最近发生了一起令人恐慌的盗号事件: 最近有个北方的团队,被盗了总计千万粉丝的账号矩阵。 这些账号是双绑的,而且绑的是实体卡,理论上来说非常安全,即绑了实体卡又绑了邮箱。 但丢号的时候,号主并未收到短信也没有收到邮箱验证码,就被更改密码 换绑走了。 一顿探讨下来,最终发现了端倪: 1.盗号者先是通过某种手段(社会工程学/黑客技术),获得了账号的密码; 2.盗号者本地登录账号后,在账号后台report a problem向客服发申诉请求解绑(申诉模板,我在11月19日于TK增长联盟星球首发过); 3.过几天官方回信后,实施解绑 换密码操作(图1)。 这里有三个一般人很难察觉的知识盲点: 1.只要TK版本不更新,即使邮箱电话都解绑了,密码也改了,本机依然能持续登录上一段时间。即是说,A也可以登录,B也可以登录,只要时间错开就行; 2.解绑和换绑,官方都会回复的消息提醒。但如果消息很多,你不细看消息列表是很难发现的。而一般人不可能不会频繁去manage account看自己是否被换绑; 3.TK有一项重大的安全缺陷,即不知道邮箱不知道电话的情况下,通过账号ID和密码一样可以登录账号。而账号ID是公开的,这就给了盗号者巨大的生存空间。 【账号防盗知识小课堂】 目前来说,光隐秘邮箱已经没有用了,首要奥义是保护好密码: 1.账号的密码,不要裸存在电脑本地的TXT/EXCEL/WORD等文件中,一旦电脑被黑,账号就没了。而电脑被黑是一件再简单不过的事。举个例子,大家的账号邮箱经常会受到各种各样的邮件。例如图2,如果你好奇心使然去点了一下人家提供的链接,说不定你就被不法分子,植入了后门程序; 2.账号的密码,不要写小便条贴桌面/电脑上,你不知道会不会有内鬼/来访者,对你“社会工程学”盗号。 3.密码不要采取连坐和个人化,例如全是zhangsan970703,或者全是xxx打头后面001,002...1个丢了全部都丢。也不要跟账号ID有关联,例如账号ID是handwork007,密码是handwork777,都是很容易被破解的。 【具体来说】 A.密码要尽量随机化、复杂化,一个好的密码应该至少8位,大小写字母 数字 特殊符号; B.每个账号的密码都不一样,相互无关联,且定期迭代更新; C.密码管理工具有很多种,星球之前也有人发过,要用起来; D.如果不想用工具,至少做好文档的保护工作,例如说放密码文档的设备(手机/电脑)就压根不要联网。 E.第三方平台(INS/油管)要用起来。凡是有价值的TK账号,都去买个第三方老号与之绑定,在账号追回的申诉过程中有奇效; F.账号信息,包括但不限于账号注册时间、初始邮箱/手机号、绑定的第三方平台账号,都要记下来。在账号追求的申诉过程中有一定效果;