摘要：本文對用戶信息的泄露途徑和如何保護用戶個人信息都做了簡單的分析,，并通過一個實例來展示了黑客如何利用網(wǎng)絡釣魚攻擊竊取到用戶的賬號、密碼,，希望就此給讀者帶來一個直觀的認識,，認清信息泄漏的嚴重性。

本文對用戶信息的泄露途徑和如何保護用戶個人信息都做了簡單的分析,，并通過一個實例來展示了黑客如何利用網(wǎng)絡釣魚攻擊竊取到用戶的賬號,、密碼，希望就此給讀者帶來一個直觀的認識,，認清信息泄漏的嚴重性,。

根據(jù)中國互聯(lián)網(wǎng)絡信息中心發(fā)布的報告顯示，截至到2012年6月底,，中國的網(wǎng)民數(shù)量已經(jīng)達到5.38億,，是15年前的867倍，互聯(lián)網(wǎng)的普及率已達到39.9%,?；ヂ?lián)網(wǎng)的高速發(fā)展使得網(wǎng)絡已經(jīng)融入到大多數(shù)人們的生活、學習之中，然而人們在享受互聯(lián)網(wǎng)帶來便利的同時,，也深受個人信息泄露之苦,。雖然倒賣網(wǎng)站用戶數(shù)據(jù)早已形成了一個完整的黑色產業(yè)鏈，但此前一直并未受到廠商,、普通用戶的重視,。直到去年以CSDN、天涯等大型網(wǎng)站為代表的泄密門事件被爆出后,，才引起了人們廣泛的關注,。

用戶信息泄露途徑

一、網(wǎng)站泄密

現(xiàn)在許多網(wǎng)站,、論壇都需要用戶注冊賬號后才能正常使用,。因此，每個網(wǎng)民擁有多個賬號是很平常的事情,。在注冊時,，網(wǎng)站一般都需要填寫一些個人信息，如常見的賬號,、密碼,、郵箱等，像一些電子商務,、婚戀、交友網(wǎng)站等還需要實名認證,，要求填寫的信息更加詳細,。網(wǎng)站上的用戶數(shù)據(jù)主要通過三種方式泄露：

1.黑客利用網(wǎng)站存在的安全漏洞入侵網(wǎng)站，盜取用戶數(shù)據(jù)庫

當前國內大部分網(wǎng)站都存在不同程度的安全漏洞,，這些漏洞輕則會影響網(wǎng)站正常運行,，重則會導致網(wǎng)站服務器淪陷，網(wǎng)站機密數(shù)據(jù)遭到泄露,，去年CSDN,、天涯等大型網(wǎng)站就是因為網(wǎng)站存在安全漏洞導致用戶數(shù)據(jù)被黑客盜取。

大型網(wǎng)站如此,，一些中,、小型的網(wǎng)站、論壇更是存在許多安全漏洞,，一個熟練的黑客可以在很短的時間內入侵一個普通網(wǎng)站,，竊取到網(wǎng)站的機密數(shù)據(jù)。

2.網(wǎng)站內部工作人員倒賣用戶信息

一些網(wǎng)站,、論壇的工作人員因為工作性質可以接觸到大量用戶資料信息,，其中一些不法之徒便通過倒賣網(wǎng)站用戶數(shù)據(jù)來牟利，目前已經(jīng)發(fā)生過多起這樣的案例。

3.通過撞庫攻擊,，竊取用戶數(shù)據(jù)

現(xiàn)在基本每個網(wǎng)民都擁有多個賬號,，其中很多人為了方便記憶，多個賬號使用的都是同一密碼,。這樣做導致的后果就是一旦某一賬號密碼泄露,，很可能導致用戶的其他賬號也被盜。

黑客運用手中擁有或互聯(lián)網(wǎng)上公開的用戶數(shù)據(jù)庫去嘗試登錄用戶注冊的其他網(wǎng)站,，如果使用的都是同一密碼,，這樣就很容易中招。這樣的攻擊手段被形象地稱為”撞庫“攻擊,。

二,、社交、聊天工具泄密

現(xiàn)在許多人都熱衷于使用社交網(wǎng)站和網(wǎng)絡聊天工具,，并且在上面公布了自己的詳細信息,。如果權限設置不當，個人信息很容易被別有用心的人竊取,。

三,、利用社會工程學手段盜取用戶信息

社會工程學攻擊是一種通過對被攻擊者心理弱點、本能反應,、好奇心,、信任、貪婪等心理陷阱所采取的諸如欺騙,、傷害等危害手段,，進而獲取自身利益的手法。它并不能等同于一般的欺騙手法,，社會工程學尤其復雜,，即使自認為最警惕最小心的人，一樣會被高明的社會工程學手段損害利益,。

四,、利用釣魚攻擊竊取用戶信息

釣魚攻擊是指網(wǎng)絡不法分子通過釣魚網(wǎng)站實施的一種網(wǎng)絡欺詐行為，它其實屬于社會工程學的一種,。這里把它單獨列出來是因為近年來釣魚攻擊整體呈現(xiàn)上升趨勢,，其危害已經(jīng)超過此前肆虐的掛馬網(wǎng)站，很多用戶都受到過釣魚攻擊的危害,。

其中針對網(wǎng)上銀行,、大型電子商務網(wǎng)站、社會上的熱點事件進行釣魚攻擊的比例較大,，在一些重大節(jié)假日時釣魚網(wǎng)站的數(shù)量明顯增加,。

五,、通過木馬、病毒竊取用戶隱私信息

黑客利用木馬盜取用戶的賬號,、密碼,，遠程控制用戶電腦竊取隱私早已不是什么新鮮事了，如多年前的”灰鴿子“就是一款非常著名的遠程控制木馬,，利用它,，黑客可以完全控制對方的電腦，這時用戶在攻擊者面前已經(jīng)毫無隱私可言了,。

利用釣魚攻擊竊取用戶賬號信息實例

現(xiàn)在我們通過在本地搭建一個釣魚網(wǎng)站程序來具體分析下釣魚網(wǎng)站是如何竊取用戶賬號信息的,。

上面是筆者剛搭建的中國銀行的釣魚網(wǎng)站，如果將這個網(wǎng)站的URL發(fā)送給目標用戶,，通過社會工程學或其他技術手段誘使用戶在該頁面登錄自己的網(wǎng)上銀行,。一旦用戶在這個頁面輸入了自己的網(wǎng)銀賬號信息，點擊登錄按鈕后,，這時并不能成功登錄自己的網(wǎng)上銀行,，而是將自己的網(wǎng)銀賬號信息發(fā)送到黑客指定的后臺中了。

這樣用戶的網(wǎng)銀賬號信息就被盜取了,，整個獲取賬號信息的過程其實非常簡單,，只要找一套釣魚程序即可，難點在于如何讓用戶相信這個就是真的網(wǎng)站,，誘使其輸入自己正確的賬號信息,。

用戶信息安全防護

對于個人用戶來說，如何合理保護自己的個人信息不被泄露是很多人關心的問題,。我們可以從以下幾個方面來做,，最大程度地避免個人信息的泄露，把潛在的風險和損失降到最低,。

1.提高自己的安全意識，這一點非常重要,。

2.為賬號設置足夠復雜的密碼,，一定不要使用類似”123456“，”password“之類的弱口令作為密碼,。這樣的密碼非常容易被人猜到和暴力破解,，還有密碼中盡量不要包含生日、手機號之類的個人信息,。

3.如果有多個賬號,，請為這些賬號設置不同的復雜密碼。

4.現(xiàn)在每個人都會擁有多個賬號,、密碼,，這樣就很容易忘記或記錯密碼,，給使用帶來不便?？梢詫⒚艽a加密,，保存在加密軟件中。

5.盡量不要在公共場所或他人電腦上登錄網(wǎng)站,，尤其是像網(wǎng)銀,、電子商務類網(wǎng)站這樣非常重要的賬號。

6.不要輕易接收,、打開別人發(fā)來的文件,、郵件等。

7.不要隨便在互聯(lián)網(wǎng)上泄露自己的個人信息,。

8.安裝安全防護軟件,，定時掃描電腦，并及時升級病毒庫,。

總結

筆者認為對于如何保護用戶的個人信息不受侵害,，需要從三個方面來做：

首先，需要建立完善的法律,、法規(guī),，通過法律的手段來保護用戶個人信息。2012年12月28日,，十一屆全國人大常委會第三十次會議通過了《全國人大常委會關于加強網(wǎng)絡信息保護的決定》,。《決定》規(guī)定：“任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息,，不得出售或者非法向他人提供公民個人電子信息,。網(wǎng)絡服務提供者和其他企業(yè)事業(yè)單位有保護個人電子信息的義務。政府有關部門及其工作人員對在履職中知悉的公民個人信息同樣負有保密和保護義務,?！?/p>

其次，網(wǎng)絡服務提供商需要提高安全意識,，加大網(wǎng)絡安全方面的投入,。目前的現(xiàn)實情況并不樂觀，除了一些大型的互聯(lián)網(wǎng),、安全公司,，其他公司對網(wǎng)絡安全的認識和重視程度還遠遠不夠，這也是許多網(wǎng)站存在安全漏洞的一個原因,。

最后,，用戶要養(yǎng)成良好的上網(wǎng)習慣，提高安全意識,，盡量較少的公開自己的個人信息,，以免給自己帶來不必要的損失,。

人工智能 未來科技