警惕WiFi装了“窃听器”
增加商品或店铺的浏览收藏量,是否能够提升自己店铺的排名?淘宝是否允许流量交易的行为?为何我的账号在不知情的情况下会收藏加购陌生商品和店铺?记者向淘宝官方进行了函询。
淘宝团队表示,“流量交易”行为属于互联网行业内常见的黑灰产买卖。在网页搜索、社交软件中,常常有用户通过网络黑灰产购买各种垃圾流量,自身流量造假,甚至用于恶意流量攻击。一直以来,淘宝网都禁止任何形式的恶意流量的伪造、劫持、买卖,也不允许提供此类服务。在商品和店铺排名上,淘宝更注重商品质量、消费者服务能力、物流效率等能够切实提升消费者购物体验的因素。
此外,淘宝方面认为,造成用户账号“莫名”收藏陌生商品和店铺的原因主要有两方面:一是部分消费者为蝇头小利,对淘宝账号进行出租,将账号主动提供给黑灰产团伙制造虚假流量;二是一些黑灰产团伙会对用户进行流量劫持。
“不管是微博、微信还是淘宝账号,当无故出现‘非本人异常操作’这类‘灵异现象’时,一定是账号出现了安全风险。”上海安识网络科技有限公司总经理、资深网络安全专家郭耀分析说,接入未经授权的恶意WiFi、流量劫持、恶意代码攻击、移动设备中木马病毒、账号弱口令导致被破解等都有可能造成此类“灵异现象”,个人账号被利用最常见的原因,还是因为接入了未经授权的恶意WiFi,导致数据被劫持。
所谓恶意WiFi嗅探,就是指攻击者通过伪造一个未经授权的WiFi热点,引诱受害者接入该恶意WiFi,由于WiFi是攻击者搭建,所以其可以获取用户在连接该WiFi时所发送与接收的全部数据包。“这就好比是有人在WiFi上装了一个窃听器,只要接入这台WiFi,你和别人的所有通信信息就全部被监听了。”郭耀说。
除恶意攻击者伪造WiFi进行攻击外,家用WiFi、一些公共场合的WiFi也可能由于不安全的配置、弱密码导致被不法分子攻破并“窃听”,当使用这些WiFi登录网络社交平台或电商平台的账号时,账号密码等信息就可能被他人掌握。不法分子继而进一步入侵用户账号,执行“幽灵操作”。
此外,一部分用户使用网上购买的“杂牌无线路由器”也可能存在安全风险。“网络黑灰产已形成上下游完整的产业链,一些杂牌路由器在出厂前就可能被装上‘后门’,生产厂商会根据需求定向监听用户来往某个网站的数据,从而获取用户在特定平台的账号控制权。”郭耀说。
如果用户并未使用WiFi,是否也存在相应安全风险呢?一位不愿具名的通信运营商安全工程师告诉记者,使用移动数据流量访问网络平台时,同样存在被窃听的风险。
“用户、通信运营商、网络平台服务器三者之间发生数据交互,才有了用户在手机上看到的各式各样的内容,”该工程师说,“从运营商发出和接收的数据是经过加密的,但是网络平台服务器内部和用户之间的数据安全性保护相对薄弱,这就给不法分子留下了可乘之机。”
该工程师透露说,一些网络平台会和内容分发商订立合作关系,以此降低主服务器的网络荷载并提升网络响应速度,但这相当于在用户与网络平台服务器的数据交互路径上多了一道关卡,一些内容分发商为了达到商业目的,在交互给用户的数据中夹带“私货”,从而使用户在“毫无感知”的情况下执行某些特定操作,这也是流量劫持中比较常见的方式。
个人要做足安全功课
近年来,国家不断在个人信息保护层面加强制度建设。例如,《网络安全法》的颁布实施,以及《民法典》对个人信息保护提出了更为细致的规定,《个人信息保护法》和《数据安全法》等一批法律法规也呼之欲出。
与此同时,各地公安部门也进一步加强查处力度。2019年,江苏南京和南通警方查处两起利用暗网侵犯公民个人信息案,查获公民个人信息数千万条;2018年12月,河南开封警方打掉一侵犯公民个人信息犯罪团伙,抓获涉及电信运营商、社区干部、物流行业从业人员等“内鬼”80余名……
受访专家认为,在日常生活工作中,用户自身也要具备一定的网络安全素养。
“不要出借自己的微信、微博、淘宝等网络平台账号,不要轻信网上所谓‘绿色清理僵尸粉’的广告。” 中国电子技术标准化研究院信安中心测评实验室副主任何延哲提醒广大用户,这些防范风险的举措,不仅能够在一定程度上保障用户网络平台账户的安全,还能避免用户在不知情的情况下参与到网络洗钱等非法金融活动中。
同时,对于手机、个人电脑等移动终端,要使用专业杀毒软件定期杀毒,不要随意点击来路不明的网站链接,更不要在陌生网站上填写自己的网络平台账号信息。
“一些用户为防止遗忘密码,喜欢将不同网络平台的账号密码设置成相同的,这也存在一定安全风险。”何延哲建议,用户可以在不同网络平台的账号密码设置上添加一些大写英文字母或标点符号,这样既不容易遗忘密码,也可以增加密码的安全性。
“不要看到免费WiFi就去‘蹭’,因为这很有可能是不法分子在‘钓鱼’。”郭耀提醒喜欢在公共区域“蹭网”的用户,在公共场所尽可能使用手机自带的移动数据流量,不要随意扫码下载安全性不明的手机应用软件。
此外郭耀还建议,消费者在选购无线路由器时,应尽可能选择正规厂家生产的品牌产品,安装设置路由器时也要尽可能使用复杂密码来提高空间网络安全性。