網路安全公司Check Point Research最近發表了一篇關於TikTok漏洞的文章,該漏洞為駭客提供了一個很好的滲透使用者帳戶的方法。TikTok已經解決了這些問題,所以你是安全的,但是這些攻擊產生的創造性方式提供了一個很好的學習機會。即使訊息看起來是直接來自某個服務,你也必須時刻保持警惕,並考慮為什麼你會收到該訊息。
一旦我們討論了攻擊方法,這些都會變得更有意義,所以讓我們從這裡開始。作為這段影片中的Check Point Research細節,攻擊者基本上是在使用TikTok的“給自己發一個連結來下載TikTok”功能,這是一種獲取應用程式的便捷方式,乍一看可以向乍一看似乎合法的使用者傳送訊息。畢竟,他們來自蒂克托克;它們看起來像是一條TikTok簡訊,有著與普通簡訊相同的“下載TikTok開始觀看”資訊。
攻擊者實際上截獲了原始的訊息請求並修改了傳送的超連結,從而允許攻擊者執行許多操作:新增或刪除使用者帳戶中的影片;改變使用者影片的隱私;或者從使用者的帳戶中檢索資訊,比如他們的電子郵件地址、生日或付款資訊。
我們能從中學到什麼?很簡單:每當你收到某人的資訊——一個人、一家公司、一項服務,無論什麼——要求你做些什麼,停下來想想為什麼你會收到這樣的資訊:
這很簡單,當有人試圖讓你點選或執行惡意程式時,接近你傳送的連結和檔案(或要求你下載的應用程式)可以讓你免受傷害。總是考慮你所收到的內容的上下文,並且錯誤地不去接觸那些突然傳送的連結或檔案。
很明顯,如果一個朋友給你發了一個有趣網站的連結或者你郵件裡的貓GIF,你可以少一點謹慎。但將滑鼠懸停在一個連結上,以確認您將轉到一個外觀合理的URL或域,這並沒有什麼壞處。考慮複製連結並將其貼上到瀏覽器的匿名或私有例項中,只是為了確保它是否充滿了基於未知域的不必要字串,而不僅僅是您習慣使用的標準域名(例如以.GIF結尾的檔案),暫停。
在TikTok的例子中,你甚至不需要點選連結就可以下載應用程式;你自己去你最喜歡的應用商店買吧。但就像我說的,如果你被要求安裝一個應用程式或啟用一個服務,而你沒有啟動請求,你應該非常懷疑。如果你已經安裝了TikTok,這是雙重事實,這應該是一個明顯的跡象,表明有人試圖擾亂你和你的帳戶。
... 繼續閱讀,瞭解更多關於這種新的詐騙技術是如何工作的,需要注意的是什麼,以及如何在未來保持安全。 ...
...攻擊。當時有報道稱,這次“未經授權的第三方”的安全漏洞導致與10億個賬戶相關的使用者資料被盜。然而,事實證明,這次史詩般的駭客攻擊比雅虎想象的還要嚴重。 ...
...CIA)的網路戰能力。Vault 7中描述的大部分軟體揭示了CIA如何使用智慧**、平板電腦、智慧電視和其他網際網路連線裝置進行控制和監視。3月7日,維基解密公佈了一小部分檔案。 ...
...我們將向您展示駭客使用SIM卡訪問裝置的一些方法,以及如何保護SIM卡安全的建議。 ...
...何人的情況下測試自己的技能。幸運的是,很多網站教你如何學會合法駭客,並給你一個沙箱來嘗試你的技能。 ...
... 網站經常會說他們的練習是教網站開發者如何駭客。這教育他們如何駭客可以利用他們的程式碼,並給他們知識,以抵禦這些戰術。 ...
...安全問題影響聯網汽車的不同方式,我們將分享一些人們如何嘗試甚至有時成功地入侵特斯拉的例子。 ...
你想學習如何像黑帽駭客一樣入侵系統,像安全專家一樣保護他們嗎?這本免費電子書(價值23美元)可能就是你要找的! ...