我一直很擔心所使用服務的安全性。我更加擔心,因為最近越來越多地發生安全漏洞,並且它們總是在媒體中產生很多噪音。
現在,我已經在嘗試最大程度地保護帳戶安全盡可能使用2FA,例如使用強大的密碼管理器。但是,這些措施無法針對安全漏洞提供保護。
是否存在某種可靠的方法可以在安全漏洞宣布之前對其進行檢測,以便我可以採取行動而不必採取任何措施? >
可選的獎金問題:如果發生意外的洩露,我可以採取哪些步驟來確保數據的安全性?
我一直很擔心所使用服務的安全性。我更加擔心,因為最近越來越多地發生安全漏洞,並且它們總是在媒體中產生很多噪音。
現在,我已經在嘗試最大程度地保護帳戶安全盡可能使用2FA,例如使用強大的密碼管理器。但是,這些措施無法針對安全漏洞提供保護。
是否存在某種可靠的方法可以在安全漏洞宣布之前對其進行檢測,以便我可以採取行動而不必採取任何措施? >
可選的獎金問題:如果發生意外的洩露,我可以採取哪些步驟來確保數據的安全性?
您無法100%地確定它,因為並非所有竊取您數據的人都想釣魚或出售您。但是對於那些確實想要釣魚的人-這是其中的大部分 -您可以應用一些技巧。
在大多數地方,您不能提供虛假的詳細信息。您需要輸入姓名,實際地址,信用卡信息,社會保險號等。您對實際詳細信息的控制並不多。
但是,您要做的事情擁有控制權是您的電子郵件地址。即使您的其他詳細信息要求合法,您仍然可以出於任何原因向任何人提供虛擬電子郵件帳戶。
我們將此稱為 REAM 。我喜歡REAM。
這就是我的工作:我購買了幾個域並創建了無數個電子郵件地址,然後為我擁有帳戶的每個網站使用不同的電子郵件地址。我還使用Gmail,Yahoo等。
購買2-3個合理的域名,並為帳戶提供合理的唯一名稱,例如 michael.duncan2017@mysitex.com
, jtrounders2020@heysitey.com
等。您也可以使用免費的電子郵件提供商,但是必須反复輸入您的電話號碼可能會給您帶來一些問題。
這是很多工作,但從長遠來看是有回報的。當詢問您在零售商處的電子郵件地址時,請給他們其中一封電子郵件,並僅將其用於他們。確保每個電子郵件地址僅使用一次。在您的錢包中攜帶一個電子郵件地址列表。
現在為什麼我們要檢測網絡釣魚,而不是將其發送到垃圾郵件文件夾?因為對這些電子郵件進行網絡釣魚企圖可能表明存在違規行為。
我發現,出於令人驚訝的規律性,甚至沒有將我的電子郵件地址提供給除第一封電子郵件之外的其他公司,我得到了定期對每個帳戶進行釣魚。實際上,我已經看到了數十種此類違規行為。
以下是我發現的一些著名的網絡釣魚攻擊的一小部分:
在大多數電子郵件中,攻擊者的英語通常不正確。在某些情況下,他們沒有。他們還將在提供的地址附近搜索一個位置,並說他們有工作機會,等等。
在某些情況下,我什至會收到與他們在相同區號的電話!在沃爾瑪購買刻錄機電話並將其設置為與受害者相同的區號實際上非常容易。如果您足夠聰明,而且他們在同一個國家/地區,那麼您可以迅速帶領他們走到該死的道路上。
在幾乎每種情況下,他們都試圖讓我點擊受感染的網站。無論如何,我都會去那裡(顯然是在虛擬+虛擬機上),因為我是一個受虐狂的安全研究人員,他對逆向工程惡意軟件感到反感,並使攻擊者受苦。遭受凡人的痛苦,因為您可憐的魔法出賣了您!但是,您可能不想訪問它們。
有些人想嘗試使用多個電話號碼。我不會這樣做。它既不可靠也不有效,原因是:
因此,REAM比這更好。 / p>
我想我們可以稱其為 PEAM 。
其他人建議使用加電子郵件地址方法。 Gmail支持此功能。例如,如果您的電子郵件地址為 herpyderpyderp100@gmail.com ,則建議改用 herpyderpyderp100+pizzahut@gmail.com 。 Google顯然會放棄電子郵件地址的正號。
使用此方法可能會有很多好處。但是,這些理由中很少有(如果有的話)適用於實際熟練的網絡釣魚者。我不建議使用此方法,因為它可能僅適用於普通垃圾郵件發送者,而不是實際的熟練的網絡釣魚者。原因如下:
可以輕鬆地用代碼規避此方法。我將演示:
List<String>可能是IntelligentTargetList = new List<String>(); foreach(emailAddressCollection中的字符串電子郵件){//我們可能已經發現了一個if(email.Contains(“ +“)){//忽略加號的電子郵件地址字符串realEmailAddress = email.Split(” +“)[0] +” @“ + email.Split(” @“)[1]; //仿冒用戶的實際電子郵件地址。 PhishUser(realEmailAddress); //將他們提供的電子郵件添加到新列表中,以便以後可以分析IntelligentTargetList.Add(email); } else {PhishUser(email); }}
當然,這可以做得更好,但這是一個簡單的例子,說明這樣做很容易。編寫此代碼只花了0.05毫秒。
使用上面的代碼段,電子郵件地址的正號被丟棄了。現在您如何知道違規行為的來源?因此,我建議您進行 REAM 。
bmargulies 提出了一個有趣且非常好的觀點:您的數據有時可能會出現在Deep Web上。但是,此信息通常是出售的。
雖然是的,但有可能通過訪問Deep Web或使用身份保護服務在發現違規之前將其檢測出來,這種方法也有其缺點。在使用Deep Web時,我會看到一些問題:
如您所見,這裡每種方法都有很多優點和缺點。沒有一種方法是完美的。不可能100%完美。
這種方法不僅可以檢測對公司的違規行為。它檢測對個人的破壞。您可能會發現,在給某人您的電子郵件地址後,他們會在幾個月後向您發送網絡釣魚攻擊。
如果您有強烈懷疑您的敏感信息已被盜,您應該執行以下操作:
對於主要問題,我建議 Mark Buffalo的答案。
對於獎金問題,我的信用卡公司為我提供了一個虛擬的信用卡服務,稱為ShopSafe。其他信用卡公司提供了自己的虛擬信用卡服務,這些服務將具有不同的名稱和詳細信息。這是ShopSafe的功能。
我可以使用其Web門戶在幾秒鐘內隨意創建虛擬信用卡。我可以選擇信用額度和有效期。使用此虛擬信用卡的所有費用都將顯示在我的常規信用卡賬單上,就好像是針對我的常規信用卡一樣。我可以查詢特定虛擬信用卡的費用。
當我需要提供信用卡信息時,我將創建一個具有選定信用額度和有效期的虛擬信用卡。如果我在10月購買了100美元的商品,則信用額度為100美元,而該卡將在11月過期。如果該網站被破壞,則很可能是我的信用卡信息已過期。這涵蓋了大多數用例。
另一個用例是我的運輸通行證。我有一張公交通行證,可讓我乘公交車和地鐵。我已經為運輸代理商提供了虛擬信用卡。每當我的公交通票跌至20美元以下時,他們都會自動重新加載(通過為我的虛擬信用卡充值)。
我給運輸代理公司提供了500美元限額的虛擬信用卡,有效期為12個月,因為希望該卡自行自動重新加載。 (當我跑步時,我不想花時間在公交通票上加錢。)
ShopSafe會記錄第一個使用虛擬信用卡進行收費的商家。其他商戶隨後產生的費用將自動被拒絕。如果違反了運輸公司的規定,我的虛擬信用卡將不會過期,並且會剩下信用額,但是黑客仍無法對其進行收費。除運輸公司外,沒有人可以使用該虛擬信用卡收費。
沒有虛擬信用卡:如果您沒有虛擬信用卡,則可能使用相同的信用卡號進行所有購買。如果某個站點被破壞(即使您知道),您可能會選擇不取消該卡,因為這會破壞其他所有內容。相反,您可能會依靠信用卡的欺詐擔保。由於黑客在您的卡上添加了虛假費用,因此您對此提出異議。信用卡公司要承受財務風險。
因此,虛擬信用卡主要可以為您的信用卡公司帶來收益。如果他們不提供給您,他們的頭會滿是石頭。
Facebook抓取了流行的pastebin類型的網站,黑客在其中發布盜竊的登錄信息並檢查其用戶的帳戶信息。您可以執行相同的操作(針對您的各種電子郵件地址或信用卡號),儘管這會花費很多工作!
為此,我們監視選擇的不同“粘貼”網站以竊取憑據,並監視有關大規模數據洩露的報告。我們收集已公開發布的被盜憑證,並檢查它們是否與被盜電子郵件和密碼組合匹配在Facebook上使用的相同電子郵件和密碼
https:// www.facebook.com/notes/protect-the-graph/keeping-passwords-secure/1519937431579736
我喜歡Mark Buffalo的REAM方法,但實際上,對於大多數人來說,它太麻煩了,因此,我將提供一個更好的選擇:加地址(又稱地址別名,虛擬身份)。
您可以擁有一個帳戶,但可以擁有多個電子郵件地址,而不是創建多個電子郵件帳戶。最好的消息是,如果您使用Gmail,則已經擁有了所需的一切。
假設您的電子郵件為 johndoe@gmail.com
,並且您想將電子郵件提供給SomeCompany。
您可以提供 johndoe + somecompany@gmail.com
,它將被路由到您的帳戶-忽略 +
之後的所有內容。
某些網站不允許您使用地址中的 +
。隨時讓他們知道他們違反了 RFC5322第3.2.3節,互聯網警察會來對他們進行罰款。如果由於某些原因他們不相信您,您將不得不訴諸更多...
為他們提供 jo.hndoe @ gmail.com
-仍然是相同的地址(就Google的服務器而言)。如果您知道如何使用二進制進行計數並收到一封包含11個字符的電子郵件,則可以通過這種方式獲得1024個不同的地址。
您可能還需要在自己的域名上投資幾美元,關於進出口的書和一些咖啡因。實際上很多。然後,除了 plus 尋址之外,您還可以進行減尋址,乘尋址,美元尋址或任何適合您的尋址
好了,你總是可以花錢去打擾它。我會建議自己,但是這可能違反某處規則。
如果您足夠老,可以欣賞老式電子郵件客戶端的舒適之處,則可以在與聯繫人聯繫時使用虛擬身份擴展名生成一個新的隨機地址。
請讓數十個騙子
一些特別聰明的傢伙實際上寫了一個解析器,認為解析器 johndoe+somecompany@yourdomain.tld
實際上是 somecompany@yourdomain.tld
。真是個天才。
如果您足夠精明,可以在地址上使用加號,可以公平地說您不會陷入大規模欺詐活動,因此編寫解析器來解決這個問題很可能是浪費
當然,這並不是說,如果您是一個高價值的目標,就不會有針對性的目標。如果您對此感興趣,請使用您自己的域。地址的解析方式完全由MTA決定,因此發件人無法真正知道應該解析的內容。
您可以付費購買各種“身份保護”服務。除其他事項外,他們會在黑暗的網絡中瀏覽您的電子郵件,信用卡等。OPM臀圍中暴露的每個人都免費獲得其中之一。如果您真的很擔心,您可能會決定其中之一值得您付出代價。
但是,我對這裡其他答案中的電子郵件地址感到有些困惑。避免網絡釣魚並不難。我從來沒有見過網絡釣魚電子郵件,甚至甚至一時威脅要誤導我。很久以前,我放棄了保護電子郵件地址的工作;我發現Google正確地將99%的網絡釣魚郵件夾在了垃圾郵件文件夾中,其餘的如上所述,並不難發現。您更大的擔心是,一些白痴沒有通過PCI測試並洩露了您的信用卡號。您可以整天發明電子郵件地址,但對這些情況無濟於事。