如何防止像tiktok漏洞這樣的駭客攻擊

網路安全公司Check Point Research最近發表了一篇關於TikTok漏洞的文章，該漏洞為駭客提供了一個很好的滲透使用者帳戶的方法。TikTok已經解決了這些問題，所以你是安全的，但是這些攻擊產生的創造性方式提供了一個很好的學習機會。即使訊息看起來是直接來自某個服務，你也必須時刻保持警惕，並考慮為什麼你會收到該訊息。...

Illustration for article titled How to Prevent Hacks Like the TikTok Breach

一旦我們討論了攻擊方法，這些都會變得更有意義，所以讓我們從這裡開始。作為這段影片中的Check Point Research細節，攻擊者基本上是在使用TikTok的“給自己發一個連結來下載TikTok”功能，這是一種獲取應用程式的便捷方式，乍一看可以向乍一看似乎合法的使用者傳送訊息。畢竟，他們來自蒂克托克；它們看起來像是一條TikTok簡訊，有著與普通簡訊相同的“下載TikTok開始觀看”資訊。

攻擊者實際上截獲了原始的訊息請求並修改了傳送的超連結，從而允許攻擊者執行許多操作：新增或刪除使用者帳戶中的影片；改變使用者影片的隱私；或者從使用者的帳戶中檢索資訊，比如他們的電子郵件地址、生日或付款資訊。

我們能從中學到什麼？很簡單：每當你收到某人的資訊——一個人、一家公司、一項服務，無論什麼——要求你做些什麼，停下來想想為什麼你會收到這樣的資訊：

你有沒有要求什麼，而且這個資訊是對你的要求的（相當直接的）回應？你可能沒事。
訊息不知從哪兒冒出來的嗎？保持懷疑。
這條訊息是不是突然出現，是不是要求你做些什麼，比如下載一個檔案或者點選一個連結？要更加懷疑，也許不要這樣做。
這條資訊不知從哪裡冒出來的，它是要你確認你的個人生活或帳戶的細節嗎？別這麼做。你為什麼要這麼做？

這很簡單，當有人試圖讓你點選或執行惡意程式時，接近你傳送的連結和檔案（或要求你下載的應用程式）可以讓你免受傷害。總是考慮你所收到的內容的上下文，並且錯誤地不去接觸那些突然傳送的連結或檔案。

很明顯，如果一個朋友給你發了一個有趣網站的連結或者你郵件裡的貓GIF，你可以少一點謹慎。但將滑鼠懸停在一個連結上，以確認您將轉到一個外觀合理的URL或域，這並沒有什麼壞處。考慮複製連結並將其貼上到瀏覽器的匿名或私有例項中，只是為了確保它是否充滿了基於未知域的不必要字串，而不僅僅是您習慣使用的標準域名（例如以.GIF結尾的檔案），暫停。

在TikTok的例子中，你甚至不需要點選連結就可以下載應用程式；你自己去你最喜歡的應用商店買吧。但就像我說的，如果你被要求安裝一個應用程式或啟用一個服務，而你沒有啟動請求，你應該非常懷疑。如果你已經安裝了TikTok，這是雙重事實，這應該是一個明顯的跡象，表明有人試圖擾亂你和你的帳戶。