在过去的几周里,人们接受威胁,敲诈勒索电子邮件,要求支付以避免释放敏感信息的人们在上升。大多数时候,这些电子邮件都是我们所说的“担任”电子邮件,因为他们声称您的计算机上的恶意软件已捕获您通过网络摄像头令您尴尬的照片,但同一主题可以有其他变体。

这些敲诈勒索电子邮件没有任何新的东西,但随着近期频率的增加,许多人正在寻找指导。如果您收到了这样的电子邮件并想知道您应该如何回应,您就在正确的地方。继续读下去!

勒索索偿

这些电子邮件并不完全相同,但它们确实具有相当共同的特征。考虑下面的例子:

示例reftice电子邮件文本

这是相当多的例子的代表。它首先告诉你,骗子知道你的一个密码,而且这个密码真的很重要你的一个密码,它会立即加剧恐惧,让你的心态相信其余的信息也是真实的。(提示:并非如此。)

接下来,它告诉你,骗子知道你的其他事情,包括你做一些令人尴尬的事情的照片,通过电脑上的恶意软件捕获。这条信息可能会将这些照片发送给你认识的人。有些变体可能不涉及这种“性侵犯”,但对从用户处窃取的数据进行破坏的一般模式是相同的。

为了防止这种情况,诈骗者要求支付,通常以呼叫的货币比特币. 付款通常有一个时间限制,以真正施加压力,鼓励快速行动,而不是寻求帮助。

牵引索赔是真的吗?

除了一个例外,这一切都不是真的。没有涉及恶意软件。骗子没有任何声称的信息。如果你不支付要求的金额,就不会有什么坏事发生。在大多数情况下,这些信息可以被忽略。

但是,这是一个真实的是密码 - 这是使其他一切似乎更加可信的部分。但是,密码没有来自计算机上的恶意软件。相反,它来自第三方数据漏洞。

发生的情况是,你的账户所在的网站被入侵,有人能够提取一堆电子邮件地址和密码。这是如何发生的对于我们这里的目的不是特别重要,但结果是,你的个人信息可能已经被发布到各种“暗网”网站:你的电子邮件地址和与该电子邮件地址相关的账户使用的密码。

这与在浴室摊位的墙上写下你的电话号码的人非常相似:它成为了公众的知识,对于那些了解在哪里看的人,它可以导致很多骚扰。

一旦此信息已成为公众知识,犯罪分子就可以将这些列表带到列表中的每个人,包括与其电子邮件相关的密码。这是这些消息中真理种子的真实来源,而不是虚构的恶意软件,诈骗者希望你相信你感染了。

所以我可以忽略这个,对吧?

嗯,是也不是。是的,威胁本身是空洞的,因为没有恶意软件。然而,在表面之下有一个真正的危险:你的密码已经成为公众的知识!

如果提供的密码是您不再使用的旧密码,那么您就是金色的。你没有必要进一步做任何事情。但是,对于许多人来说,密码是仍在主动使用的密码,这提出了一个问题。这个特定的骗子决定使用密码来吓唬你,但也有其他罪犯可能会决定将其用于更邪恶的目的,比如接管你的在线生活!

为了防止这种情况发生,你需要采取一些步骤。

第一步:更改密码

首先,在使用提供的密码的任何帐户上,更改您的密码。当你在做的时候,让我们确保它是一个好的强壮的。最好的密码是长且随机的,例如,“vdBdq8GoDh8ELGm$qRdgXVTq”。时间越长越好。

在每个站点上使用不同的密码也很重要。由于密码漏洞将始终发生,如果在多个站点上使用相同的密码,则可能导致一个站点的违反攻击者,这使得攻击者可以访问许多不同网站的帐户。

好的,我听到你了。不,我不希望你记住每个你有账户的网站的荒谬密码.有解决这个问题的解决方案。

步骤2:使用密码管理器

密码管理器是一个程序设计来记住你的密码为你。密码管理器不仅可以保存你的密码列表,还可以保存你在哪个网站上使用过这些密码,你登录该网站时使用的用户名,你在该网站上使用的任何安全问题,等等。

密码管理器可以像笔记本一样简单,您可以保留在桌面上的抽屉中。当然,这也是可以通过访问您的办公室的任何人读取的东西,而且它不是你可以轻松地随身携带的东西。

密码管理器通常以软件的形式出现,它可以用一个主密码加密你的密码,帮助你在设备之间共享密码,等等。

您可能已经有了一个密码管理器,因为有些web浏览器内置了密码管理器。例子包括钥匙串在狩猎中,谷歌密码管理器在铬,和Firefox密码管理器

Safari的密码管理设置
Safari的密码管理设置

如果使用更模糊的浏览器,不想使用内置的密码管理器,或者只需要更强大的功能,就可以考虑类似的东西。1Password.最后关卡

任何适合你特殊需求的东西都可以使用。密码管理器是唯一的方法,你可以现实地拥有长,强大的密码,在每个网站都是不同的。你的密码管理器的“主”密码成为你需要记住的唯一密码。

为密码管理器创建主密码也要遵循与普通密码相同的简单规则——越长越好。因为你会经常输入这个密码,所以通过它会更容易短语,这是一串应该对你没有直接意义的单词。避免出生用品和街道地址,并倾向于大脑随机字发电机的混乱:类似于“巨蟹石的巨石白细胞障碍术。”

哇,一分钟举行!别走开了。拥有良好的密码和存储它们的方法只是战斗的一小部分。毕竟,一旦站点被黑客突破并泄漏了所有密码,就不会有很好的密码。相信与否,密码超出了其他东西。

步骤3:使用双因素授权

双因素授权(缩写2FA)是某种辅助信息,除了密码之外,您还需要登录网站。这些通常是某种代码 - 最常见的四个或六位 - 您必须在登录过程中输入。

最常见的接收这些代码的方式是通过手机短信。然而,它们也可以是每30秒更改一次的代码,这些代码是由各种不同的应用程序生成的,如Authy、谷歌Authenticator或一些功能更齐全的密码管理器。这些代码比短信代码更安全,但也不太受支持,通过短信发送到手机上的代码总比没有要好。

2Authy生成的令牌
2由iPhone上的Authy生成的令牌

无论你的帐户支持什么类型,都要使用它。现在,当人们通常有很多账户时,设置这个可能需要一些时间,所以一次只需要几个账户,直到你完成。

为帮助弄清楚什么类型的2FA一个网站支持见两个因素AUTH网站.You can search this site for the site you’re interested in, and it will tell you what types of 2FA it supports (SMS and Software Token being the two types described above), and link you to that site’s documentation for how to set up 2FA.

有关2FA的更多信息,请参阅Duo Security的双因素身份验证:基础

步骤3a:如果没有2FA怎么办?

有些网站不支持2FA,而是只支持安全问题,比如“你第一个宠物的名字是什么”,或者“你在什么街道上长大的”,以及其他类似的问题。这些问题的问题在于:它们很容易被猜出来,而且这些信息可能是公共知识。

所以,如果安全问题都是你必须保护一个网站,这就是你所做的:说谎!永远,永远不要用正确的答案来回答安全问题。相反,编造一些东西。例如,也许你的第一辆车是“千年隼”。或者你开的是“牛油果吐司”。如果你开的是“dknO6RF%an!Fdke8”就更好了。

到目前为止,我相信你不会问你应该如何记住这些荒谬的答案,因为你已经知道答案是什么:使用你的密码管理器。大多数密码管理器都支持任意注释,所以在密码管理器中为该登录的注释添加问题和无意义的答案。

收尾

如果你没有读到细节就跳到了结尾(我们希望你没有读),这里是tl;dr:这些信息都是假的,没有恶意软件,唯一需要担心的是你的一个密码在网络空间中四处游荡。

一旦你按照上面的所有说明来保护你的在线帐户,你就没有什么可做的了,除了将邮件标记为垃圾邮件并将其删除(如果你还没有这样做的话)。

请记住,没有防病毒软件可以阻止您看到这些类型的敲诈源。垃圾邮件(垃圾邮件)过滤的电子邮件系统或客户端可以帮助捕获其中一些,但不能依赖于捕获所有这些。这些诈骗者是偷偷摸摸的,并且擅长逃避垃圾邮件过滤。

您继续接收这些敲诈留言的事实并不代表安全问题,您不需要害怕这些暴徒。他们只是对你的钱包威胁,只有你落下他们的伎俩并送他们钱。否则,他们不能造成任何伤害......只要您保护了您的帐户,因此他们无法使用泄露的密码。