一個安全從業者的帳號被盜自救指南

編者按：現如今，帳號被盜是個很尋常的事情，很多時候只需要改個密碼就沒事了。但也有改密碼搞不定的時候，帳號反反復複被盜，

這時的你可能想起要找個“懂電腦”的朋友看看。本文作者Ryan McGeehan就是這樣一位“懂電腦”的國外朋友，他對國外主流服務帳號的安全設置瞭解得非常細緻，並總結成了文章。雖然國情有別，但相關機制都有相通之處，希望能對大家有所借鑒。

發生帳號洩漏後，當事人需要做很多工作。很多時候，僅僅“重置密碼“是不夠的。

向當事人提供應急安全建議，如果考慮不全面，則會導致Ta再次受到傷害。

一次高水準的攻擊，有無數方法可以保持對帳號的二次訪問權。幾乎每款產品都會有一些這樣的小缺陷，比如重置密碼功能。

為了真正調查清楚帳號洩漏事件，解除其威脅，我們不僅需要重置密碼，還要把一些可能遺留問題的小角度清理乾淨。

過去大概半年時間裡， Ryan McGeehan記錄了大多數線上郵箱、社交網站上需要檢查的奇怪設置，這份清單非常全面，目前來說應該適用於所有服務。

從安全設備開始檢查帳號

首先需要排除惡意軟體攻擊因素，我們可以新買一台電腦或者使用不在本次影響範圍的電腦開始檢查。

如果你希望儘快消除威脅，那麼可能需要還原/回滾系統。

解除手機短信綁定

運營商過往有過諸多極其惡劣的安全違規案例，比如短信轉發、短信轉移、SIM卡補登記等。在這種情況下，你可能需要考慮設置Google語音短信號碼或者找一個可靠的手機。

如果你已經弄過某種方式排除短信或移動網路相關攻擊，那麼就不需要做了。

重置密碼

如果你認為自己的郵箱也受到影響，

那麼應該優先鎖定和檢查郵箱，否則後續的重置密碼操作，只是給攻擊者添加樂趣而已。

啟用二次驗證/登錄驗證

為重要帳號啟用二次驗證，記得找個可靠的手機，並且優先選擇動態口令應用而非短信。

登出登錄狀態的會話

在操作過程中，你需要注意帳號設置裡有沒有奇怪的改動，並確保攻擊者不會拿到登錄會話。

清理可疑的帳號授權

幾乎所有大公司都有一個開放應用平臺，用來授權外部應用使用你的帳號資訊。

有一些外部應用利用漏洞可以保留對帳號的存取權限，你應該仔細檢查，有沒有陌生、可疑的應用。

如果事情非常棘手，可以考慮重新註冊個帳號。

保護關聯帳號

像Instagram、Facebook、LinkedIn等產品都有“帳號連接”功能，可以將發佈的內容同步過去。快速檢查一遍，看看這裡有沒有陌生帳號，以及你之前設置的帳號是否正常。

檢查恢復位址

許多服務的設置有個不起眼的功能，叫恢復位址，用來郵件找回帳號控制權的。檢查它是否被修改過。

檢查恢復電話

和上條類似，綁定電話也需要檢查一遍。

檢查郵箱的過濾、轉發和同步設置

許多人的郵箱設置了超多的郵件過濾條件，這裡要特別注意，小心攻擊者偷偷留下一條“重置密碼郵件轉發”規則。

郵箱的所有郵件轉發功能也需要檢查。

用戶端郵件同步功能也是一個出口。

重新設置“應用程式專用密碼”

為了照顧某些不支援二次驗證登錄的場景/應用，比如郵箱用戶端，我們會設置一個對應的專屬密碼。

檢查下有沒有奇怪的變動。如果可以，把之前的所有專屬密碼全部刪掉，重新設置一遍。

檢查帳號驗證設備

有些服務把設備作為二次驗證的裝備，比如iCloud，你需要注意這種情況。

Facebook裡的可信連絡人

Facebook的可信連絡人功能，可以讓信任的FB帳號獲得你帳號的控制權，你需要檢查這個功能設置的連絡人是否有問題。

Facebook裡的遺產連絡人

Facebook的遺產連絡人功能，可以通過死亡證明來將帳號轉移給其他人，看看有沒有被設置陌生帳號。

Facebook圖片登錄

Facebook還有個圖片登錄功能，你需要確保這裡沒有任何陌生設備。

做完這些，帳號還是被盜？

如果你梳理完上邊各項檢查後，還反復遭遇盜號，那麼可能是有些因素沒考慮到。

流覽器擴展

仔細檢查流覽器裡的擴展。請記住，許多看似正規的擴展，也可能有問題，你應該搜索看看它們是否有黑歷史。

設備

如果流覽器沒問題，問題還可能出在設備上，比如存在某些未能檢查到的惡意軟體。

鍵盤監控器

檢查下你的鍵盤是否存在物理監聽裝置，說不定有人惡作劇或者搞物理攻擊呢。

網路

考慮下中間人攻擊或流量劫持，電腦上是否有工作公司的證書（CA）、信譽不佳機構的證書。

最不可靠因素：人

再想想，你真的沒在其它地方登錄過嗎？

本文來自Medium，嘶吼略有刪減，如若轉載，請注明原文地址： www.4hou.com/info/news/4059.html

更多內容請關注嘶吼專業版——Pro4hou