如何使用安全密钥保护您的Facebook登录名以避免欺诈和黑客入侵

那些不专心的人通常是第一个屈服于新的黑客和骗局的人-如果您经常使用Facebook(很有可能不是这样),那么您可能需要开始更多地关注。

如果您更喜欢台式机而不是台式机,那就尤其如此。

诈骗者注意到,在全球范围内,移动流量现在已超过PC流量,他们开始调整其技术以利用移动设备的优势。用户。并且看到移动设备比PC受到的保护更少,这对他们来说是一个成功的举动。

请继续阅读以了解有关此新欺诈技术的工作原理以及需要注意的内容,以及如何保持安全。

Facebook登录骗局的工作方式

该骗局使用了称为 URL padding 的技术。典型的URL由三部分组成:

  • 域(必填)
    http:// facebook.com /photo.php?fbid=123456 < / code>
  • 一个子域(可选)
    http:// m .facebook.com / photo.php?fbid = 123456
  • 路径(可选)
    http://m.facebook.com/ photo.php?fbid = 123456

    • 作为移动用户,使用Facebook时,您无疑会在浏览器的地址栏中看到 m.facebook.com 。这是子域+域的组合,显示您使用的是Facebook网站的移动版本。

    URL填充是指骗子在完全不同的域上创建一个子域来模拟某些站点,并用无害的字符“填充"该子域以使用户认为自己是

    下面是PhishLabs的示例URL:

    http://m.facebook.com----------------validate----step1.rickytaylk.com/sign_in.html

    访问该网站会为您提供Facebook主页的实际移动版本的精确副本,请您输入您的凭据,以便您登录。知识渊博但不专心的用户可能会看一下URL,请参阅 m.facebook.com ,考虑清楚海岸,然后登录。

    输入凭据后,游戏结束。该网站将显示一个不起眼的错误(例如,密码不匹配),但已经造成了损害:他们已经存储了您的用户名和密码,现在可以访问您的真实Facebook帐户或使用这些凭据来尝试闯入您的其他帐户: Gmail,亚马逊,PayPal,银行等。

    敏锐的读者会注意到,此可疑URL的实际域为 rickytaylk.com ,并且该URL下具有三个嵌套子域:<

  • com ---------------- validate ---- step1
  • facebook
  • m

    • 如果您在PC上遇到它,您可能会认为它是一个明显的骗局URL,但这是移动用户的东西会看到:

    填充的URL可以通过各种通信方式发送:电子邮件,短信,Messenger应用程序等。

    可悲的是,虚假的URL没什么新。今年早些时候,在Chrome浏览器(和其他基于Chromium的浏览器)中发现了一个漏洞,可以将URL修改为其他URL。幸运的是,该漏洞已在诈骗者入侵城镇之前被修补,但表明信任URL只是愚蠢。

    如何保护您的Facebook帐户

    唯一的防护方式针对填充URL的目的是学习如何发现网络钓鱼消息,更重要的是,只能通过直接在浏览器的URL栏中输入域来访问敏感网站。

    这是一个不便之处,但值得。我一直都这样做,尤其是在检查银行帐户和使用电子商务网站时。随着时间的流逝,这将是第二天性,而您的被骗率会直线下降。

    如果您已经为之倾倒了怎么办?或者,如果有人通过其他方式获得了您的Facebook登录凭据,该怎么办?您可以采取一些其他措施来确保安全。

    最严重的密码错误之一是为您的所有帐户使用相同的密码。

    You know how most services require an email to sign up? Well, if you’re like most people, you use the same email address for all services. In that case, if someone figures out your password for one account, then they now inadvertently have access to all of your accounts.

    为每个帐户使用单独的密码,并且从不重复输入,可以大大减少损失。难道您不能将所有这些密码牢记在心吗?开始使用类似LastPass这样的密码管理器,您将再也不必担心密码。

    也许对您的Facebook安全而言,最好的办法就是启用两步验证。启用两步验证后,您可以通过登录批准代码生成器添加额外的保护层。

    通过登录批准,无论何时有人尝试登录,Facebook都会向您的手机发送一条短信。短信中包含一个数字代码,必须输入该数字代码才能授予访问权限。即使有人使用了您的密码,即使他们也没有您的手机,他们也将无法登录。

    代码生成器是与之相似的功能Facebook移动应用程序。该应用程序本身会生成一个代码,必须输入该代码才能从另一台设备登录Facebook。当您没有互联网连接或短信时,这是一个很好的选择。

    U2F安全密钥是一种类似于USB闪存驱动器的物理设备。您无需将两步验证绑定到手机上(如登录批准和代码生成器一样),而是通过将U2F密钥插入要登录的设备来确认登录。

    Facebook不是唯一支持U2F的网站-其他网站包括Gmail,YouTube,WordPress,GitHub和列表,而且这个列表还在不断增加-但您需要使用Chrome或Opera才能运行。

    Thetis U2F Security Key是一个可以买得起的经济实惠的钥匙(每个人只需要一把钥匙),但是功能更昂贵的钥匙更昂贵。例如,YubiKey NEO支持NFC,因此您只需轻按即可(适用于智能手机和平板电脑)。

    注意:在使用登录批准,代码生成器和U2F时要小心。安全密钥。如果您丢失了第二步身份验证器(即电话或U2F密钥),则可以通过以下方法恢复您的Facebook帐户登录信息。

    避免网络欺诈的更多提示

    URL填充只是Facebook漏洞和违规历史中的最新内容。为了最大程度的安全,请知道如果您的Facebook帐户被黑了怎么办。

    您在Facebook上遇到URL填充了吗?您如何确保您的Facebook帐户安全?在下面的评论中与我们分享!

    标签: