周末经历twitter被盗号，算是人生中第一次遇到黑客事件🥲，希望没有人被骗…Twitter对于用户的保护真的是差劲的，黑客对社会工程学的钻研也是到达炉火纯青的地步。 再次也呼吁大家保护好账户信息，别说我们这样的普通人，2020年也曾出现过一次大规模twitter攻击，全球知名人士被盗号，涉及美国前总统奥巴马、拜登、美国 “股神巴菲特、侃爷、苹果的官方账号。 那当年黑客盗取这些名人账户之后，做了什么？ 黑客黑了账户后发布诈骗信息，说“我在回馈社区，所有发送至以下地址的比特币将加倍退回！如果你发送1000美元，我就回寄2000美元。只限30分钟。”随后，这些推文附上一个特定比特币钱包的地址。 大家看到这肯定就知道是钓鱼链接了对吧？但还是有大规模的人受骗，换句话说还是因为贪心而想去试一试。 这就是社会工程学，是一种针对“人”本身的弱点，它并非依靠技术漏洞，而是利用人性弱点，比如好奇心、信任、贪婪等。使用极具吸引力的信息作为诱饵进行攻击。 连这些顶级名人的账户都有被盗的风险，你的账户还安全吗？虽然我们个人的账户价值远不如这些政客名人，但不管是个人隐私、私密信息、交际圈等都能被黑客利用。常见隐患包括设备未锁、公共 Wi-Fi 使用、伪造二维码、USB 充电攻击等。 ▪️个人账号，核心要做的就是： 1️⃣. 给账号设置双因素验证（2FA）。 2️⃣. 定期更改密码，增加密码强度。 （用一个较长的数字、字母、字符等组合；像qwerty、012345678、I LOVE U这些最常见的密码只需要0.25毫米就可以破解。如果你的密码由7个字母组成，那么它将需要黑客花费大约10分钟才可以破解。但如果你使用常见的密码，如monday，那么它只需要不到一毫秒就可被破解。如果你把八位字母的密码变成九位字母的密码，破解的时间将从4小时24分钟增加到大约5天时间。而八个字母加上一个数字的密码将需要花费大约3个月时间才能破解。） 3️⃣. 不要连接没有密码保护的wifi，将WIFI连接设为手动。 4️⃣. 不要点任何链接🔗 包括账号密码、文档、代码等等，禁止运行来源不明的二进制文件，尤其是所谓“挑战题”或“升级补丁”，尤其TG简直骗子的天堂。 5️⃣.谨慎对待任何未经验证的投资、招聘请求或远程面试邀约；甚至熟人莫名其妙的会议链接也要小心。 6️⃣.加强终端检测与响应能力，安装必要的杀毒软件，ios升级到最新版，定期检查异常通信与行为。 ▪️官方账号： 除了以上几点，公司不要把官方号账户密码直接给员工登陆，大部分的安全问题都是由于人员的疏忽或者失误导致的。通过对目标人员进行钓鱼、社工以及投放木马，定向获取关键人员的合法账号或者PC的控制权，所以方法应该是用一台专门的设备作为Admin账号，这台设备不要操作其他事情，不要对外接触，再给员工授权选择delegate user账号，这样可以规避被盗号的风险。 👁️‍🗨️包括我的一个朋友就是被身边熟人作案，骗子利用熟人信任，先借钱类似几个eth，然后通过借钱这个事情可以看到这个人链上钱包有多少财产，他就开始想方设法的约这个人开会，实际上会议链接是植入了木马的，这个人甚至还潜伏了一段时间，掌握了朋友去跑会的时间，利用时差和各种掌握的信息在朋友不注意的时间实施盗窃，最终损失几M的资产。 君子不立于危墙之下，要防患于未然。希望大家都重视隐私安全🔐理解社会工程学有助于提升个人信息安全意识，防范类似风险。