近期,饭圈人肉开盒事件闹得沸沸扬扬,不少小伙伴也开始担忧,毕竟每天都在上网冲浪,信息泄露已不是新鲜事,而自己在网上不经意间留下的痕迹很可能成为某日他人刺向自己的“利剑”。
人肉开盒主要依赖社工,也就是“社会工程学”。
而把某个网站整个用户数据库窃取出来的行为,在黑客行话里叫“拖库”。
黑客拖库的方法有很多,最主要的是利用服务器或Web应用的漏洞侵入服务器直接窃取数据,或者通过伪造一个看起来和正常网站页面一样的钓鱼页面,然后吸引管理员进行访问。
拖下来的用户信息数据库一般不会马上公开,而是会在黑色产业链上进行交换和买卖,这在行话里叫“洗库”。
至于“社工库”,即黑客使用各大网站用户的资料数据库搭建的数据库查询平台。
只要你愿意付出等价的货币,开房记录、手机定位、户籍信息、名下车房,甚至支付宝的流水,你都能轻松得到。
这里面最关键的问题是,很多人在不同的网站都习惯用同样的用户名和密码,这就有很大风险,因为不法分子会用拖库里的账户密码尝试登录不同的网站,甚至会尝试登录你的网购账号......
这种用已窃取的账号密码去尝试登录其他网站的操作,叫做“撞库”。
不法分子通过对不同平台上的同一用户名的检索,大概就能描绘出用户的初步画像。下一步,再根据上面的信息去查找社工数据库,继而检索到用户的很多信息。
如何防范,请按照图上的建议做。
