安全管理的六个维度(安全防线)

保卫钱包

病毒、钓鱼网站、P2P投资陷阱等针对网友钱包的恶意攻击层出不穷,且时不时换个花样忽悠。本栏目专门扒皮,教大家保卫自己的钱包!微博求助:http://weibo.com/cdx1983。

免费试用的套路是“自动扣费”

免费试用是许多APP送的一项福利,不过如果体验姿势不对,福利就变成陷阱了,有苦说不出哟!这到底是怎么回事?其实,说白了就是用免费试用福利吸引人使用APP ,等福利期一过就开始自动扣费,有读者就被套路了。

读者“鹤舞翯”下载了一个阅读APP,该APP可以免费阅读10本VIP书,但要享受这项福利需要绑定了支付宝账号,没有犹豫他就按照提示进行了绑定,并顺利看到了网上要收费的VIP书,免费看哟!不过等到下一月,他突然发现自己变成了APP的付费会员,支付宝自动扣12元钱,整个扣费过程用户毫不知情。在新浪微博和百度中搜索,可以看到大量类似的案例,主要涉及的阅读类APP、学习类APP、外挂类APP、视频类等。

为什么不经过用户允许就可以自动扣费呢?这就要从支付宝、微信等的免密小额支付功能说起了,顾名思义就是不用输入密码即可完成支付,当然支付的金额有上限,最高不能超过1000元,主流的默认标准是200元,用可以自行调整这个标准,以支付宝为例,点击“财富”→“ 设置” →“ 支付设置” →“ 小额免密支付”,可以看到200元、300元、500元、800元和1000元五档可以选择。

这个功能的初衷是好的,平时也经常用得到,例如通过滴滴打车、通过美团叫外卖等,金额不大都可以自动扣费,非常省事。只不过一些APP动了歪脑筋,通过的擦边球方式忽悠了用户,侵害了用户对支付途径有知情权,因此解决方法就是取消不必要的免密小额授权,具体操作如下所示:

点击“我”,再点击 “钱包”,之后点击右上角图标,选择“支付管理”,就可以看到“自动扣费”了,点击进入后选择不需要的项目,再点击“停止扣费”即可。

支付宝:点击“我的”,再点击“设置”,选择“支付设置”,就可以看到“免密支付/自动扣款”, 点击进入后选择不需要的项目解除授权即可。

QQ:点击QQ头像,选择“QQ钱包”,再选择“设置”,就可以看的“自动扣费管理”,跟之前的操作一样,取消不必要的扣费项目即可。

安全管理的六个维度(安全防线)(1)

安全管理的六个维度(安全防线)(2)

在支付宝和微信中对不需要的自动扣款服务进行解约

@董师傅:其实免费试用这个套路是电信运营商玩剩下的,电信运营商喜欢弄的“续费大礼包”中暗藏玄机,有的流量包送一个月或者三个月之后就是自动扣费购买的。

攻防实验室

这里有最新的黑客研究成果,这里有黑客的最新“黑科技”,这里有权威解读,正所谓知己知彼方能百战不殆。要想全面抵御黑客的攻击,就必须知道黑客的最新动态。欢迎志同道合的朋友来投稿,投稿邮箱:285845949@qq.com。

木马想“吃鸡” QQ邮箱躺枪

《绝地求生:大逃杀》是当前非常火爆的网络游戏之一,许多用户纷纷下载游戏体验“吃鸡”,不过《绝地求生:大逃杀》不是免费的,需要在Steam商城花费98元购买一个账号才可以,于是黑客盯上了Steam账号,通过大规模盗取并售卖Steam账号进而牟利。经过研究,黑客发现大多数用户的Steam账号是跟QQ邮箱绑定在一起的,那么只要盗取了QQ邮箱就有很大概率获得Steam账号信息(许多人的Steam密码就是QQ邮箱密码),于是黑客将目光转移到QQ邮箱了。

可想直接盗取QQ邮箱的账号和密码并不容易,那就相当于盗取QQ的账号和密码,难呀!大名鼎鼎的那些QQ木马早已销声匿迹,难道就真的没有办法吗?最近,黑客发现了一条新思路,腾讯为了方便用户在登录的QQ电脑中可以使用“快速登录”的进入QQ邮箱、QQ空间以及其他腾讯旗下的产品,如此一来就不需要用户输入QQ账号和密码了,在这个过程中,QQ会自动生成一个密钥,它就相当于QQ用户的一个身份证,如果拦截到或者复制到这个密钥,不就可以远程假冒用户登录QQ邮箱了嘛,进一步可以盗取与QQ邮箱有绑定关系的Steam账号以及相关财产。

于是,冒充变声器、外挂、加速器实则是为了窃取Qqkey的盗号木马大量冒出,疯狂攻击《绝地求生:大逃杀》用户。盗号木马的攻击流程如下:通过访问http://localhost.ptlogin2.qq.com:4300/获取用户登录QQ的key ,将Set-Cookie中的clientKey发送到黑客指定的服务器中,服务器通过qqkey.php以Get的方式接收QQ号码、QQ名称和Qqkey等数据。

目前一些变种,还可以实现全自动进入QQ邮箱盗号、管理获取的QQkey等,功能非常高级。此外,一套完整的盗号木马在黑市开价1500元,就连用于登录QQKey的登录器单卖也要400元。

安全管理的六个维度(安全防线)(3)

QQkey登录邮箱工具

安全周报

这段时间,互联网上依然出现大量漏洞、被病毒感染的电脑和被黑客攻击的网站。本周比较受关注的是亚马逊智能音箱Alexa 的漏洞, 该漏洞可以让黑客窃听并记录 Alexa用户的隐私数据,并可以远程上传用户跟Alexa的对话记录,这个漏洞由于危害巨大第一时间就得到了修补,但黑客针对智能音箱的攻击加剧值得高度警惕。

安全管理的六个维度(安全防线)(4)

数据来自国家互联网应急中心

本周,全球黑客攻击保持高频状态,影响较大的有:

1. 大多数酒店如今都使用了基于 RFID 技术的智能房卡,有黑客研究发现通过专门的硬件和特殊的黑客工具,可以获取智能房卡的密钥,从而打开任何一间房的房门。

2.白帽黑客偶然发现了一个 MongoDB 数据库,其中包含了25000 名Bezop(加密货币)的投资者的个人信息,涉及姓名、家庭住址、电子邮件地址、加密密码、钱包信息以及扫描的护照、驾驶执照等数据。

3. 韩国第二大移动通信运营商遭黑客攻击,其用户的一半约870万手机用户信息被窃取,涉及用户姓名、手机号码、家庭住址等敏感数据。

本周,依然有不少P2P理财平台出现问题,有的平台网站还可以打开,投资时要睁大眼睛,不要走错门了。

P2P曝光台

平台名称

上线时间

注册地区

问题类型

汇付四海

2014-10

云南

停业

综财投资

2017-12

上海

提现困难

鲸亿金服

2017-07

浙江

经侦介入

巴中中汇

2015-01

四川

停业

银欢财富

2015-11

上海

停业

数据来自网贷之家

本周,我们接到1097个读者举报,涉及网银钓鱼网站、社交钓鱼网站、游戏钓鱼网站、挂马网站、非法赌博网站和传播病毒的网站等,下面是我们精选的有代表性的高危网站。

网址

危害

dg.dai12**5.com

金融诈骗

www.lymeilida.com

首页被窜改

www.05**yewang.ne

违法违规

a**1113.com

网络赌博

www.wuye**yuan.vip

淫秽色情

&nbsp

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页