可少的,这里推荐蒲公英专家测试推出的安全性测试,对 APP 的客户端、通信层、服务端进行全方位的检查,让用户对 APP 更加放心。

蒲公英安全测试,您 APP 的质量守护神。