图源:微博
这也是为什么大家一开始对微信号被盗的说法充满疑惑,至于最开始被病毒入侵的说法,则更加离谱,病毒入侵并不少见,不过一般都是入侵手机系统,并且通过隐蔽的方式窃取手机信息,很少有人会专门开发一个在微信发不雅信息的病毒。
至于入侵腾讯的服务器并群发不雅信息,可能性则更低,先不提微信信息本身都存储在手机端,服务器只是负责转发,黑入腾讯服务器的难度也是极高,虽然并非完全不可能,但是发生的概率远小于微信号被盗。
让我们说回微信号被盗的问题,恐怕不少80后、90后都记忆犹新,从游戏账号到QQ账号,与互联网一起成长的我们,基本上都遇到过账号被盗的情况。我就曾经有过几次游戏账号被盗的经历,甚至QQ账号都被盗过两次,不过在我的记忆中,自从腾讯多次升级安全保护机制后,类似的账号被盗情况已经大幅度降低。
当然,最近两年在QQ中也不时能看到一些许久不联系的朋友,突然在群里发一些诈骗和不雅信息,对此大家也是见怪不怪了。不过,如果微信中突然有人发一些不雅信息到群里,多数人的第一反应其实都是“发错了吧?”。
实际上,在日常使用中,QQ号被盗的频率确实高于微信号,特别是一些长时间没有使用的QQ号,因为没有及时更新安全保护信息,都存在不少的安全隐患。目前,QQ号和微信号的保护机制其实十分相似,甚至在保护功能上,QQ号还更胜一筹,多种保护措施,稍有不对就直接限制登录,即使如此也架不住用户自己“作死”。
图源:QQ安全中心
首先就是手机号验证,这是一个非常有效的防盗手段,基本上可以杜绝陌生人异地登录的可能,在微信号注册的过程中,手机号验证是强制性的。QQ号在最近几年也要求使用手机号验证,但是在此之前,QQ号是可以随意注册的,只需要一个安全邮箱即可。
当然, 在注册成功后,用户可以选择绑定安保手机等功能,在更早期甚至会生成一张密保卡,上面用英文字母和数字划分出一个表格。QQ用户在开启高等级保护后,在非常用IP地址登录都需要按照字母 数字的提示找到对应的格子,将格子中的信息填入验证窗。
在后续的安保升级中,手机验证、安全邮箱、异地登录保护、实时验证码等功能,基本上让QQ号的安全性得到有效保障。微信同样如此,频繁的验证需求,基本上也杜绝了他人在无法控制和获取手机号的情况下,直接远程登录的可能。
就个人体验而言,基本上只要把QQ的安全保护功能打开两到三个,被盗号的概率就已经很低,想要突破腾讯的层层阻碍盗取账号,难度远高于入侵你的手机或者电脑,然后打开远程控制。
那么问题来了,为什么还是屡屡出现微信号被盗用的新闻呢?
微信、QQ如何防止盗号?
在很多人看来,微信、QQ被盗,基本上都是用病毒入侵等方式完成的,事实上,如果仅考虑非接触式盗号的话,确实如此。通过网络入侵有安全漏洞的电脑或手机,然后通过木马程序来远程控制或窃取密码等信息,就可以完成一次远程的非接触式盗号。
不过,随着Windows、Android和iOS系统的安全系统逐渐完善,多数情况下系统都是安全的,除非有人故意针对你发送钓鱼链接,然后你不仅安装还提供了系统权限,否则大多数恶意软件都只能进行简单的信息收集、屏幕共享等操作。
实际上,很多所谓的微信号被盗事故,背后的方法往往简单到让你觉得匪夷所思。
说到这里就不得不提到一个网络入侵中的常见概念:社会工程学,这个概念由顶级黑客凯文·米特尼克在自己的著作《反欺骗的艺术》中提出。凯文·米特尼克被誉为世界头号黑客,曾经入侵过美国的多个政府系统,也是全世界第一个因网络犯罪而被逮捕的黑客,然而,在他的这本著作中,并没有大家花大篇幅介绍各种计算机安全技术,而是将核心放在了“社会工程学”上。
图源:TechNews
简单来说,再严密的系统,只要有人参与到系统运行中,那么这些人就是系统的最大漏洞。举个例子,有家公司发现自己的商业机密信息屡屡被竞争对手获取,即使花大价钱升级网络安保措施也无济于事,甚至无法找到对方入侵的痕迹。最后,在网络安全专家的建议下,他们开始检查办公区域的监控摄像头,然后发现一个清洁工每天都会进入该区域并停留一段时间。
清洁工进入房间打扫是一件很常见的事情,但是逗留的时间无疑有点超出一般打扫所需要的时间,随后,网络安全专家和安保人员将清洁工喊来问话,然后获知了一个惊人的消息:一个穿西装的人曾经给过他一个U盘,并且告诉他只要在打扫卫生时把U盘插入CEO的电脑并开机,然后等待十到十五分钟再拔走,只要完成这项工作,对方就会支付一笔薪酬。
通过对U盘的分析,专家在其中发现了无线网络收发装置和木马程序,因为是通过物理方式直接入侵,所以对外的网络安全系统丝毫没有察觉。这个入侵案例就是典型的社会工程学应用场景,你并不需要解决高安全性的保护系统,只需要解决能够接触或是参与系统运行的人就行。
同理,微信盗号有时候或许只需要按一下开机键即可。大家应该都注意到,微信去年上线了免密自动登录功能,在常用设备上,用户可以无需输入密码和手机确认就可以直接登录微信。
图源:雷科技
换言之,如果你的电脑没有设置密码或是密码被他人获取,那么其他人就可以直接打开你的电脑并登录微信,其间甚至不需要用到任何的网络入侵手段,盗号,有时候就是如此简单。
另外,一些单位、企业的官方微信、微博等都会登录在一台专门的工作手机上,如果这台手机没有设置密码且被他人获取,同样可以轻松借用这些官方账号发布各种信息。
QQ等账号同理,大多数的盗号案件,背后其实都是使用者的疏忽大意所造成的,真正通过网络入侵实现的盗号,随着腾讯的安全措施不断升级,其实已经越发少见。