測試你的密碼:更多的密碼外洩事件(含複雜密碼,簡單記憶法設定教學)

FormspringBillabong、Nvidia和雅虎都傳出了大規模的密碼外洩事件,許多使用者的用戶名稱和密碼都被放到網路上。雅虎被入侵事件影響了45萬名使用者,另外還有39萬名是在Nvidia外洩的。

 大約在一個月前,我們首先談到了不安全的密碼和關於密碼的基本問題。隨著最近發生的事件,許多使用者可能需要被再次提醒關於密碼的問題以及如何保護它們。

用者可能需要被再次提醒關於密碼的問題以及如何保護它們。

 

 

你的密碼能通過測試嗎?

 

你的密碼能通過測試嗎?

 

密碼安全該做和不該做的事

  1. 不要使用常見字或連續數字所建立起的短密碼
  2. 不要在不同平台使用相同的密碼
  3. 要定期變更你的密碼

 

常見問題

 

LinkedIneHarmonylast.fm英雄聯盟(LOL雅虎,這些網站有何共同點?這些網站都曾經是嚴重的資料外洩受害者,讓數百萬的用戶名稱和密碼被公布在網路上。這些事件告訴我們,大多數網路使用者還在使用不安全的密碼,有太多短密碼(像1234)。還有使用者會用很容易被猜中的密碼。雅虎受駭事件可以看出,這45萬被外洩的用戶名稱和密碼主要都是連續數字(如12345)或用單字當密碼。

 

 

 

不幸的是,這不會是最後一次看到資料竊取攻擊。只要網路犯罪分子可以從偷來的資料中獲利,他們就會不斷地嘗試破解使用者的帳號。一旦發生這種情況,你對你的密碼強度有信心嗎?你的密碼是否有機會對抗這些潛在的攻擊者?

 

為何我要保護好密碼?

 

密碼這玩意就跟人類的歷史一樣古老。還記得阿里巴巴和四十大盜的名句「芝麻開門!」嗎?如果你熟悉這故事,你就知道為什麼強盜要用密碼來保護他們的寶藏了。

 

這就是我們現代密碼的功能。它是我們網路生活的鑰匙。密碼保護我們的身份和敏感資料(像是網路銀行身分認證和信用卡資料等)。這些資料對於我們來說就像是四十大盜的寶藏一樣。而就跟現實生活裡一樣,也有現代的小偷或網路犯罪份子會想去得到你寶貴的資料。一旦他們成功了,任何人都有可能成為網路犯罪分子的受害者,像是身份竊盜,甚或是在某些情況下會造成實際的金錢損失。

  繼續閱讀

倫敦奧運會票務網站在臉書 facebook 開賣!?網路釣客騙個資

發現假的2012倫敦奧運會票務網站

萬眾矚目的2012年倫敦奧運會就要在揭開序幕了。

隨著日子的接近,我們也預期會看到網路攻擊會去利用各種奧運活動。果不其然,我們在Facebook塗鴉上看到類似的貼文:

 

Facebook 開始出現奧運售票的釣魚網站
Facebook 開始出現奧運售票的釣魚網站

 

PC-cillin 2012雲端版自動掃描 facebook 塗鴉牆,將奧運釣魚網址以紅色標示危險網址
PC-cillin 2012雲端版自動掃描 facebook 塗鴉牆將奧運釣魚網址以,紅色標示危險網址

這個網站掛在網域liveolympictickets.com下,號稱有提供門票出售。而且這個網站還使用跟官方網站一樣的顏色和外觀感覺:

假的倫敦奧運會票務網站網路還使用跟官方網站一樣的顏色和外觀感覺
假的倫敦奧運會票務網站網路還使用跟官方網站一樣的顏色和外觀感覺

檢查這網站之後,趨勢科技發現點入藍色標籤 – Olympic Tickets – Buy Tickets for the London 2012 Olympics(奧運門票 – 購買2012倫敦奧運會的門票)後會連到這網站內的其他網頁,偽裝成正常的網路交易頁面,像是要購買物品的詳細資料。在這個例子內,如果使用者選擇進行交易,他可以選擇想看的比賽:

使用者選擇進行交易,他可以選擇想看的"比賽"
使用者選擇進行交易,他可以選擇想看的"比賽"

繼續閱讀

「Sent from Yahoo! Mail on Android」:Android 平台 Yahoo! App 程式漏洞可能讓駭客散發垃圾郵件

就在一波疑似某 Android 殭屍網路/傀儡網路 Botnet垃圾郵件(SPAM)的報導出現之後不久,趨勢科技就發現了 Android 平台Yahoo! App 程式的漏洞,此漏洞可讓駭客利用遭入侵的 Yahoo! 帳號散發垃圾郵件。

第一波透過 Android 殭屍網路散發的垃圾郵件?

近日趨勢科技發現了多個專門散發假藥品網站連結或網路釣魚(Phishing)網站連結的郵件。這一波垃圾郵件之所以特別,在於訊息的簽名部分有著「Sent from Yahoo! Mail on Android」(從 Android 上的 Yahoo! Mail 寄信) 的字樣,而且信件的 Message-ID 欄位數值為「androidMobile」。根據報導,其 IP 位址顯示這些訊息來自於開發中國家的網路業者。

某些專家依據這些證據猜測,這些垃圾郵件(SPAM)散發者可能利用了被植入惡意 App 程式的 Android 裝置。不過,Google 駁斥了垃圾郵件是從 Android 殭屍網路/傀儡網路 Botnet散發的說法,並宣稱歹徒應該是使用已感染的個人電腦,並在信件當中假冒行動裝置的特徵來試圖躲避電子郵件過濾機制。 

第一波透過 Android 殭屍網路散發的垃圾郵件?
第一波透過 Android 殭屍網路散發的垃圾郵件?

 

就在最近,有人提出了另一種可能的情況。某些資訊安全研究人員推論,歹徒可能利用Android 平台Yahoo! App 程式的漏洞來入侵行動裝置並散發垃圾郵件(SPAM)。

歹徒可能利用 Adroid 平台的 Yahoo! Mail App 程式漏洞來散發垃圾郵件

不論這些訊息是從何而來,網路駭客是有可能利用 Android 平台的 Yahoo! App 程式漏洞來入侵 Yahoo! Mail 帳號然後散發垃圾郵件。事實上,趨勢科技最近在 Android 上的Yahoo! 郵件用戶端上發現了一個漏洞,此漏洞可允許攻擊者取得使用者的 Yahoo! Mail cookie。此問題來自於 Yahoo! 郵件伺服器和 Android 平台 Yahoo! 郵件用戶端之間的通訊弱點。在取得這個 cookie 之後,駭客就能使用已遭入侵的 Yahoo! Mail 帳號來散發精心製作的信件。此外,上述漏洞還可讓駭客存取使用者的收件匣和信件。 繼續閱讀

“電子郵件帳號被入侵,還好裡面沒重要的東西?! “事實上,裡面是大有東西在。

「網路安全?我不在乎這個東西,因為我的帳戶又沒有錢」,或是「他們要偷什麼?我的Facebook臉書帳戶嗎?我的電子郵件帳號登錄資料?那裡面根本沒東西呀。」你常常聽到這樣的說法嗎?

 「裡面沒東西」的電子郵件帳號被入侵,真的沒關係嗎?事實上,裡面是大有東西在。

 除了無法使用電子郵件的麻煩外,你其它帳戶的資料可能同時遭殃。因為控制了你的電子郵件帳戶,就能讓他們在許多的網站中「重設你的密碼」。很多人通常會將這些網站的「歡迎加入」的信件留存在收信匣中,其中包括了你的使用者名稱,有時還會有你的密碼。除此之外,你的電子郵件聯絡人也會被加入到垃圾訊息發送的資料庫中,結果你可能會(非直接地)大量散發垃圾訊息給朋友們。社交網路帳戶對網路犯罪份子們來說更加有用,因為除了掠奪你朋友們的電子郵件位址外,惡棍們還可以傳送不好的連結,試圖偷你朋友們的社交網路帳號。

密碼重設通知信,一旦落入歹徒手中,就不妙了
密碼重設通知信,一旦落入歹徒手中,就不妙了

 

 更甚的是,很多人在不同的帳戶上皆使用同樣的密碼(儘管這實在是個壞主意)。這表示你所有的帳戶皆可能受入侵,這就不是件好玩的事了。

 所以如果你還認為讓你非銀行往來類帳戶外洩是無關緊要的,那問題就是你自找的了。

@原文來源:Risks Behind Stolen Email Credentials Remain Unforeseen

✔想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁上按讚:https://www.facebook.com/trendmicrotaiwan

@延伸閱讀:

從 Yahoo 被駭事件,看如何降低線上服務資料外洩,對你帳號密碼的衝擊?(含歷年最駭密碼一覽表)
關於密碼千萬不要做的四件事與密碼設定小秘訣
你可能沒想過的密碼保護秘訣
從Hotmail 密碼外洩事件,看六種密碼被竊的手法(上)

我複製、貼上密碼,他在幕後接收!-從Hotmail 密碼外洩事件,看六種密碼被竊的手法(下)

 

 

【立即下載試用PC-clin 2012 雲端版 臉書地雷區 bye bye~

免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻按這裡下載

@參考推文

雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>100字推文

◎ 歡迎加入趨勢科技社群網站

 

假 Android 版本Skype,安裝後簡訊爆量,帳單暴增

 隨著假Instagram、憤怒鳥上太空Farm Frenzy等惡意假應用程式的出現,我們最近看到有個網站會提供不同版本的假Skype行動應用程式給Android使用者。根據分析,這些應用程式實際上提供給舊Symbian版本或是可透過Java MIDlet來執行應用程式的Android設備。安裝之後,惡意軟體會在使用者不知情下發送訊息去訂閱加值服務。

 

惡意網站提供Skype應用程式給不同版本的Android
惡意網站提供Skype應用程式給不同版本的Android

 這個網站 – https://{BLOCKED}ndroidl.ru提供Skype應用程式給不同版本的Android。它的網址是代管在俄羅斯網域內,就跟之前看過代管Instagram、憤怒鳥上太空的網域類似。在分析的過程中,我們試圖下載上述的應用程式,但發現這應用程式下載來自其他網站 – https://{BLOCKED}mobile.ne

 

執行假 Skype 會出現的畫面
執行假 Skype 會出現的畫面

  繼續閱讀