本文讲的是
一个安全从业者的账号被盗自救指南,
编者按:现如今,账号被盗是个很寻常的事情,很多时候只需要改个密码就没事了。但也有改密码搞不定的时候,账号反反复复被盗,这时的你可能想起要找个“懂电脑”的朋友看看。本文作者Ryan McGeehan就是这样一位“懂电脑”的国外朋友,他对国外主流服务账号的安全设置了解得非常细致,并总结成了文章。虽然国情有别,但相关机制都有相通之处,希望能对大家有所借鉴。
发生账号泄漏后,当事人需要做很多工作。很多时候,仅仅“重置密码“是不够的。
向当事人提供应急安全建议,如果考虑不全面,则会导致Ta再次受到伤害。
一次高水平的攻击,有无数方法可以保持对账号的二次访问权。几乎每款产品都会有一些这样的小缺陷,比如重置密码功能。
为了真正调查清楚账号泄漏事件,解除其威胁,我们不仅需要重置密码,还要把一些可能遗留问题的小角度清理干净。
过去大概半年时间里,Ryan McGeehan记录了大多数在线邮箱、社交网站上需要检查的奇怪设置,这份清单非常全面,目前来说应该适用于所有服务。
从安全设备开始检查账号
首先需要排除恶意软件攻击因素,我们可以新买一台电脑或者使用不在本次影响范围的电脑开始检查。
如果你希望尽快消除威胁,那么可能需要还原/回滚系统。
解除手机短信绑定
运营商过往有过诸多极其恶劣的安全违规案例,比如短信转发、短信转移、SIM卡补登记等。在这种情况下,你可能需要考虑设置Google语音短信号码或者找一个可靠的手机。
如果你已经弄过某种方式排除短信或移动网络相关攻击,那么就不需要做了。
重置密码
如果你认为自己的邮箱也受到影响,那么应该优先锁定和检查邮箱,否则后续的重置密码操作,只是给攻击者添加乐趣而已。
启用二次验证/登录验证
为重要账号启用二次验证,记得找个可靠的手机,并且优先选择动态口令应用而非短信。
注销登录状态的会话
在操作过程中,你需要注意账号设置里有没有奇怪的改动,并确保攻击者不会拿到登录会话。
清理可疑的账号授权
几乎所有大公司都有一个开放应用平台,用来授权外部应用使用你的账号信息。
有一些外部应用利用漏洞可以保留对账号的访问权限,你应该仔细检查,有没有陌生、可疑的应用。
如果事情非常棘手,可以考虑重新注册个账号。
保护关联账号
像Instagram、Facebook、LinkedIn等产品都有“账号连接”功能,可以将发布的内容同步过去。快速检查一遍,看看这里有没有陌生账号,以及你之前设置的账号是否正常。
检查恢复地址
许多服务的设置有个不起眼的功能,叫恢复地址,用来邮件找回账号控制权的。检查它是否被修改过。
检查恢复电话
和上条类似,绑定电话也需要检查一遍。
检查邮箱的过滤、转发和同步设置
许多人的邮箱设置了超多的邮件过滤条件,这里要特别注意,小心攻击者偷偷留下一条“重置密码邮件转发”规则。
邮箱的所有邮件转发功能也需要检查。
客户端邮件同步功能也是一个出口。
重新设置“应用程序专用密码”
为了照顾某些不支持二次验证登录的场景/应用,比如邮箱客户端,我们会设置一个对应的专属密码。
检查下有没有奇怪的变动。如果可以,把之前的所有专属密码全部删掉,重新设置一遍。
检查帐号验证设备
有些服务把设备作为二次验证的装备,比如iCloud,你需要注意这种情况。
Facebook里的可信联系人
Facebook的可信联系人功能,可以让信任的FB账号获得你账号的控制权,你需要检查这个功能设置的联系人是否有问题。
Facebook里的遗产联系人
Facebook的遗产联系人功能,可以通过死亡证明来将账号转移给其他人,看看有没有被设置陌生账号。
Facebook图片登录
Facebook还有个图片登录功能,你需要确保这里没有任何陌生设备。
做完这些,账号还是被盗?
如果你梳理完上边各项检查后,还反复遭遇盗号,那么可能是有些因素没考虑到。
浏览器扩展
仔细检查浏览器里的扩展。请记住,许多看似正规的扩展,也可能有问题,你应该搜索看看它们是否有黑历史。
设备
如果浏览器没问题,问题还可能出在设备上,比如存在某些未能检查到的恶意软件。
键盘监控器
检查下你的键盘是否存在物理监听装置,说不定有人恶作剧或者搞物理攻击呢。
网络
考虑下中间人攻击或流量劫持,电脑上是否有工作公司的证书(CA)、信誉不佳机构的证书。
最不可靠因素:人
再想想,你真的没在其它地方登录过吗?
原文发布时间为:2017年3月31日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。