9 月 8 日消息 9 月 6 日晚,萬茜知乎賬號點贊了郁可唯和寧靜的惡評,引起網友熱議。IT之家了解到,該惡評稱,郁可唯和寧靜兩個人都挺煩的,寧靜是黑洞,能讓身邊的王者不敢發光,只想自己發光。
隨后萬茜解釋稱被盜號,并向波及到的姐姐們表示歉意。
對此,阿里巴巴安全部 @知安局 在知乎回答如何看待此事時表示,萬茜通過盜號聲明,把鍋安排給了盜號者和知乎的程序猿。只要平臺沒有明顯的漏洞,盜號的概率是非常低的,查詢登錄日志就可以快速判斷是否被盜。
阿里巴巴安全部稱,一個賬號的核心安全屬性主要是兩個,即登錄設備和 IP 地址。經常登錄的設備和 IP,一般會被平臺默認為可信設備及地址。因此,判斷一個賬號是否被盜,只需要看這個賬號在自己未知情況下,是否在非可信設備和 IP 地址下登錄了。這個可以快速的從后臺的賬號登錄日志里查詢到。
那不法分子一般是怎么盜號的呢?主要有兩種方式:
第一種是通過無差別撞庫的形式,去盜取用戶的賬號和密碼。這種方式的特點是目標不明確,通常是批量性地去撞庫一批賬號,然后找到其中可用來盈利的賬號。
第二種是不法分子通過詐騙的方式誘導用戶登錄在他們提供的設備上或騙取用戶的賬號密碼及短信驗證碼。比如,有些不法分子聲稱掃碼可領紅包,對于安全意識比較低的人群而言,掃碼確認的時候,就已經在不法分子手里的設備上登錄了。
對于這些賬號攻擊行為,互聯網平臺都會設置安全防護措施。比如,針對第一種撞庫行為,平臺可以通過設置風控模型,把絕大部分可疑的流量擋在平臺外面,這種情況可疑篩選掉大部分的惡意賬號攻擊行為。對于第二種,大部分互聯網公司都會在業務策略層面實行 “非可信驗證”。
阿里巴巴安全部還提供了一些小 tips,教大家如何保證自己的賬號安全:
賬號密碼的復雜度盡量高一些,不要設置弱口令,最近涼山州中考志愿填報系統被學生攻破就是教訓;
不要在不常見的網站上登錄自己的微信、微博及支付寶等賬號,否則很有可能被這些網站采集到賬密;
不同平臺的賬號,不要使用同一個或相近密碼,否則被撞庫的可能性很大;
手機短信驗證碼不要透露給其他人,尤其是陌生人;
不要把賬號借給不熟悉的人使用。
關鍵詞:
