早晨起床看微信群里讨论有人被钓鱼盗号,如果是普通的论坛被盗号找管理员申诉一下就能解决,可是STEEM上被盗号,一方面申诉(账户恢复)极其麻烦,另一方面可能会损失账户内的资产。
(注:据说STEEMIT的账户恢复功能现在已经暂停工作)
(图源 :pixabay)
钓鱼操作
看了一下这次钓鱼的情形,与以往没有什么大不同。
基本思路是在别人帖子底下回复一个链接,内容可能可能是会吸引用户好奇的并且伪装成STEEMIT官网,然后贴主或者其它用户点进去,就会被提示重新登录等等,登录后黑客就掌控了你的账户&密码。
以前我曾经以身试险,孤身深入钓鱼网站,测试了每一个步骤,感兴趣的话,可以看我以前的帖子:
这里一个有意思的事情是,原本用其它链接伪造STEEMIT链接,会被标红的,也就是说,类似如下代码:
[steemit.com/@oflyhigh](http://a.com)
实际显示效果:
这样一定程度上就会提醒用户注意防范,可是这次却没显示红色,我仔细分析了一下钓鱼链接的代码,原来是在https://steemit .com的steemit和.com之间加了个空格。不仔细观察,根本发现不了,真是人才啊。
为了避免大家不小心点进去,我就不贴钓鱼链接了。
如何防范
最简单的防范方法是不要太有好奇心以及保持警惕。
别一看到标题夸张超有吸引力的链接就八卦之火熊熊燃烧,迫不及待地点进去,让登录就登录,黑客就喜欢你这样的菜。
如果打开网址后,我们肯看一眼地址栏链接,那么中招的概率会低很多:
不过上边都属于被动防范,如果要想账户安全,主动防御也必不可少。如何主动防御呢?
我在很久以前的一个帖子中《关于密码安全,别心存侥幸 (宜未雨而绸缪,毋临渴而掘井)!》写过的几点建议似乎还应该有用:
- 导出Posting Key 以及Active Key,平时使用这个两个私钥发帖和转账。
- 将主密码离线保存到移动介质上,并保存两份以上COPY,放置到安全的地方。
- 无论在什么网站和程序上,都不要提供主密码,除非你需要修改密码。
(注:Posting KEY被盗,黑客可能拿去点赞/点踩,或者被人拿去发钓鱼贴,但至少财产不受损失。)
更进一步的安全
上述内容主要用于防范钓鱼盗号,钓鱼盗号一般都是搭建个类似STEEMIT的网站来实现钓鱼的。
那么你有没有考虑,如果有一天STEEMIT.COM被黑客黑掉,然后直接用来收集账户密码,可咋办?上述使用Posting key的方式可以杜绝大部分风险,然而涉及修改密码等操作,总要登录这个网站呀?
好多天前一个朋友和我在微信上的讨论我觉得很有意义,他为了避免上述情况发生,做重要操作时,都使用客户端,比如使用Python脚本就是一个很好的选择。
比如以下两个Python库:
https://github.com/steemit/steem-python
https://github.com/holgern/beem
我不敢说这俩库当前100%安全或者以后100%安全,但是至少我之前下的steem-python早期版本的代码,我Review了一遍,没看出啥隐患来。
另外,命令行钱包似乎也是一个选择,然而我一直不会用,尴尬了,哈哈。
(图源 :pixabay)
希望大家都保护好自己的密码,保护好自己的财产安全。
相关链接
- 实战:来扒扒骗子(钓鱼者)是怎么骗人/钓鱼的? / anti-phishing
- 关于密码安全,别心存侥幸 (宜未雨而绸缪,毋临渴而掘井)!
- 再次提醒大家防范钓鱼信息,就在昨晚CN区一个声望分67级的账户被盗!!!
https://steemit.com/~witnesses type in
oflyhigh and click VOTE
Vote @oflyhigh via Steemconnect
Thank you!
This page is synchronized from the post: ‘注意⚠️: 听说又有人被钓鱼盗号了 & 简单分析以及如何防范’