編者按：宅客問答是雷鋒網(wǎng)宅客頻道推出的一個問答新欄目。我們詢問的對象是中國所有的黑客。如果你對神秘的黑客十分好奇，有很多問題，可以在微信公眾號“宅客頻道”（微信ID：letshome）回復(fù)“問答”留言，每期我們將選取關(guān)注度較高的一些問題，請黑客回答。

上期主題是：黑客最不想聽到的一句話是什么？里面抖了很多網(wǎng)安圈的八卦——《男默女淚，黑客聽了這些話要暴走｜宅客問答》然后收到了讀者的熱情投票，其中，這個問題關(guān)注度較高：

黑客會更擔(dān)心自己被入侵，信息泄露嗎？

為此，雷鋒網(wǎng)宅客頻道采訪了知道創(chuàng)宇公司安全服務(wù)部信息安全工程師星塵，為了配合這個主題，星塵甚至不打算上真名。

1

星塵，90后，上初中時就進(jìn)入了黑客的世界，不過，當(dāng)時他只是一名菜鳥旁觀者。

星塵深刻了解到黑客世界的“殘酷”是自己不小心“中了毒”。

那時，他在逛論壇，期待學(xué)習(xí)更多黑客技術(shù)提升本領(lǐng)時，眼睛一亮，發(fā)現(xiàn)了一款“特別好”的軟件，提供軟件的論壇用戶將這款軟件描繪得“天上有、地上無”。天真的星塵為了順利運(yùn)行軟件，關(guān)閉了殺毒軟件，滿心歡喜的等待運(yùn)行。

后果可想而知。

這款軟件暗藏了“灰鴿子”，在某種程度上，灰鴿子被定義為一款集多種控制方式于一體的木馬程序。

星塵急了，但怎么也卸不掉，無可奈何之下找到了木馬植入者的聯(lián)系方式，打算“以情動人”。兩人開始聊天，雖然對方是個比自己還小 4、5 歲的“小朋友”，星塵受到了一些“刺激”，一來二去，發(fā)現(xiàn)對方只是在做測試，他成功打動了對方，說服對方撤掉了自己電腦上的灰鴿子。

自此，星塵變得更加警惕：不要隨意下載軟件。

然后，他倆成了好朋友。

2

如果說，第一個故事啟蒙了星塵的“安全憂患”意識，那么，第二個故事則讓他明確在復(fù)雜的網(wǎng)絡(luò)世界中黑與白的界限，以及不注重隱私保護(hù)的后果。

初嘗技術(shù)滋味的星塵十分興奮，那時，他非常關(guān)注網(wǎng)絡(luò)上的一位喜歡已久的歌手。

每一個小粉絲都有敬業(yè)地搜集偶像信息的心路歷程。星塵發(fā)現(xiàn)，這位歌手喜歡寫博客，而且在博文間留下了一些線索，通過這些蛛絲馬跡，可以檢索到這位歌手的手機(jī)號。

懵懂的星塵如發(fā)現(xiàn)新大陸一般激動，沒有經(jīng)過什么思考，就撥通了歌手的電話。

對方驚慌失措。

星塵很后悔，直言當(dāng)年年少無知，但這也讓他體會到：不要在網(wǎng)上泄露個人隱私信息，實在有必要放聯(lián)系方式時，應(yīng)該準(zhǔn)備一個小號。

3

雷鋒網(wǎng)采訪當(dāng)天，星塵上午 8 點(diǎn)左右收到一個長輩的微信，這位長輩收到了一封郵件，表示不敢點(diǎn)，機(jī)智地將郵件轉(zhuǎn)發(fā)給了星塵。星塵測試后，發(fā)現(xiàn)果然是個釣魚網(wǎng)址。

具體檢測過程是這樣的：

1）打開郵件。

2）點(diǎn)開“驗證并更新我的賬戶”，出現(xiàn)了這個網(wǎng)站：

3）輸入測試密碼。

4）提示成功。

5）在地址欄修改后綴，就變成了另一個郵箱。

星塵說，這是一個很拙劣的釣魚網(wǎng)站。首先，從地址欄看，和正經(jīng)的官方地址欄不同；其次，頁面出現(xiàn)的是繁體字，和大陸地區(qū)使用習(xí)慣不符合；再者，地址欄可以修改，修改頁面也和平常遇到的賬號密碼修改提示有異。

值得警惕的是，該釣魚郵件可能是“有針對性”的釣魚。雷鋒網(wǎng)了解到，星塵的長輩在一家進(jìn)出口貿(mào)易公司公司，要處理公司大大小小的事情，因為會將自己的郵箱地址公布在附有公司信息的頁面?，F(xiàn)在，經(jīng)常有針對公司重點(diǎn)部門員工發(fā)送釣魚郵件的事情發(fā)生，比如，財務(wù)部門、人力部門。2016年起，還有針對性的勒索木馬朝這些重點(diǎn)對象進(jìn)軍。在套取郵箱地址和密碼后，攻擊者能做的事情非常多，比如，獲取郵箱內(nèi)的業(yè)務(wù)往來信息、人事信息、金融信息等，造成財產(chǎn)損失。

所以，星塵提醒，要做到“公私信息”分離，并謹(jǐn)慎點(diǎn)擊郵件中的鏈接，注意甄別是否為釣魚郵件。

4

作為一名安全服務(wù)部信息安全工程師，星塵已經(jīng)多次參加了客戶要求的滲透測試。

滲透測試到底是如何進(jìn)行的？知道了滲透測試的流程，似乎就可以反推，如果不注意隱私保護(hù)，攻擊者就可以長驅(qū)直入。

1）信息收集：在網(wǎng)上暴露的信息，比如，HR 招聘、商務(wù)人員合作留下的公司郵箱、手機(jī)號、微信號、QQ號等，一個普通人在社交網(wǎng)站曬出的照片、發(fā)布的信息，隨意填寫的一份問卷調(diào)查，辦好的一張會員卡，甚至在賽博世界留下的一次不慎的評論……都可能暴露自己的信息。測試員會偽裝成客戶，與這些人聯(lián)系，獲取相應(yīng)信息；

2）偽造目標(biāo)公司的內(nèi)部郵箱地址及內(nèi)部工作人員，仿造官方頁面，編造故事，誘使目標(biāo)對象點(diǎn)擊釣魚郵件及鏈接，獲取目標(biāo)對象的郵箱賬號和密碼；

3）翻看郵箱內(nèi)容，進(jìn)一步套取對方OA 系統(tǒng)賬號和密碼，挖掘OA 漏洞，獲取服務(wù)器權(quán)限，進(jìn)一步滲透。

……

當(dāng)然，這只是一個流程簡述，但是，不僅是普通人，很多目標(biāo)公司管理層壓根沒意識到隱私保護(hù)與防范被社工、滲透的重要性，讓星塵欣慰的是，有一家目標(biāo)在被滲透后的第二天就在某網(wǎng)站發(fā)布了安全人員的招聘信息。

你問我答

【左：堇年，右：星塵（這么多年來，第一次有人要求雷鋒網(wǎng)編輯用dog表情包給他打碼）】

1.可以提一些隱私保護(hù)的建議嗎？

星塵：個人郵箱和工作郵箱不要混用；

養(yǎng)成經(jīng)常修改密碼、不同賬號設(shè)置不同密碼、不用弱密碼的好習(xí)慣，謹(jǐn)慎訪問安全級別比較低的網(wǎng)站，如果要在這種網(wǎng)站設(shè)置賬號和密碼，不要用自己的常用復(fù)雜密碼，防止撞庫；

我有很多黑客網(wǎng)友，但是我們互不知道自己的真實姓名、年齡等，如果可以，不要告訴網(wǎng)友真實個人信息，尤其是名字比較特別的那種同學(xué)，千萬不要告訴陌生人名字，一搜一個準(zhǔn)，你又不像我們 CEO 趙偉，多么普通的名字；

開發(fā)票時，拿同事的名片（坑同事，開玩笑），專門制作相關(guān)名片開具信息的卡片，不要使用名片；

快遞單上的收件人不填寫真名（吐槽：中國郵政除外，不填寫真名會被多次教育），盡量不填寫家庭地址，使用公司地址，點(diǎn)外賣也一樣；

使用一些安全防護(hù)產(chǎn)品，在不熟悉的設(shè)備上登錄賬號密碼時添加動態(tài)驗證碼認(rèn)證。

星塵的萌妹子同事堇年附加了一個建議：筆記本攝像頭記得封上，如果能忍住“自拍”的沖動，手機(jī)攝像頭也可以貼上；在外不要亂掃二維碼。

2.惡搞過同事嗎？

星塵：有個同事，上廁所不鎖電腦屏幕，被我們猜到開機(jī)密碼后，登陸進(jìn)去把他的電腦密碼換掉了，所以我現(xiàn)在不僅在公司，即使在家都會養(yǎng)成離開即鎖屏的好習(xí)慣。

3.有什么信息保護(hù)的極端案例嗎？

星塵：我有一個做網(wǎng)絡(luò)安全的朋友，對世界感到絕望，不相信任何移動電子支付手段，絕對不在各種移動支付平臺上綁定自己的銀行卡，所以每次找我們“發(fā)紅包”，再給我們現(xiàn)金。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。