注意⚠️: 听说又有人被钓鱼盗号了 & 简单分析以及如何防范

注意⚠️: 听说又有人被钓鱼盗号了 & 简单分析以及如何防范

早晨起床看微信群里讨论有人被钓鱼盗号,如果是普通的论坛被盗号找管理员申诉一下就能解决,可是STEEM上被盗号,一方面申诉(账户恢复)极其麻烦,另一方面可能会损失账户内的资产。

(注:据说STEEMIT的账户恢复功能现在已经暂停工作)

image.png
(图源 :pixabay)

钓鱼操作

看了一下这次钓鱼的情形,与以往没有什么大不同。

基本思路是在别人帖子底下回复一个链接,内容可能可能是会吸引用户好奇的并且伪装成STEEMIT官网,然后贴主或者其它用户点进去,就会被提示重新登录等等,登录后黑客就掌控了你的账户&密码。

以前我曾经以身试险,孤身深入钓鱼网站,测试了每一个步骤,感兴趣的话,可以看我以前的帖子:

实战:来扒扒骗子(钓鱼者)是怎么骗人/钓鱼的? / anti-phishing

这里一个有意思的事情是,原本用其它链接伪造STEEMIT链接,会被标红的,也就是说,类似如下代码:

[steemit.com/@oflyhigh](http://a.com)

实际显示效果:

image.png

这样一定程度上就会提醒用户注意防范,可是这次却没显示红色,我仔细分析了一下钓鱼链接的代码,原来是在https://steemit .comsteemit.com之间加了个空格。不仔细观察,根本发现不了,真是人才啊。

image.png

为了避免大家不小心点进去,我就不贴钓鱼链接了。

如何防范

最简单的防范方法是不要太有好奇心以及保持警惕

别一看到标题夸张超有吸引力的链接就八卦之火熊熊燃烧,迫不及待地点进去,让登录就登录,黑客就喜欢你这样的菜。

如果打开网址后,我们肯看一眼地址栏链接,那么中招的概率会低很多:

image.png

不过上边都属于被动防范,如果要想账户安全,主动防御也必不可少。如何主动防御呢?

我在很久以前的一个帖子中《关于密码安全,别心存侥幸 (宜未雨而绸缪,毋临渴而掘井)!》写过的几点建议似乎还应该有用:

  • 导出Posting Key 以及Active Key,平时使用这个两个私钥发帖和转账。
  • 将主密码离线保存到移动介质上,并保存两份以上COPY,放置到安全的地方。
  • 无论在什么网站和程序上,都不要提供主密码,除非你需要修改密码。

(注:Posting KEY被盗,黑客可能拿去点赞/点踩,或者被人拿去发钓鱼贴,但至少财产不受损失。)

更进一步的安全

上述内容主要用于防范钓鱼盗号,钓鱼盗号一般都是搭建个类似STEEMIT的网站来实现钓鱼的。

那么你有没有考虑,如果有一天STEEMIT.COM被黑客黑掉,然后直接用来收集账户密码,可咋办?上述使用Posting key的方式可以杜绝大部分风险,然而涉及修改密码等操作,总要登录这个网站呀?

好多天前一个朋友和我在微信上的讨论我觉得很有意义,他为了避免上述情况发生,做重要操作时,都使用客户端,比如使用Python脚本就是一个很好的选择。

比如以下两个Python库:

https://github.com/steemit/steem-python
https://github.com/holgern/beem

我不敢说这俩库当前100%安全或者以后100%安全,但是至少我之前下的steem-python早期版本的代码,我Review了一遍,没看出啥隐患来。

另外,命令行钱包似乎也是一个选择,然而我一直不会用,尴尬了,哈哈。

image.png
(图源 :pixabay)

希望大家都保护好自己的密码,保护好自己的财产安全。

相关链接


Vote For Me As Witness
https://steemit.com/~witnesses type in oflyhigh and click VOTE

Vote @oflyhigh via Steemconnect
Thank you!

This page is synchronized from the post: ‘注意⚠️: 听说又有人被钓鱼盗号了 & 简单分析以及如何防范’

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×