在过去的几周中,越来越多的人收到勒索的电子邮件,要求付款以避免泄露敏感信息。大多数情况下,这些电子邮件被称为“勒索”电子邮件,因为它们声称您计算机上的恶意软件已通过网络摄像头捕获了您的尴尬照片,在同类主题上可能还有其他勒索方式。
收到这些勒索邮件并不是什么新鲜事,但随着近期频率的增加,很多人都产生疑虑,正在寻找指导。如果你已经收到了这样一封电子邮件,并且想要知道应该如何回复,那么您来对地方了。
勒索敲诈
这些电子邮件的内容并不完全相同,但是它们具有共同的特征。参考以下示例:
勒索电子邮件文本示例
这个示例具有相当的代表性。首先,骗子会告诉你,它知道你的一个密码,而这个密码真的是你用过的密码之一,这会立即让你产生恐惧,从而产生一种心态,相信其余的信息也是真实的。
接下来,邮件会告诉你,诈骗者还了解你的其他信息,包括通过计算机上的恶意软件捕获到你的尴尬照片。该消息的内容可能是威胁将这些照片发送给您认识的人。有些情况可能不涉及这种“勒索”,但想从用户那里窃取数据的目的是相同的。
为了防止被恶搞,诈骗者通常会要求以比特币货币支付的方式来解决此事。而且,通常会有一个付款时间限制,以便真正对你施加压力并刺激你快速采取行动。
勒索要求是真的吗?
除了特殊情况,一般这一切都不是真的。他们根本没有什么恶意软件,也没有任何他们所声称的信息。假如你没有支付赎金,什么事也不会发生。所以,在一定程度上,这些信息可以被忽略。
然而,唯一正确的部分是密码,这会使其他的内容看起来更加可信。不过,密码并不是电脑上的恶意软件所致。相反,它很可能是来自第三方的数据泄露。
这种情况会发生的是,您拥有帐户的网站可能会遭到破坏,并且有人能够提取大量电子邮件地址和密码。对于勒索的最终目的来说,这种情况发生的事情并不是特别重要。最坏的结果就是你的个人信息可能会发布到“地下交易网站”,包括你的电子邮件地址和与该电子邮件地址关联的帐户使用的密码。
这就好比,有人在浴室隔间的墙上写下了你的电话号码,对于任何去过那里的人来说,这都是公开信息,并且可能会导致很多骚扰。
一旦这些信息成为公共信息,犯罪分子就可以获取这些列表,并向列表中的每个人发送大量电子邮件,包括与他们的电子邮件相关的密码。这才是这些消息的真实来源,而不是骗子所说的你已经感染了恶意软件。
所以我们可以忽略勒索邮件,对吗?
答案是肯定的。由于根本没有什么恶意软件,所以威胁本身就是空谈其说。而真正的威胁就是你的账户信息和密码已经泄露了。
如果骗子提供的密码是您不再使用的旧密码,那么证明您的密码保护做得很好,同时也没有必要再去相信这封勒索邮件了。
不过,对许多人来说,密码仍然在使用中,这就会造成一些问题。有的骗子会用这种方法吓唬你,从而骗取财务;但有的犯罪份子可能会用其达到更邪恶的目的,比如接管你所有的网络生活。
为防止这种情况发生,你需要采取一些措施。
第1步:更改密码
首先也是最重要的,在任何时候给他人提供密码使用帐户后,都要主动修改你的密码,而且要确保你的密码强度。最好设置很长的随机密码,例如,“vdBdq8GoDh8ELGm$qRdgXVTq。”越长越好。
在每个网站和账户上使用不同的密码也很重要。因为密码泄露难免会发生,如果您在多个账户或网站上使用相同的密码,则可能导致在一个网站上发生泄露,而使攻击者能够访问你的其他帐户。
有人会说,每个不同的账户都要设置不同的密码,这样操作太繁琐了。继续看,有解决办法。
步骤2:使用密码管理器
密码管理器是一个为您记住密码的程序。密码管理器不仅可以保存您的密码列表,还可以保存您在不同网站上使用过密码、登录该网站时使用的用户名、等任何相关的安全问题。
密码管理器操作起来简单方便,就像你办公桌抽屉中的笔记本一样,不过,任何能进入你办公室的人都能查看,而且这不是你可以随身携带的东西。
也不用过于担心,密码管理器通常以软件的形式出现,它可以用一个主密码加密您的密码,帮助您在设备之间共享它们。
某些网络浏览器已内置了密码管理器,因此不用大费周折。比如Safari中的iCloud钥匙串,Chrome中的Google密码管理器和Firefox密码管理器等等。
Safari的密码管理设置
如果您使用的浏览器比较晦涩,不想使用内置的密码管理器,或者需要更强大的功能,您可以考虑1Password或Lastpass之类的东西。
人们总是青睐于合适自己需求的事物,而密码管理器是可以帮你掌握“每个网站上的不同的长而繁琐的密码”的唯一方式。
为你的密码管理器创建主密码遵循与普通密码相同的简单规则——越长越好。由于你可能长期输入此密码,因此密码中包含短语可能更方便操作和记忆,但要避免出生日期、街道地址等等一些与你息息相关的信息,可以尝试用你突发奇想想到的一些随机的短句,比如:“ cantankerousbuffalopotteryhypothesis”之类的东西。
不过,拥有一个好的密码管理方法只是战斗的一小部分。毕竟,一旦网站被黑客攻破,就泄露了所有密码,那么这个就会成为隐患。所以,还要有更多的防护。
步骤3:使用双因素认证
双因素认证(缩写为2FA)是一种除了密码之外的辅助信息,登录网站可能需要该信息。这通常是在登录过程中必须输入的4或6位数字。
最常见的接收方式是通过手机短信。软件令牌方式可以每30秒更改一次的代码,这些代码是由各种不同的应用程序生成的,例如Authy,Google Authenticator或一些功能更全的密码管理器。相对而言软件令牌要比短信的方式更为安全一些。
Authy在iPhone上生成的2FA令牌
无论你的账户支持哪种类型,都要使用它。要了解站点支持哪种2FA的帮助,请参阅双因素身份验证站点。你可以在这个站点上搜索你感兴趣的站点,它会告诉你它支持什么类型的2FA(短信和软件令牌是上面描述的两种类型),并将你链接到该站点的文档以了解如何设置2FA。
有关2FA的更多信息,请参见Duo Security的两方面身份验证:基础知识。
步骤3a:如果没有2FA,该怎么办?
有些网站不支持2FA,而仅支持诸如安全问题之类的东西……,“您的第一个宠物的名字是什么?”或“您长大后住在哪条街上”,以及许多其他类似的问题。严格上说,这些问题也存在隐患,它们可能很容易被猜到,因为有些信息可能已经被公开化了。
因此,如果你想确保您账户的安全,建议你采取以下措施:永远不要对安全问题使用贴近真实生活的答案。反其道而行之,例如,您说您的第一辆汽车是“千年猎鹰”,或者是“鳄梨吐司”。更好的答案是“ dknO6RF%an!Fdke8”。
阅读到此处,相信你不会再去询问“如何想出这么荒谬的答案”,因为我想你已经知道了比较适合自己的方式——使用密码管理器。
最后
如果你认真阅读本文后,我相信你已经抓住了重点,类似上述的勒索邮件,根本不涉及恶意软件,唯一的警示就是密码在网络空间中的滥用的现象,而你应该重视起自己的密码防护。
接收到类似上述的勒索邮件时,在确保账户安全后,除了将邮件标记为垃圾邮件并将其删除之外,你无需做任何事情。
请记住,没有安全软件可以阻止您看到这些勒索消息。不过,垃圾邮件过滤的电子邮件系统或客户端可以帮助捕获其中的一些,但也不能完全依靠它。毕竟有些恶意攻击者是可以逃避垃圾邮件过滤的。
本文翻译自:https://blog.malwarebytes.com/malwarebytes-news/2020/05/what-to-do-when-you-receive-an-extortion-e-mail/如若转载,请注明原文地址