最近纽约时报发布了一篇关于常客账户安全的文章。根据研究报告显示,常客账户安全问题日益严重。由于常客积分可通过亚马逊或者其他渠道购物,而且因为常客账户并非现金账户,很多人会忽略常客账户的安全问题,所以常客账户就成为黑客的目标,也很容易得手。
下面是文章中的一段摘录(机器翻译):
一个忠诚计划防欺诈组织保守估计,与忠诚计划有关的犯罪每年损失约 10 亿美元。据 Javelin Strategy&Research 公司称,作为不涉及实体支付卡的欺诈行为,此类罪案从 2017 年到 2018 年增加了一倍以上。
一些犯罪分子使用盗来的信息冒充客户,违反忠诚计划条款,进入不同的帐户。然后耗尽账户余额或通过地下市场售卖积分。根据云安全公司 Armor 的说法,一个被攻击的西南航空公司奖励账户广告售价至少 98.88 美元每 50,000 英里。
由于希尔顿账户链接亚马逊账户后,积分可以直接在亚马逊上购物,荣誉客会账户成为了被盗的重灾区。此外,2018 年发生的万豪“喜达屋数据库安全事件”到目前都还没有完全消停,常客账户安全问题可谓触目惊心。
加入过任何一个忠诚计划的同学们应该知道,在我们预订酒店或机票的时候,往往都需要通过信用卡付款。而这些信用卡信息将被系统自动保存到数据库,万一账户被盗,黑客就可以使用您的信用卡预订酒店或机票,甚至在商城购物。
看到这里,大家是否意识到应该开始提高警惕了呢。下面就给大家介绍一些防范措施:
1.强密码(重中之重)
设立一个强密码,不要在其它任何网站使用该密码(避免撞库)。同时将你的密码提示存放在隐秘的地方。
什么是强密码呢?简单来说就是乱七八糟的密码,大小写、数字、符号混写,如:JANa@sx3l2&s$,有兴趣的可以自己百度一下,这里就不过多解释了。
与强密码对应的就是弱密码。例如:123456,根据统计,全球约有 4% 的人使用这个密码。又例如我们中国人最喜欢的 888888,你是否也曾经使用过呢。
大家知道强密码的重要性了,但是问题也来了。强密码虽然安全,但是它是反人类的,试问我们如何记住如此复杂的密码,而且不同网站还要使用不同的密码。如果保存起来,又如何保证不会泄露。
下面就教大家一个设置密码的方法。简单来说就是根据网站的域名(或名称),通过一些规则演化来设置唯一的独立的密码。
例如希尔顿官网的域名是:www.hilton.com,那我们希尔顿的密码就可以根据“hilton”这个关键字来演化。只要根据自己预先想好的规则套用到关键字中就行了。例如可以设置这样的密码:#10.15HiltoN6!flYer。这个密码是如何演化呢?下面拆解一下:
- “#10.15”:符号 + 生日。(因为好记,很多人都喜欢用生日做密码。单独用生日做密码很危险,但是演化一下就不怕了)
- “HiltoN6”:关键字首尾字母大写,数字 6 是关键字的字母数。(根据自己喜好任意位置字母大写即可。字母数还可以插入到关键字里的任意位置,目的是让单词不连贯)
- “!flYer”:符号 + 喜欢的英文单词。
这样一个强密码由 3 个部分组成。第 1 和 第 3 部分是固定的,第 2 部分根据不同的网站变化。
其中的数字还能再做处理。例如生日可以在前面或后面加上自己喜欢的数字,“#10.15” → “#810.815”;字母数可以做个简单运算,如 +3,“HiltoN6” → “HiltoN9”。
如果嫌密码长,单词也可以再做处理。取首尾字母,如 “HiltoN6” → “hN6”或“H6n”;“!flYer” → “!Fr”。
大家可以根据这个方法和自己的喜好,设立一个容易记住的规则。这样一来,打开网站就能根据域名输入不同的密码。一劳永逸,还能避免撞库。如果怕规则都忘记,那可以用只有自己看得懂的文字提示,记录下来即可。
2.不要打开钓鱼网站的邮件链接
有些钓鱼网站会做得跟官网差不多一模一样,然后假冒官方群发邮件,让别人点击邮件中的链接打开网站登录账号,从而盗取账号信息。所以尽量不要通过邮件中的链接登录,你打开的网站不一定是官网。
有时候我们会收到官方发来的邮件,如果确实有必要通过邮件中的链接进入官网,那就要仔细甄别一下网址。
例如希尔顿的登录网址:
https://secure3.hilton.com/en/hh/customer/login/index.htm
网址中前面的“https://secure3.hilton.com/”才是判断官网真伪最重要的部分。
“hilton.com”是希尔顿真正的域名(中文官网是 hilton.com.cn)。
“secure3.hilton.com”是希尔顿的二级域名。
其他二级域名还有:
“www3.hilton.com”
“hiltonhonors3.hilton.com”
“hiltongardeninn3.hilton.com”
等等。
所以只有类似于“https://xxxx.hilton.com/”(加密)或者“http://xxxx.hilton.com/”(未加密)开头的网站才是真正希尔顿官网。
钓鱼网站的网址可能会是这样:
- https://xxxx.com/secure3.hilton.com/en/hh/customer/login/index.htm
- https://secure3.hilt0n.com/en/hh/customer/login/index.htm
- https://secure3.hiIton.com/en/hh/customer/login/index.htm
3.本地安全
- 电脑或手机上安装可信赖公司的安全/杀毒软件。
- 及时升级浏览器和操作系统。
- 不要在别人的电脑或手机登录账号。如有必要,登录后记得退出账号,清除隐私数据和浏览记录。
- 不要随意连接公共 wifi 和共享充电宝,或连接后不要操作账号。
- 不要下载和使用不明来路的软件或手机 app 。
4.总结
保护账户安全的方法,简单来说就是:
设置强密码,尤其是所有个人账号都要使用不同的密码。及不要在不安全的地方登录账号。
我曾经有一个网易的邮箱账号,由于使用了简单的 6 位数字密码,导致账号被盗。又由于网易蛋疼的赎回方式,导致无法赎回。幸好那个邮箱并不太重要,只好弃用。后来加强防范措施后就再没有发生过账号被盗事件。希望大家也加强安全意识,避免同类事情发生。
