从支付宝身份被占用说起

事情缘由是想试试网购返现的功能,因为返现在国外相当普遍[注1]。Google一番后感觉阿里妈妈还不赖,再加上允许返现直接打到支付宝,于是乎开始闹腾如何来玩这个游戏。阿里妈妈连上淘宝,淘宝需支付宝确认,而前提是支付宝需要实名认证。虽说使用支付宝也快七八个年头了,其实除了淘宝购物,平时也不怎么用,便一直懒得实名认证。这下子好了,刚输入身份信息打算认证,跳出警告说:该身份证号码已被vn****@163.com完成实名认证。TMD,哪个混蛋用了我的身份号码!诅咒完这个盗贼,便琢磨盗贼如何拿到这些信息的,因为在网络时代身份遭盗用的绝非少数。其实不外乎以下几种可能:

  1. 平时上网没好好保护好重要信息。可能哪天上了哪个不该上的网站,填了不该填的内容。仔细一想,最近三年,这个可能性极小,该项排除;

  2. 莫非被盯上了?在如今这年代,只要你一连上互联网,在黑客面前,就等于在“裸体”冲浪,隐私秘密也就不存在了。正如陈老师事件,还不是因为私人电脑中的马赛克们被拿走了。但是,我这么一个无名小卒,到目前还是没有被黑的价值和值得被黑的材料,所以这个几率也是微乎其微;

  3. 那么是谁有意或者无意泄漏了信息?有意应该不会,毕竟我还是非常保护个人重要信息的,也没得罪哪个冤大头。所以目标就锁定在无意当中了。其实早在两年前,我就已经发现这个漏洞。因为当时经过一番折腾,确实发现某个行政部门的网站上不经意间公布了多位人士的关键信息,我立即联系该部门负责人,告知进行修改或者删除这些信息。说不准今日的支付宝身份被占用一事,就跟那次无意泄漏有关。

以小见大,身份被盗用其实就是有关网络安全的问题。作为一个网民,以前一直认为网路安全之事跟自己扯不上半点关系,顶多关注媒体的报道(报道一报道二报道三),心中还是乐滋滋地把自己置身事外。正如开车坐车不系安全带,坐飞机开手机以及穿红灯等等事件,一次两次都没出问题,但是真的出次车祸或者飞机失事,那么我们才会重视这些问题。今日这次身份被盗事件,幸好至今没酿出大祸,但也敲响了警钟,免得以后出现刻骨铭心的教训。

那么,如何防御呢?参考网上的信息(该文值得一看),以下罗列几条关键建议供参考:

  1. 重要网站或者账户密码一定要独立;
  2. 能不用IE浏览器就不要用;
  3. 电脑勤打补丁(不推荐360),绑定数字证书;
  4. 支持正版软件,至少要用“中国式正版”,即从正规渠道下载软件;
  5. 用iPhone的别越狱,是安卓的别root;
  6. 个人的无线AP,用安全加密方式(如WPA2),密码复杂些;
  7. 不连接陌生的WiFi;
  8. 离开电脑时,记得锁屏(Win+L键,或者Mac的电源键);
  9. 涉及QQ微信借钱充值之类,必须电话确认;
  10. 哪怕是官方短信也不一定可信,因为基站可以伪造!

最后附上我个人的三点建议:

  1. 注册普通网站的账号时,可以把名字写成该网站或跟该网站相关的名字。举个例子(百度莫生气):张三准备填写百度账号,可以把名写成“百度”,姓写“张”。哪天接到一个陌生来电:“张百度先生,您好…”,那么你就知道肯定是百度泄漏了你的个人信息;
  2. 在某些场合填写一些非重要表格的时候,其实可以填写假名字,甚至假信息的,不用老实告诉他们你的身份信息或者电话号码或者电子邮箱;
  3. 某些网站需要身份认证,比如本次我的支付宝身份认证,可以在扫描件上加入水印字样,类似“本材料只允许支付宝身份认证使用”,以防该扫描件被二次盗用。

网络带来了方便,也了带来了麻烦。除非像印度辛格总理不使用个人电邮不用手机,因此不怕美国情报人员监视他。否则,终极防御措施还是:

不做亏心事不怕鬼叫门”。


[注1]: 返现大致原理是网上购物前通过某些返现网站的推广链接进入商品购物界面,交易完成后卖家会有一部分佣金返给返现网站,然后返现网站收取一定额度的手续费后把其余佣金返还给消费者。

斯幸峰 /
本博客使用署名-非商业性使用-相同方式共享授权条款 博客分类 网络  博客标签 盗用  网络安全  漏洞  信息泄漏