钓鱼
该标签下有 6 篇文章
AI 时代真正有效的安全对策与「无效」的那些|小站为何也会被盯上
纠正 AI 时代的 4 个神话。①太小不会被盯上→自动化抹掉了『人来挑目标』这一步②需要特别的新对策→基本功才最强③装个产品就安心→比起检测,先做到『不让它发生』的设计④AI 生成代码又快又安全→连漏洞一起出货、上线前必须复查。真正有效的,是按正确顺序把不起眼的基本功做扎实。
收到了『冒充自己域名』的邮件——它和被入侵的区别,以及如何止住
即使收到自称来自自己域名的可疑邮件,多数也不是『服务器被入侵』,而是『发件人(From)被伪造』。因为 SMTP 允许任意填写 From。读懂邮件头里的 Authentication-Results、Received、Reply-To,就能分辨是入侵还是冒充。它能进到收件箱的主因是没有配置 DMARC。用 SPF→DKIM→DMARC(p=none→reject) 的分阶段引入来止住它。
什么是网络钓鱼(Phishing)——比「识破」更可靠的防御与手法种类
网络钓鱼是冒充可信对象、诱导你进入伪造的登录页面等,窃取凭据或个人信息(或诱使你运行恶意软件)的诈骗。它的特点是攻击『人的判断』而非软件漏洞,是勒索软件与信息泄露最大的入侵入口。如今有以假乱真的假网站连一次性验证码都实时中继的中间人型(AiTM),连SMS/应用的MFA也可能被突破。可靠的防御不是『识破的注意力』,而是与域名绑定的抗钓鱼MFA(通行密钥/物理密钥)、不点链接而直接访问官方、以及邮件认证(SPF/DKIM/DMARC)。
双因素认证(MFA)如何正确选择:比 SMS 更强的「抗钓鱼」是什么
MFA 是『即使密码泄露也进不来』的双重锁,但你配了什么会让强度差三档。SMS/邮件会被钓鱼中继、SIM 交换攻破,属于弱方式;验证器 App(TOTP)居中;passkey/物理密钥(FIDO2)因为『无法对假站点出示』的抗钓鱼特性而属另一档。最优先的是给王国之钥(邮箱、域名、支付)配上抗钓鱼 MFA。再加上妥善保管恢复码、准备好备用手段,才算正确的运维。
什么是勒索软件 —— 工作原理、入侵途径与「不付款」的防御
勒索软件是一种加密文件并要求「想恢复就付赎金」的恶意软件。如今除了加密,还会窃取数据并威胁「不付款就公开」,这种双重勒索已成主流——即使能解密,信息泄露也无法挽回。主要入侵口是钓鱼、弱口令/无 MFA 的 VPN/RDP,以及未修补的对外公开漏洞。最重要的防御是「离线/防篡改备份+恢复演练」——打造无需付款也能恢复的状态。同时也要把入口(MFA·补丁)和受害范围(最小权限·隔离)一并加固。
公共Wi-Fi的危险 — 真正可怕的不是『窃听』,而是连上假AP和无视证书警告
公共Wi-Fi的『窃听』在HTTPS普及后大多已被加密,优先级下降。真正的风险是:①自己主动连上假AP(evil twin)②无视证书警告③把设备暴露在同一网络里。最强的对策出乎意料地简单=用手机热点、相信HTTPS和证书警告、不自动连接陌生SSID。VPN是其次的追加手段。