最近紐約時報發布了一篇關於常客賬戶安全的文章。根據研究報告顯示,常客賬戶安全問題日益嚴重。由於常客點數可通過亞馬遜或者其他渠道購物,而且因為常客賬戶並非現金賬戶,很多人會忽略常客賬戶的安全問題,所以常客賬戶就成為黑客的目標,也很容易得手。
下面是文章中的一段摘錄(機器翻譯):
一個忠誠計劃防欺詐組織保守估計,與忠誠計劃有關的犯罪每年損失約 10 億美金。據 Javelin Strategy&Research 公司稱,作為不涉及實體支付卡的欺詐行為,此類罪案從 2017 年到 2018 年增加了一倍以上。
一些犯罪分子使用盜來的訊息冒充客戶,違反忠誠計劃條款,進入不同的帳戶。然後耗盡賬戶餘額或通過地下市場售賣點數。根據云安全公司 Armor 的說法,一個被攻擊的西南航空公司獎勵賬戶廣告售價至少 98.88 美金每 50,000 英里。
由於希爾頓賬戶連結亞馬遜賬戶後,點數可以直接在亞馬遜上購物,榮譽客會賬戶成為了被盜的重災區。此外,2018 年發生的萬豪「喜達屋資料庫安全事件」到目前都還沒有完全消停,常客賬戶安全問題可謂觸目驚心。
加入過任何一個忠誠計劃的同學們應該知道,在我們預訂飯店或機票的時候,往往都需要通過信用卡付款。而這些信用卡訊息將被系統自動保存到資料庫,萬一賬戶被盜,黑客就可以使用您的信用卡預訂飯店或機票,甚至在商城購物。
看到這裡,大家是否意識到應該開始提高警惕了呢。下面就給大家介紹一些防範措施:
1.強密碼(重中之重)
設立一個強密碼,不要在其它任何網站使用該密碼(避免撞庫)。同時將你的密碼提示存放在隱秘的地方。
什麼是強密碼呢?簡單來說就是亂七八糟的密碼,大小寫、數字、符號混寫,如:JANa@sx3l2&s$,有興趣的可以自己百度一下,這裡就不過多解釋了。
與強密碼對應的就是弱密碼。例如:123456,根據統計,全球約有 4% 的人使用這個密碼。又例如我們中國人最喜歡的 888888,你是否也曾經使用過呢。
大家知道強密碼的重要性了,但是問題也來了。強密碼雖然安全,但是它是反人類的,試問我們如何記住如此複雜的密碼,而且不同網站還要使用不同的密碼。如果保存起來,又如何保證不會泄露。
下面就教大家一個設定密碼的方法。簡單來說就是根據網站的網域名稱(或名稱),通過一些規則演化來設定唯一的獨立的密碼。
例如希爾頓官網的網域名稱是:www.hilton.com,那我們希爾頓的密碼就可以根據「hilton」這個關鍵字來演化。只要根據自己預先想好的規則套用到關鍵字中就行了。例如可以設定這樣的密碼:#10.15HiltoN6!flYer。這個密碼是如何演化呢?下面拆解一下:
- 「#10.15」:符號 + 生日。(因為好記,很多人都喜歡用生日做密碼。單獨用生日做密碼很危險,但是演化一下就不怕了)
- 「HiltoN6」:關鍵字首尾字母大寫,數字 6 是關鍵字的字母數。(根據自己喜好任意位置字母大寫即可。字母數還可以插入到關鍵字里的任意位置,目的是讓單詞不連貫)
- 「!flYer」:符號 + 喜歡的英文單詞。
這樣一個強密碼由 3 個部分組成。第 1 和 第 3 部分是固定的,第 2 部分根據不同的網站變化。
其中的數字還能再做處理。例如生日可以在前面或後面加上自己喜歡的數字,「#10.15」 → 「#810.815」;字母數可以做個簡單運算,如 +3,「HiltoN6」 → 「HiltoN9」。
如果嫌密碼長,單詞也可以再做處理。取首尾字母,如 「HiltoN6」 → 「hN6」或「H6n」;「!flYer」 → 「!Fr」。
大家可以根據這個方法和自己的喜好,設立一個容易記住的規則。這樣一來,打開網站就能根據網域名稱輸入不同的密碼。一勞永逸,還能避免撞庫。如果怕規則都忘記,那可以用只有自己看得懂的文字提示,記錄下來即可。
2.不要打開釣魚網站的郵件連結
有些釣魚網站會做得跟官網差不多一模一樣,然後假冒官方群發郵件,讓別人點選郵件中的連結打開網站登入賬號,從而盜取賬號訊息。所以盡量不要通過郵件中的連結登入,你打開的網站不一定是官網。
有時候我們會收到官方發來的郵件,如果確實有必要通過郵件中的連結進入官網,那就要仔細甄別一下網址。
例如希爾頓的登入網址:
https://secure3.hilton.com/en/hh/customer/login/index.htm
網址中前面的「https://secure3.hilton.com/」才是判斷官網真偽最重要的部分。
「hilton.com」是希爾頓真正的網域名稱(中文官網是 hilton.com.cn)。
「secure3.hilton.com」是希爾頓的二級網域名稱。
其他二級網域名稱還有:
「www3.hilton.com」
「hiltonhonors3.hilton.com」
「hiltongardeninn3.hilton.com」
等等。
所以只有類似於「https://xxxx.hilton.com/」(加密)或者「http://xxxx.hilton.com/」(未加密)開頭的網站才是真正希爾頓官網。
釣魚網站的網址可能會是這樣:
- https://xxxx.com/secure3.hilton.com/en/hh/customer/login/index.htm
- https://secure3.hilt0n.com/en/hh/customer/login/index.htm
- https://secure3.hiIton.com/en/hh/customer/login/index.htm
3.本地安全
- 電腦或手機上安裝可信賴公司的安全/殺毒軟體。
- 及時升等瀏覽器和操作系統。
- 不要在別人的電腦或手機登入賬號。如有必要,登入後記得退出賬號,清除隱私數據和瀏覽記錄。
- 不要隨意連接公共 wifi 和共享充電寶,或連接後不要操作賬號。
- 不要下載和使用不明來路的軟體或手機 app 。
4.總結
保護賬戶安全的方法,簡單來說就是:
設定強密碼,尤其是所有個人賬號都要使用不同的密碼。及不要在不安全的地方登入賬號。
我曾經有一個網易的信箱賬號,由於使用了簡單的 6 位數字密碼,導致賬號被盜。又由於網易蛋疼的贖回方式,導致無法贖回。幸好那個信箱並不太重要,只好棄用。後來加強防範措施後就再沒有發生過賬號被盜事件。希望大家也加強安全意識,避免同類事情發生。
