編者按：宅客問(wèn)答是雷鋒網(wǎng)宅客頻道推出的一個(gè)問(wèn)答新欄目。我們?cè)儐?wèn)的對(duì)象是中國(guó)所有的黑客。如果你對(duì)神秘的黑客十分好奇，有很多問(wèn)題，可以在微信公眾號(hào)“宅客頻道”（微信ID：letshome）回復(fù)“問(wèn)答”留言，每期我們將選取關(guān)注度較高的一些問(wèn)題，請(qǐng)黑客回答。

上期主題是：黑客最不想聽(tīng)到的一句話是什么？里面抖了很多網(wǎng)安圈的八卦——《男默女淚，黑客聽(tīng)了這些話要暴走｜宅客問(wèn)答》然后收到了讀者的熱情投票，其中，這個(gè)問(wèn)題關(guān)注度較高：

黑客會(huì)更擔(dān)心自己被入侵，信息泄露嗎？

為此，雷鋒網(wǎng)宅客頻道采訪了知道創(chuàng)宇公司安全服務(wù)部信息安全工程師星塵，為了配合這個(gè)主題，星塵甚至不打算上真名。

1

星塵，90后，上初中時(shí)就進(jìn)入了黑客的世界，不過(guò)，當(dāng)時(shí)他只是一名菜鳥(niǎo)旁觀者。

星塵深刻了解到黑客世界的“殘酷”是自己不小心“中了毒”。

那時(shí)，他在逛論壇，期待學(xué)習(xí)更多黑客技術(shù)提升本領(lǐng)時(shí)，眼睛一亮，發(fā)現(xiàn)了一款“特別好”的軟件，提供軟件的論壇用戶(hù)將這款軟件描繪得“天上有、地上無(wú)”。天真的星塵為了順利運(yùn)行軟件，關(guān)閉了殺毒軟件，滿心歡喜的等待運(yùn)行。

后果可想而知。

這款軟件暗藏了“灰鴿子”，在某種程度上，灰鴿子被定義為一款集多種控制方式于一體的木馬程序。

星塵急了，但怎么也卸不掉，無(wú)可奈何之下找到了木馬植入者的聯(lián)系方式，打算“以情動(dòng)人”。兩人開(kāi)始聊天，雖然對(duì)方是個(gè)比自己還小 4、5 歲的“小朋友”，星塵受到了一些“刺激”，一來(lái)二去，發(fā)現(xiàn)對(duì)方只是在做測(cè)試，他成功打動(dòng)了對(duì)方，說(shuō)服對(duì)方撤掉了自己電腦上的灰鴿子。

自此，星塵變得更加警惕：不要隨意下載軟件。

然后，他倆成了好朋友。

2

如果說(shuō)，第一個(gè)故事啟蒙了星塵的“安全憂患”意識(shí)，那么，第二個(gè)故事則讓他明確在復(fù)雜的網(wǎng)絡(luò)世界中黑與白的界限，以及不注重隱私保護(hù)的后果。

初嘗技術(shù)滋味的星塵十分興奮，那時(shí)，他非常關(guān)注網(wǎng)絡(luò)上的一位喜歡已久的歌手。

每一個(gè)小粉絲都有敬業(yè)地搜集偶像信息的心路歷程。星塵發(fā)現(xiàn)，這位歌手喜歡寫(xiě)博客，而且在博文間留下了一些線索，通過(guò)這些蛛絲馬跡，可以檢索到這位歌手的手機(jī)號(hào)。

懵懂的星塵如發(fā)現(xiàn)新大陸一般激動(dòng)，沒(méi)有經(jīng)過(guò)什么思考，就撥通了歌手的電話。

對(duì)方驚慌失措。

星塵很后悔，直言當(dāng)年年少無(wú)知，但這也讓他體會(huì)到：不要在網(wǎng)上泄露個(gè)人隱私信息，實(shí)在有必要放聯(lián)系方式時(shí)，應(yīng)該準(zhǔn)備一個(gè)小號(hào)。

3

雷鋒網(wǎng)采訪當(dāng)天，星塵上午 8 點(diǎn)左右收到一個(gè)長(zhǎng)輩的微信，這位長(zhǎng)輩收到了一封郵件，表示不敢點(diǎn)，機(jī)智地將郵件轉(zhuǎn)發(fā)給了星塵。星塵測(cè)試后，發(fā)現(xiàn)果然是個(gè)釣魚(yú)網(wǎng)址。

具體檢測(cè)過(guò)程是這樣的：

1）打開(kāi)郵件。

2）點(diǎn)開(kāi)“驗(yàn)證并更新我的賬戶(hù)”，出現(xiàn)了這個(gè)網(wǎng)站：

3）輸入測(cè)試密碼。

4）提示成功。

5）在地址欄修改后綴，就變成了另一個(gè)郵箱。

星塵說(shuō)，這是一個(gè)很拙劣的釣魚(yú)網(wǎng)站。首先，從地址欄看，和正經(jīng)的官方地址欄不同；其次，頁(yè)面出現(xiàn)的是繁體字，和大陸地區(qū)使用習(xí)慣不符合；再者，地址欄可以修改，修改頁(yè)面也和平常遇到的賬號(hào)密碼修改提示有異。

值得警惕的是，該釣魚(yú)郵件可能是“有針對(duì)性”的釣魚(yú)。雷鋒網(wǎng)了解到，星塵的長(zhǎng)輩在一家進(jìn)出口貿(mào)易公司公司，要處理公司大大小小的事情，因?yàn)闀?huì)將自己的郵箱地址公布在附有公司信息的頁(yè)面?，F(xiàn)在，經(jīng)常有針對(duì)公司重點(diǎn)部門(mén)員工發(fā)送釣魚(yú)郵件的事情發(fā)生，比如，財(cái)務(wù)部門(mén)、人力部門(mén)。2016年起，還有針對(duì)性的勒索木馬朝這些重點(diǎn)對(duì)象進(jìn)軍。在套取郵箱地址和密碼后，攻擊者能做的事情非常多，比如，獲取郵箱內(nèi)的業(yè)務(wù)往來(lái)信息、人事信息、金融信息等，造成財(cái)產(chǎn)損失。

所以，星塵提醒，要做到“公私信息”分離，并謹(jǐn)慎點(diǎn)擊郵件中的鏈接，注意甄別是否為釣魚(yú)郵件。

4

作為一名安全服務(wù)部信息安全工程師，星塵已經(jīng)多次參加了客戶(hù)要求的滲透測(cè)試。

滲透測(cè)試到底是如何進(jìn)行的？知道了滲透測(cè)試的流程，似乎就可以反推，如果不注意隱私保護(hù)，攻擊者就可以長(zhǎng)驅(qū)直入。

1）信息收集：在網(wǎng)上暴露的信息，比如，HR 招聘、商務(wù)人員合作留下的公司郵箱、手機(jī)號(hào)、微信號(hào)、QQ號(hào)等，一個(gè)普通人在社交網(wǎng)站曬出的照片、發(fā)布的信息，隨意填寫(xiě)的一份問(wèn)卷調(diào)查，辦好的一張會(huì)員卡，甚至在賽博世界留下的一次不慎的評(píng)論……都可能暴露自己的信息。測(cè)試員會(huì)偽裝成客戶(hù)，與這些人聯(lián)系，獲取相應(yīng)信息；

2）偽造目標(biāo)公司的內(nèi)部郵箱地址及內(nèi)部工作人員，仿造官方頁(yè)面，編造故事，誘使目標(biāo)對(duì)象點(diǎn)擊釣魚(yú)郵件及鏈接，獲取目標(biāo)對(duì)象的郵箱賬號(hào)和密碼；

3）翻看郵箱內(nèi)容，進(jìn)一步套取對(duì)方OA 系統(tǒng)賬號(hào)和密碼，挖掘OA 漏洞，獲取服務(wù)器權(quán)限，進(jìn)一步滲透。

……

當(dāng)然，這只是一個(gè)流程簡(jiǎn)述，但是，不僅是普通人，很多目標(biāo)公司管理層壓根沒(méi)意識(shí)到隱私保護(hù)與防范被社工、滲透的重要性，讓星塵欣慰的是，有一家目標(biāo)在被滲透后的第二天就在某網(wǎng)站發(fā)布了安全人員的招聘信息。

你問(wèn)我答

【左：堇年，右：星塵（這么多年來(lái)，第一次有人要求雷鋒網(wǎng)編輯用dog表情包給他打碼）】

1.可以提一些隱私保護(hù)的建議嗎？

星塵：個(gè)人郵箱和工作郵箱不要混用；

養(yǎng)成經(jīng)常修改密碼、不同賬號(hào)設(shè)置不同密碼、不用弱密碼的好習(xí)慣，謹(jǐn)慎訪問(wèn)安全級(jí)別比較低的網(wǎng)站，如果要在這種網(wǎng)站設(shè)置賬號(hào)和密碼，不要用自己的常用復(fù)雜密碼，防止撞庫(kù)；

我有很多黑客網(wǎng)友，但是我們互不知道自己的真實(shí)姓名、年齡等，如果可以，不要告訴網(wǎng)友真實(shí)個(gè)人信息，尤其是名字比較特別的那種同學(xué)，千萬(wàn)不要告訴陌生人名字，一搜一個(gè)準(zhǔn)，你又不像我們 CEO 趙偉，多么普通的名字；

開(kāi)發(fā)票時(shí)，拿同事的名片（坑同事，開(kāi)玩笑），專(zhuān)門(mén)制作相關(guān)名片開(kāi)具信息的卡片，不要使用名片；

快遞單上的收件人不填寫(xiě)真名（吐槽：中國(guó)郵政除外，不填寫(xiě)真名會(huì)被多次教育），盡量不填寫(xiě)家庭地址，使用公司地址，點(diǎn)外賣(mài)也一樣；

使用一些安全防護(hù)產(chǎn)品，在不熟悉的設(shè)備上登錄賬號(hào)密碼時(shí)添加動(dòng)態(tài)驗(yàn)證碼認(rèn)證。

星塵的萌妹子同事堇年附加了一個(gè)建議：筆記本攝像頭記得封上，如果能忍住“自拍”的沖動(dòng)，手機(jī)攝像頭也可以貼上；在外不要亂掃二維碼。

2.惡搞過(guò)同事嗎？

星塵：有個(gè)同事，上廁所不鎖電腦屏幕，被我們猜到開(kāi)機(jī)密碼后，登陸進(jìn)去把他的電腦密碼換掉了，所以我現(xiàn)在不僅在公司，即使在家都會(huì)養(yǎng)成離開(kāi)即鎖屏的好習(xí)慣。

3.有什么信息保護(hù)的極端案例嗎？

星塵：我有一個(gè)做網(wǎng)絡(luò)安全的朋友，對(duì)世界感到絕望，不相信任何移動(dòng)電子支付手段，絕對(duì)不在各種移動(dòng)支付平臺(tái)上綁定自己的銀行卡，所以每次找我們“發(fā)紅包”，再給我們現(xiàn)金。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。