可能被黑了 - 首先应该确认什么
「收到了不明来源的登录通知」「密码突然被更改了」「出现了不认识的应用」。发现这些迹象时,在恐慌之前冷静确认情况非常重要。未授权访问的迹象不仅可能是实际入侵,也可能是钓鱼邮件的误报或自己的操作失误。
本文将介绍如何识别黑客入侵和未授权访问的迹象、确认步骤,以及确认遭受侵害后的具体应对方法。
未授权访问的典型迹象
如果以下迹象中有任何一项符合,请怀疑存在未授权访问的可能。多项符合时,被入侵的概率更高。
账户相关迹象
- 密码被擅自更改:如果无法登录,很可能是攻击者更改了密码
- 不明来源的登录记录:Google、Apple、Microsoft 等账户活动中记录了来自陌生地点或设备的访问
- 未发送过的邮件或消息:如果已发送文件夹中有可疑邮件,说明账户被劫持用于发送垃圾邮件
- 双重认证设置被更改:攻击者为确保持续访问,可能会禁用双重认证或将其更改为自己的设备
设备相关迹象
- 异常的电池消耗:后台运行的恶意软件消耗 CPU 和网络资源,导致电池急剧下降
- 不认识的应用被安装:如果存在未安装过的应用,可能是恶意软件
- 异常的数据流量:如果恶意软件向外部服务器发送数据,流量会急剧增加
- 浏览器主页或搜索引擎被更改:这是浏览器劫持的典型症状
金融相关迹象
- 不明来源的交易:信用卡或银行账户出现可疑交易
- 新卡或贷款申请通知:个人信息可能被盗用,以冒名方式申请金融服务
账户入侵确认步骤
发现迹象后,按以下步骤确认是否遭到入侵。
1. 检查邮箱地址是否泄露
确认数据泄露是否导致邮箱地址和密码组合被泄露。在 Have I Been Pwned (haveibeenpwned.com) 输入邮箱地址,可以确认该地址是否包含在过去的泄露事件中。
2. 检查账户登录历史
在主要服务的安全设置页面确认最近的登录历史。
- Google:myaccount.google.com →「安全性」→「您的设备」查看已连接设备列表
- Apple:appleid.apple.com →「设备」部分查看与 Apple ID 关联的设备
- Microsoft:account.microsoft.com →「安全性」→「登录活动」
- 社交媒体:各服务设置中的「登录活动」或「会话管理」
3. 检查关联应用和第三方访问
检查通过 OAuth 关联的应用列表,确认是否有不认识的应用拥有访问权限。如果攻击者获取了 OAuth 令牌,即使更改密码也能继续访问账户。
4. 检查邮件转发设置
攻击者可能设置了邮件自动转发规则,将收到的邮件复制到外部地址。Gmail 用户请在「设置」→「转发和 POP/IMAP」中确认转发目标。
确认入侵后的应对方法
确认遭到未授权访问后,需要迅速行动以防止损害扩大。也请一并确认密码安全管理方法。
立即执行的事项(第一个小时内)
- 更改密码:立即更改被入侵账户的密码。使用相同密码的其他账户也全部更改
- 强制登出所有会话:Google 可从「您的设备」删除可疑设备,其他服务也执行「从所有会话登出」
- 启用/重新设置双重认证:由于攻击者可能已更改设置,需要重新设置双重认证
- 撤销关联应用:解除所有可疑的 OAuth 关联
24 小时内应执行的事项
- 删除邮件转发规则:解除非法的转发设置
- 确认恢复信息:确认电话号码或恢复邮箱地址是否被更改
- 联系金融机构:如果信用卡或银行账户有可疑交易,联系发卡机构或银行要求停止使用
- 恶意软件扫描:在电脑或手机上运行病毒扫描,确认是否存在恶意软件
预防未授权访问的日常习惯
预防比事后应对更重要。日常实践以下习惯可以大幅降低未授权访问的风险。
- 使用密码管理器:为每个服务生成和管理唯一的强密码。撞库攻击针对的是密码重复使用,唯一密码可以有效防御
- 全面启用双重认证:在邮箱、云存储、社交媒体、金融服务等所有支持的账户上设置
- 定期检查登录历史:养成每月检查一次主要账户登录历史的习惯
- 警惕钓鱼:不要轻易点击可疑邮件或消息中的链接。养成目视确认 URL 的习惯
- 更新软件:始终保持操作系统、浏览器、应用为最新状态,修补已知漏洞
总结 - 早期发现和迅速应对可将损害降到最低
黑客入侵和未授权访问,通过尽早发现迹象并迅速应对,可以将损害控制在最小范围。感觉「不对劲」时,请按照本文的确认步骤了解情况并执行必要的应对措施。首先在 IP 确认酱确认当前的连接信息和安全评分,检查是否有可疑之处也是有效的做法。
想深入学习网络安全知识的读者,可以参考网络安全相关书籍。