城市个人安全防护系列10——如何防黑客

随着网络迅猛发展，黑客这个词逐渐被大众所周知，现实中的黑客并非像影视剧中那样个个都很牛，只要想做便能轻易入侵任何人的电子设备，窃取信息公之于众。

兴许有些人并不怎么懂得网络通信技术，简单比喻说明一下：在电话网路诞生之前人们用信件相互通信，以信件类比网络通讯，我们的信件好比存在电子设备上的数据，我们去邮局寄信，经过邮递员到目标邮局，最后上门送到收件人完成一次单向通讯。网络加密传输好比我们把要寄的信件放入锁箱中寄出，整个寄件过程中无论是邮局还是邮递员，都无法直接拿取信件拆开看，直到把锁箱送到收件人，Ta有锁箱的钥匙，也就是说该锁箱钥匙全世界仅唯二，寄信人与收信人各一把，这样通讯的内容仅寄收人知道，传输相对来说较安全，然而并非绝对安全，信件遭破坏的方式有：在我们寄信甚至信件还在家时偷取信件、将锁箱与信一同丢弃、撬开锁箱查看并篡改信件内容等等，转换成黑客网络攻击对应为信息窃取、信息丢失、信息泄露伪造，如今面临的信息安全问题远不止这几种，单靠制定法律法规不足以解决问题，如同防诈骗一样，需要增强个人信息安全意识。

先从攻击方视角来看，近年来黑客攻击越来越多，主要有以下几点缘由：

1、当黑客越来越容易。黑产的发展致使攻击工具越来越多，Sqlmap、Burpsuite、Aircrack等，更不谈近年来由ChatGPT衍生出来的WormGPT、FraudGPT，甚至诞生出攻击即服务的虚拟产品，使得犯罪技术门槛越来越低；

2、攻防整体不对等。攻击为一个点，找到一个漏洞即可进行破坏，防御是一个面，任何一个地方有疏漏即可能被利用，可谓千里之堤，溃于一蚁之穴，外加0day横行，防守方的技术永远落后于攻击方；

3、攻防付出与收益远不对等。攻击方可养精蓄锐后挑任意舒服的时间点进行攻击，防御方则全年365天X24小时冒着猝死的生命危险去盯守，体力上与精神上均承受巨大考验。从收益上对比，防御方所获得的合法收益与攻击方所获得的非法收益相比九牛一毛；

4、道德负罪感逐渐降低。以捡到100万现金作为示例：如果知道这100万是某人的救命钱，相信绝大部分人因道德与良心会上交归还；如果不知道这100万是谁掉的，在无监控的地方，少数人会将它占为己有，尤其正急需用钱时；如果知道这100万失主为一位臭名昭著的千亿级大富豪，Ta完全不在乎这100万损失且已丢失多年，也许有些人会独吞这笔钱；如果知道这100万不属于任何一个人，为1亿人的社会群体共属，每人账户少一分钱几乎无损失感，即便知道想进行追查也因金额太小无人管立不了案，负罪感进一步降低，大概会有更多的人将钱独吞。如今有些网络攻击带来的道德负罪感亦如此，NFT区块链技术的发展，使得加密货币去中心化，兴许更多人觉得“某些福利不拿白不拿”。

接着从防御方视角来看，我们普通大众或许觉得黑客网络攻击似乎离我们非常遥远，生活中只需避免被骗财骗色即可，要知道未来网络只会更加发达，想象一下你以后开的智能汽车被黑入，无法控制方向盘、油门刹车失灵、车门开关失控，该是件多么可怕的事！

人们常有如下几条错误观念：

1 我没啥有价值的信息，没人黑我；

2 我从不干危险事情，也没有公网IP，因此用不着防火墙与杀毒工具；

3 有安全浏览器或开启无痕模式，或有杀毒软件就可以胡乱点击网页链接、扫任意二维码、随意授权并下载安装；

4 不联网就绝对安全。

以上四点对应解答：

A1 即便没任何有价值的东西，电脑平板等电子设备也可作为肉鸡供黑客作为跳板去攻击其它受害者，一旦警方查到你的电子设备被用来实施犯罪行为，可不是一句“我不知道”就能将法律责任推卸干净的；

A2 即便你不安装任何杂七杂八软件，电脑/手机/平板只用来看新浪网易等正规网站新闻，看爱奇艺腾讯视频，偶尔上淘宝京东购物，仍有多种方式可以入侵你的设备。首先访问任何网站都需要DNS查询，黑客对DNS域名服务器投毒攻击，将正规网站域名解析到恶意站点，恶意站点模仿一个与原站相同的界面，几乎不会有人注意到站点证书变更信任问题，其次中间人攻击可以在你与目标站点之间截获并篡改信息，犹如本文开头所描述的撬开锁箱查看并篡改信件内容，再者互联网大厂并不意味着绝对安全保险，近十几年来，国内外互联网大厂哪家没有遭遇过信息安全事件并造成一定损失的，搜索苹果、谷歌、微软、腾讯等公司+安全事件，无一家未曾出现过信息安全事件，被黑客拿下服务器权限与大量用户信息泄露早已屡见不鲜，各类APP平台亦如此，指不定哪天更新时下载到恶意版本软件；

A3 别说使用各种安全工具，哪怕开启沙盒或虚拟机，也只能保证部分本地资源不被破坏，不代表从本地传输到网络另一端的过程安全，简言之只要瞎搞，神仙都救不了；

A4 早在多年前就已出现过从蓝牙黑入、无线电波黑入，甚至温度传感器黑入设备的先例。

世上没有绝对安全的设备，只有知道被攻击与不知道被攻击之分，再加上之前说过攻击方技术远大于防御方，这样看是不是没得救直接躺平不防算了呢？当然不是！我们普通大众只要不犯低级错误即可。黑客分三六九等，顶级优秀黑客只会将时间精力集中在针对性攻击，大多为企业组织或有价值的个人，普通大众不会成为目标，而普通级黑客仅会利用一些工具进行广撒网，他们的攻击方式与技术能力有限。

再看黑客攻击手段，主要分两大类：网络远程攻击与社工攻击。

网络远程攻击细分为弱口令暴力破解或字典破解、木马勒索病毒、程序代码漏洞、系统漏洞、供应链攻击、DDoS攻击、CC攻击、无线热点攻击等等。种类虽多，但普通大众大部分遇不到或者遇到了也无法自行解决，例如近一年激增的DDoS攻击，没有公网IP则无需担心，只不过DDoS攻击DNS服务器会影响我们域名解析访问网站。

社工攻击与日常生活关系密切，电信诈骗就属于社工攻击的一种，使用最广泛社工攻击——钓鱼邮件，零成本且易群发广撒网，无论是邮件名称还是邮箱账号均可伪造，以套取信息与钱财为目的欺骗受害者。

最后来看我们个人该如何应对这些攻击，攻击种类虽繁多，但普通大众能遇到的通常有：弱口令暴力破解或字典破解、木马勒索病毒、中间人攻击、钓鱼邮件等数种，我们只需纠正错误习惯，做好如下各点即可抵御大部分黑客攻击：

1 个人设备不设密码/设置弱密码/设置12位以下密码的，通通增强密码；

弱密码的各种形式：纯数字、字母单一字符集；最常用三组数字——生日、身份证号、手机号码；常见词语Football、HowAreYou2024、TomAndJerry123；键盘位1234qwer

2 不要将所有账号设置为相同密码！黑客破解出一个平台可撞库全破;

3到陌生地长时间离开电脑前要锁屏或设密码屏保;

4 查看并关闭设备上的非必要的服务，RDP/SSH/VNC/TELNET等常用远程服务与近年来漏洞多多的Samba服务；

5 分析可点击与不可点击链接，如链接为二维码，扫码前先下载二维码图片进行分析，如用草料二维码先解析出URL，再将URL拿到各在线站点检查，例如用virustotal查询，最后再判断是否该打开它；

6各种应用例如网购不要长期保持登陆状态，不用就注销退出登陆，需要时再登陆，定期清理Cookie；

7 如果你常下载一些免费破解版的东西，又实在分不清哪些属于危险操作，直接备一台电脑专门用于随便瞎折腾，这台电脑不做任何登陆账号操作，并将它的网络与其它设备隔离，例如用它联网时单独接入无线访客网络；

8 家用无线热点，最好采用支持WPA3加密方式的设备，并采用16位以上非弱口令密码；

9不上传私人资料到各种云盘中，互联网上不存在绝对安全的大企业，必须要上传个人资料时，将其加密后再传，最简单的方式就是用RAR压缩时加密码，即便有人盗取云盘数据仍需破解密码才能获得个人资料；

10 近年来人工智能技术发展迅猛，与智能设备小爱、小娜、Siri互动时不涉及个人隐私信息，使用ChatGPT、AIGC训练素材同样不带隐私信息；

11不上任何小利诱惑的当，通常还是那些像天上掉馅饼之类的套路：网络日结兼职、帮刷单返利、红包陷阱等，总之全是骗子给些小利赢取信任后再杀大骗财。

12 防范社工攻击详细参考 城市个人安全防护系列6-简析防范社工攻击

信息安全的正确观念：

1 便捷与安全往往不可兼得，想要获得更安全的环境，繁琐的确认保障必不可少；

2 无论怎么精心准备部署防护，都无法做到抵御所有种类攻击；

3 世上永远不存在绝对安全的设备。

信息安全需靠法律法规、网络服务商、企业平台、终端个人多方共同努力构建，只要还有利益存在，黑客就不会消失，犹如防范身边的犯罪，每个人同样应了解防范黑客攻击的基础知识。