如何应对常见网络安全风险

发布时间：2017-09-15    来源：市局情报支队    责编：信息研判支队     点击：

如何应对常见网络安全风险  

一、电信网络诈骗

定义：电信诈骗是指犯罪分子通过电话、短信或网络方式，编造虚假信息，设置骗局，对受害人实施远程、非接触式诈骗，诱使受害人给犯罪分子打款或转账的犯罪行为。

方式：1、冒充国家工作人员：我是“公安部反洗钱中心”，你涉嫌洗钱犯罪，请按要求把资金转入“安全账户”配合调查。2、假冒中奖： 恭喜你获得“☆★☆节目”幸运观众一等奖，奖金10万元！赶紧点击链接领取奖金，过期作废！3、兼职“刷单”：叫你先刷单，回头一起给报酬，刷到最后报酬没得到，自己钱反而被骗走。3、网络借钱：通过盗取家人、同学、朋友QQ、微信等网络账号借钱，骗钱骗感情。

防范：1、暑期升学季冒充“助学金”信任诈骗多，九月入学季“装可怜求助”的同情诈骗多，“双十一”购物季“低价购物”的贪婪诈骗多，遇事多问多商量。2、170、171号段属于虚拟运营商，被诈骗分子大量利用。留心来电口音和号码归属地，网上搜索电话号码查看该号码是否已被标注为骗子。3、不要通过ATM机向陌生人转账，汇钱之前多问问。4、发生诈骗后第一时间拨打110报警，通过紧急止付最大程度上保护被骗的资金。

 

二、个人信息保护

定义：个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

风险：一旦遭到泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇。

防范：1、确认官方网址，不随意输入身份、银行卡等信息。2、不要外借身份证，身份证复印件注明用途或用后撕碎。3、注意快递、银行单据注意撕碎。4、注意凡是需要输入姓名、手机号红包都是假的。5、微博、朋友圈注意不要随意泄露行动信息，同时设置限制访问规则。6、关注信息泄露事件，及时更换口令，更换信用卡。

  

三、 勒索软件

定义：勒索软件是通过锁定系统屏幕或锁定用户文件来阻止或限制用户正常使用计算机，并以此要挟用户支付赎金的一类恶意软件。勒索软件的吓人策略包括：锁定屏幕、删除备份文件、加速删除文件、提高赎金金额等。赎金形式包括：真实货币、比特币以及其他虚拟货币。

传播：2017年，勒索软件想哭（WannaCry）席卷全球。1、网页挂马传播：用户不小心访问了恶意的或被攻破的网站，浏览器自动下载勒索软件。2、捆绑传播：被其它恶意软件作为载荷或下载。3、邮件传播：作为垃圾邮件的附件。4、漏洞传播：利用攻击套件投到有漏洞的系统。5、社交网络传播：以图片或者其它恶意文件为载体传播。

防范：1、拒付赎金：会助长攻击者的气焰，可能从此被盯上。2、防毒杀毒：到官方网站下载软件，安装正规杀毒软件，运营之前先行病毒扫描。3、及时更新：关注操作系统安全公告，及时安全安全补丁，尽早堵住漏洞。4、封堵端口：关闭无用的计算机服务端口，开启windows防火墙，减少被攻击“通道”。5、做好备份：使用光盘、硬盘对各类数据进行备份，脱机保存。

 

四、假冒热点

定义：手机上网有点贵，蹭网可省流量费。目前，家用无线宽带路由器非常普及。受无线信号传输距离限制，商业机构通常使用多个接入点提供区域信号覆盖。

风险：免费热点见就连，当心背后有风险。IC、IP、IQ卡，统统可能丢密码！攻击者利用人们节省流量费的心理架设假冒的Wi-Fi热点，对受害人进行窃取数据、注入恶意软件、下载有害内容等侵害。

防范：1、仔细辨认真伪：向公共场合Wi-Fi提供方确认热点名称和密码；无需密码就可以访问的Wi-Fi风险较高，尽量不要使用。2、避免敏感业务：不要使用公共Wi-Fi进行购物、网上银行转账等操作，避免登录帐户和输入个人敏感信息。如果要求安全性高，有条件的话可以使用VPN服务。3、关闭Wi-Fi自动连接：黑客会建立同名的假冒热点，利用距离近信号强等优势成为真接入点的“邪恶双胞胎”。一旦手机自动连接上去，就会造成信息的泄露。4、注意安全加固：为Wi-Fi路由器设置强口令以及开启WAP2是最有效的Wi-Fi安全设置。5、运行安全扫描：安装安全软件，进行Wi-Fi环境等安全扫描，降低安全威胁。

 

五、 钓鱼网站

定义：网络套路深，遍地都是坑。钓鱼网站是一种网络欺诈行为，指法分子仿冒真实网站地址以及页面内容，或者利用真实网站漏洞在某些网页中插入危险代码，以此来窃取用户银行或信用卡账号、密码等私人资料。

表现形式：1、以“公司周年庆”、“幸运观众”、低价机票、电话充值、征婚交友为名，诱骗用户填写身份证号码、银行账户等信息。2、模仿支付宝、网上银行等网站，窃取用户的账号及密码等信息。

防范：1、察言观色：留意网站配色、内容、链接等细微之处,完整克隆网站的钓鱼方式无法适用。2、注意提示：已被举报加入黑名单的网站，安全浏览器会提示“危险网站”。3、安全标志：支付相关的网站一般网址以https开头，网络地址栏会有彩色图标或锁头。4、学会识别：不盲目相信搜索引擎的推荐，不乱点击邮件、微信、微博、短信中的网址，熟悉官方网址：如中国工商银行网址是icbc.com.cn不是lcbc.com.cn。

 

六、 恶意二维码

定义：二维码是在平面上使用若干个与二进制数字0或1相对应图形来表示数据信息的几何形体。角落上的三个方块用于二维码扫描设备进行定位。大量用于信息获取、广告推送、优惠促销、防伪、支付等活动。

途径：1、将病毒或木马挂在网上，得到网址；2、利用二维码生成软件，将网址转换成二维码；3、通过各种途径传播恶意二维码，使用煽动性的话语诱骗用户扫描，下载和安装木马。

防范：1、关注来源：对街边各种二维码提高警惕，不扫描不明来源的二维码，如假冒的停车罚单上的付款码等。2、安全扫描：利用手机管家等二维码安全检测软件协助判别是否是恶意网址，背后是否有恶意软件。3、分辨真假：有骗子在共享单车上的解锁二维码上覆盖粘贴一层透明的二维码，或打印纸张贴在车上。要求转账或下载软件时要注意辨别资金去向和软件来源。

 

七、 口令安全

定义：口令俗称密码，是人们向电脑、网站等证明自己身份的一串字符，如123456、1q2w3e、Pa$$w0rd等。

风险：1、暴力破解：尝试所有可能的口令，越简单越短越易猜！例如，6位的数字口令有100万种可能，但借助口令破解软件可以读秒破解。2、字典攻击：标准单词拿来用，个人信息做口令。以标准词典或根据用户个人信息构造可能口令列表，即可进行快速搜索攻击。3、网络嗅探： 口令不光本地用，还会经常发上网。如果传输没加密，黑客截获没商量。4、键盘记录器：软件木马人尽皆知，爱上网吧的要注意了！5、拖库和撞库： 一个网站的用户名口令数据库泄露（拖库），攻击者拿着用户名口令到其它网站撞运气！

防范：1、避免弱口令：为登录名的任何一部分；字典中的任何单词；字母或数字的重复序列；键盘上相邻的键，如qwerty；个人信息相关，如驾照、电话、地址等。2、设置强口令：至少8个字符；包含至少大写和小写字母；包含至少一个数字；不同网站设置不同的用户名、口令；管理好口令。