一个安全从业者的账号被盗自救指南

简介: 本文讲的是一个安全从业者的账号被盗自救指南,发生账号泄漏后,当事人需要做很多工作。很多时候,仅仅“重置密码“是不够的。
本文讲的是 一个安全从业者的账号被盗自救指南

一个安全从业者的账号被盗自救指南

编者按:现如今,账号被盗是个很寻常的事情,很多时候只需要改个密码就没事了。但也有改密码搞不定的时候,账号反反复复被盗,这时的你可能想起要找个“懂电脑”的朋友看看。本文作者Ryan McGeehan就是这样一位“懂电脑”的国外朋友,他对国外主流服务账号的安全设置了解得非常细致,并总结成了文章。虽然国情有别,但相关机制都有相通之处,希望能对大家有所借鉴。

发生账号泄漏后,当事人需要做很多工作。很多时候,仅仅“重置密码“是不够的。

向当事人提供应急安全建议,如果考虑不全面,则会导致Ta再次受到伤害。

一次高水平的攻击,有无数方法可以保持对账号的二次访问权。几乎每款产品都会有一些这样的小缺陷,比如重置密码功能。

为了真正调查清楚账号泄漏事件,解除其威胁,我们不仅需要重置密码,还要把一些可能遗留问题的小角度清理干净。

过去大概半年时间里,Ryan McGeehan记录了大多数在线邮箱、社交网站上需要检查的奇怪设置,这份清单非常全面,目前来说应该适用于所有服务。

从安全设备开始检查账号

首先需要排除恶意软件攻击因素,我们可以新买一台电脑或者使用不在本次影响范围的电脑开始检查。

如果你希望尽快消除威胁,那么可能需要还原/回滚系统。

解除手机短信绑定

运营商过往有过诸多极其恶劣的安全违规案例,比如短信转发、短信转移、SIM卡补登记等。在这种情况下,你可能需要考虑设置Google语音短信号码或者找一个可靠的手机。

如果你已经弄过某种方式排除短信或移动网络相关攻击,那么就不需要做了。

重置密码

如果你认为自己的邮箱也受到影响,那么应该优先锁定和检查邮箱,否则后续的重置密码操作,只是给攻击者添加乐趣而已。

启用二次验证/登录验证

为重要账号启用二次验证,记得找个可靠的手机,并且优先选择动态口令应用而非短信。

注销登录状态的会话

在操作过程中,你需要注意账号设置里有没有奇怪的改动,并确保攻击者不会拿到登录会话。

清理可疑的账号授权

几乎所有大公司都有一个开放应用平台,用来授权外部应用使用你的账号信息。

一个安全从业者的账号被盗自救指南

有一些外部应用利用漏洞可以保留对账号的访问权限,你应该仔细检查,有没有陌生、可疑的应用。

如果事情非常棘手,可以考虑重新注册个账号。

保护关联账号

像Instagram、Facebook、LinkedIn等产品都有“账号连接”功能,可以将发布的内容同步过去。快速检查一遍,看看这里有没有陌生账号,以及你之前设置的账号是否正常。

检查恢复地址

许多服务的设置有个不起眼的功能,叫恢复地址,用来邮件找回账号控制权的。检查它是否被修改过。

一个安全从业者的账号被盗自救指南

检查恢复电话

和上条类似,绑定电话也需要检查一遍。

一个安全从业者的账号被盗自救指南

检查邮箱的过滤、转发和同步设置

许多人的邮箱设置了超多的邮件过滤条件,这里要特别注意,小心攻击者偷偷留下一条“重置密码邮件转发”规则。

一个安全从业者的账号被盗自救指南

邮箱的所有邮件转发功能也需要检查。

一个安全从业者的账号被盗自救指南

客户端邮件同步功能也是一个出口。

一个安全从业者的账号被盗自救指南

重新设置“应用程序专用密码”

为了照顾某些不支持二次验证登录的场景/应用,比如邮箱客户端,我们会设置一个对应的专属密码。

一个安全从业者的账号被盗自救指南

检查下有没有奇怪的变动。如果可以,把之前的所有专属密码全部删掉,重新设置一遍。

检查帐号验证设备

有些服务把设备作为二次验证的装备,比如iCloud,你需要注意这种情况。

Facebook里的可信联系人

Facebook的可信联系人功能,可以让信任的FB账号获得你账号的控制权,你需要检查这个功能设置的联系人是否有问题。

一个安全从业者的账号被盗自救指南

Facebook里的遗产联系人

Facebook的遗产联系人功能,可以通过死亡证明来将账号转移给其他人,看看有没有被设置陌生账号。

一个安全从业者的账号被盗自救指南

Facebook图片登录

Facebook还有个图片登录功能,你需要确保这里没有任何陌生设备。

一个安全从业者的账号被盗自救指南

做完这些,账号还是被盗?

如果你梳理完上边各项检查后,还反复遭遇盗号,那么可能是有些因素没考虑到。

浏览器扩展

仔细检查浏览器里的扩展。请记住,许多看似正规的扩展,也可能有问题,你应该搜索看看它们是否有黑历史。

设备

如果浏览器没问题,问题还可能出在设备上,比如存在某些未能检查到的恶意软件。

键盘监控器

检查下你的键盘是否存在物理监听装置,说不定有人恶作剧或者搞物理攻击呢。

网络

考虑下中间人攻击或流量劫持,电脑上是否有工作公司的证书(CA)、信誉不佳机构的证书。

最不可靠因素:人

再想想,你真的没在其它地方登录过吗?




原文发布时间为:2017年3月31日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
云安全 机器学习/深度学习 人工智能
金融安全资讯精选 2017年第十期 中国台湾远东银行遭黑客入侵被盗六千万美元,GDPR成了欧洲企业“最担心的挑战”,CISO在企业中的位置会变得更加重要
中国台湾远东银行遭黑客入侵被盗六千万美元,GDPR成了欧洲企业“最担心的挑战”,CISO在企业中的位置会变得更加重要,DNSMASQ多高危漏洞公告,阿里云安全数据智能团队负责人观点:安全算法,时代风口的交叉点
2119 0
下一篇
无影云桌面