网红该怎样保护自己的社媒账号?

Pictured - a man at a computer disguised as an anonymous hacker wearing a Guy Fawkes mask.

作为意见领袖KOL,你的社媒账号是你最重要的资产。如果账号被盗,后果不堪设想,你辛苦建立的资产转眼成灰。你做了什么防护功夫吗?

过去几个星期,我接触了至少四宗网路勒索、诈骗案:

  • 某脸友发文说收到骇客警告,说已入侵电脑,取得不雅录影,不付钱就公开。
  • 某友手机被骇,电话簿外泄,骗徒假扮他诈财。
  • 某大公司Instagram帐户被盗。
  • 我收到恐吓电邮,说已盗取网站资料,必须付款,否则外泄,破坏我公司的形象。朋友的公司也遇到过类似的勒索案。

网路勒索和诈骗,就像电脑hard disk坏掉那样,你以为自己不会那么倒霉,偏偏就发生了,你才悔恨怎么没花些许时间做好备份。网路勒索和诈骗越来越猖獗,都是有系统地自动化进行,你我中招是迟早的事。

为了方便讨论,我把勒索、诈篇都统称为网路诈骗就好。诈骗能得逞,未必是因为骗徒厉害,而是因为用户疏忽。内容从两个重点来谈罢了:

  • 知彼:敌人是谁?
  • 知己:必须做什么?绝对不能做什么?

知己“知彼”,先了解敌人:到底什么是骇客?

骇客是对电脑系统认识极深极广的人,拥有专门知识能破解手机、电脑的防护,进入你的系统为所欲为。骇客是超级开锁佬。

骇客随时可能对付网红的社媒账号

我不会hacking,也不认识骇客,没法具体告诉你为什么在键盘上敲敲打打就能盗取你的资料,总之他们能够做到。但hacking是很考功夫的,比起开锁困难得多。假设我是超级开锁佬,要我花时间、冒风险去开你家的锁,我愿意吗?这就要看你家里究竟有什么宝藏。也许你家里真的藏了很多钞票吧,但此刻我并不认识你,也不知道你家藏了钱,所以我是没有动机贸然对付你的。

但是,你是可视度高的KOL,很容易成为目标。而且你有宝藏,宝藏便是信任你的众多追随者,骗徒可假冒你诈财。再不,骗徒可在掌控你的账号以后,勒索你。

骇客神秘且“高级”,若要出手会选择收获丰富的目标,比如大公司的伺服器,又或者追随者众多的网红。骇客把偷到的资料卖给其他骗子,骗子再用资料进行诈骗。依我估计,大家平常遇到的诈骗案背后,黑手多数不是骇客,以骗子为多,

也许是,也许不是。如果密码是真的,比较有可能是从其他网站泄漏的。骗徒买了这些资料,广发诈骗电邮,然后等着看谁上钩。也就是说,骗徒只掌握了他的密码和电邮,没有其他了。

你要怎样避免这些困扰呢?首先,从密码做起。关于密码,你应该已非常熟悉,不必解释太多。它就是你家的锁头,如果你能确实知道你把门锁得牢靠,骗徒就不能恐吓你说曾经进入你的房子。今天首先要谈的,就是怎样上好锁。

“知己”知彼:你的密码有多安全?

骇客怎样破解密码?一种方法叫蛮力攻击(brute force attack),用电脑自动生成字串轮流尝试:aaaaaaaa、aaaaaaab、aaaaaaac……

越复杂的密码就越安全,这是个很简单的数学题,如果你只用8个英文字母,虽说能有2千亿种组合,以当今电脑的速度,几分钟就破解了。如果你把它加长到至少10字元,含大小字母,含符号和数字,组合之多变成得以兆计,要破解得耗上几十年。

现在重要的网站如银行等都会逼你使用复杂的密码,但是越复杂的密码也越难记忆,因此,你很可能会把相同的密码用在多个网站。也就是说,你在每一道门用的锁头都是一样的,只要骗徒偷到关键的那把钥匙,全部门都能打开。怎么办呢?

马上要做的事:启动“双因素认证” Two Factor Authentication

密码是第一把锁,另一把通常是你的手机。感谢银行推动,大家其实都对这操作很熟悉,即是要交易前要先输入传到手机的OTP(One-time Password)。道理很简单,如果骗徒取得你的密码,但没有你的手机,就没法进入帐户。

谷歌老早就推出“两把锁”功能,根据报告显示能100%阻绝骇客,但至今却只有一成用户启动罢了。要保护你的帐户,第一件该做的事就是为谷歌、脸书等重要帐户启动“两把锁”。为什么这两个帐户特别重要?因为许多网站都依赖谷歌、脸书登录。到Google -> Settings -> Security、Facebook -> Settings -> Security,找Two Factor Authentication(2FA)选项,跟着步骤做一次就可以了。

Use Google two-factor authentication on the Apple Mac | RAW Mac
马上启动Google、Facebook、Instagram等等的2FA

这里先提出第一个“绝不教条”:绝对、永远、不能把OTP给任何人。如果你老公传简讯给你,说他掉进海里了,阎罗王说要有OTP才肯放他一马,你就由他去吧,祝他一路走好,准备另觅新欢。

律师朋友告诉我最近这个案子,阿某收到“朋友”从脸书来讯,说在购物平台中奖了,但必须介绍阿某加入才能领奖,购物平台会传OTP给阿某确认。阿某一时不疑有他,透露了OTP。原来骗徒盗用阿某的信用卡购物,阿某因而损失几万块钱,而且购物平台和银行都不需负责,因为”有人“输入了正确的OTP。

考虑要做的事:千道门、千把锁,请你开始用Google Password

这个做法,很多人会嫌麻烦,但这是最理想的,也就是不重复使用密码,让每个帐户的密码都不一样。如此,若你的一个密码被盗,只会影响你的一个帐户。我几乎能肯定你的密码早已泄漏过了,但这不是你的错,是骇客入侵公司的伺服器。你的密码曾经被偷吗?到这里输入你的电邮就知道了 https://www.avast.com/hackcheck

记得我说骇电脑很费事吗?骇客不愿意花时间破解普通人的电脑,但很愿意去破解大公司、网红的电脑,因为一次过可以偷万笔资料,Adobe、Malindo、Dropbox都曾是目标,你的资料就是在这样的情况下泄漏的。(但就算曾经被偷,也不必太惊慌,慢点我再解释为什么。)

我大约有百多个各类网路帐户,每个密码都不一样。哇!怎么记得呀?不是非常麻烦吗?其实一点也不麻烦,因为有工具帮你处理。如果你使用Google Chrome,它内建Google Password,每次开新帐户或更换密码,Google Password都会自动建议安全密码,并把它储存起来。

以后要登录相关网站时,Google Password也会自动填写。你只要记得你的谷歌帐号的总密码就可以了,其他的交给谷歌处理。Google Password不止能用在Chrome,也能在Android App中自动填写密码。

Google Password的缺点是只能在Chrome和Android使用,离开了谷歌的环境,你就得手动抄贴。如果你同时也使用其他浏览器如Microsoft Edge,或者苹果手机,Google Password就不那么完美。我使用的是跨平台的LastPass,功能比谷歌更完善些。当然,也还有其他选择。

但这样不是把所有鸡蛋放在一个篮子里吗?谷歌内部员工不就知道我所有密码了吗?万一谷歌被骇怎办?简短版答案:不,谷歌内部员工完全无法看到你的密码。如果你要知道为什么,读下一段;如果你怕头痛,可跳过。

为什么谷歌内部员工读不到你的密码

一般来说,信誉良好的网路公司如谷歌不会原原本本地储存密码。当你储存密码在云端伺服器时,比如abcd1234吧,它会经过数学运算”加密“(hashing),也许最终变成9876%zxcv,谷歌内部员工最多只能看到9876%zxcv,无法还原为abcd1234。像Google Password这样的服务储存多个密码,要解密就得用你的总密码为钥匙,总密码又经过hashing,所以内部员工无法盗用你的密码,大可放心。

前面说大公司资料库外泄,你的密码被偷也不必太惊慌,就是这个理由。被偷的往往是经过加密的密码,骇客也一样看不到。他要使用就必须解密,如果你使用复杂的密码(比如Google Password自动生成的那些),他也许要花几百年才能成功。话虽如此,若获知密码被盗,最好还是马上更新。

知己“知彼”:坏人还有什么招数?

密码安全了,接下来就是自卫。要能自卫,先搞懂对手的招数。骇客要入侵你的电脑或帐户,一般上只有几个办法:

  • 买到你外泄的密码
  • 骗你透露密码
  • 骗你安装骇客软件

关于第一种情况,你只要做到前述基本的密码功夫,大致安全了,因为骇客很难解密。骇客用不了你加密的密码,就只好骗你透露原有密码。 

第二种情况,他们一定得通过电邮、简讯等方法联络你,通常内容设计得像正规公司,比如银行吧,你按了他们提供的链接,会去到设计得和原有银行网站一模一样的页面,你若没注意到网址,填入用户名称和密码,他们就偷到了你的登录资料。 这叫着“钓鱼”(Phishing)

第三种情况,骇客骗你安装骇客软体。他们在电邮里引发你的好奇心,比如说”这裸照是你吗?“,或者介绍什么好康,你若按了链接安装软件,就很糟糕了。只要骇客能在你的电脑或手机安装他们的软件,就能为所欲为。但是,若你不安装,骇客基本上是没辙的,如今电脑和手机的保安十分完善,骇客是超级开锁佬,并非万能魔术师,要入侵相当麻烦。

所以,来到第二项绝不:绝对、永远、不能通过不明电邮里的链接安装软件,除非你能200%确认寄发者是谁。要安装软件,一定要辨识清楚来源是官网;若在手机,则一定要从Google Play或AppStore安装。这当然有例外的情况,如果你的科技常识足够、懂得辨识真伪,还是可以自行判断什么软件能安装。

从第二项绝不,可延伸到第三项绝不:绝不安装盗版软件。你有没有想过,究竟谁那么有空提供软件破解版?有那么多”好人“吗?骇客和骗徒会在盗版软件中偷偷加入病毒和其他恶意软体,其害处轻则无端端显示广告,重则盗取电脑资料。

总结

 自保网路安全,只需要做到几个基本重点:

  • 使用安全密码,启动”两把锁“。
  • 不重复使用密码,使用Google Password或其他密码服务。
  • 三个绝不:不透露密码和OTP、不安装不明软件、不用盗版。

具备了以上常识,不止可保护你不会轻易被骇,也能保你不轻易遭受恐吓。比如说我收到了前述那封恐吓电邮吧,我知道自己的密码十分安全,我也知道不曾安装来历不明的软件,就知道被骇的可能性非常低,不会因惊慌而就范。