《互联网时代生存指南》

可出售版权

网络大电影,动画片,动画电影,舞台剧,游戏,网剧,电视剧,电影,电子书,纸质书

意向价格

10万以内

作品状态

已完结

作品概述

分类:科技    标签:互联网

这是一本关于互联网、智能设备、互联网法律等与生活的书籍,内容主要包括:互联网与公民个人隐私、智能设备的使用技巧、利用互联网如何高效办公、新媒体与网赚技巧、互联网公司发展启迪与金融。每篇内容都是与生活息息相关的干货而非空泛的理论,通过大量详细的事例为起点来阐述解决方案,既有趣又实用,其中包含了很多人们常见但又模糊的概念、法律知识等,例如通过互联网如何正确寻医问药不被骗、各种设备间在不同情况下如何互传文件、智能家居的互联以及安全问题、互联网企业的发展以及金融问题。书中的介绍内容基于”实用、可操作、权威 ”三个原则,为此,在写书中关于法律方面的部分,我曾邀请了公安部门从事网络管理方面的专家作为顾问。

试读内容

《互联网时代生存指南》样章

第一章 互联网与公民个人隐私保护
导语:刚定了一张机票,谎称自己是航空公司的骗子就发来短信说航班取消了,要求你改签机票;刚付完房子首付,装修公司就在第一时间打来电话,问你要不要装修;刚生完孩子,热情的月子中心电话就来了;刚在手机上安装一款新软件,之前在别处登录过的帐号就已经自动登录……这差不多是近几年中国人都遇到过的事情,这究竟是怎么回事呢?我们的电话和个人信息别人怎么知道,这些人似乎神通广大。
没有人愿意看到自己的个人信息在互联网上“裸奔”。怎样才能让个人信息得到最大程度的受到保护、免于诈骗和垃圾营销,这些成为越来越多人关注的话题,在享受互联网带给我们便利的同时,学会如何保护个人隐私信息,显然已经成为现如今每个公民必须掌握的技能。

从最熟悉的网购说起
网购,已经成为现如今绝大多数人的日常购物方式,小到充值话费,大到置办家具家电,似乎没有通过网购完成不了的事,但是你可能不知道,网购带来的有可能不是便捷,而是 个人信息泄漏。
2015年10月26日上午,深圳市一派出所接到报案:一快递公司从7月份开始陆续接到大量客户投诉,称自己的个人快递信息遭到泄露,经常收到诈骗、营销等电话。经过快递公司自查后发现,自当年6月份到10月份,公司内部服务器曾被多次非法侵入,包含个人姓名、电话号码、家庭住址等的客户运单信息被多次恶意下载,数量超过20万条。
每逢“双十一”等电商平台促销活动,很多人的手机上都会收到电商卖家发来的短信,内容无非是宣传自己的店铺又打折了。而收到广告短信的用户,绝大部分都曾在该网店买过东西,商家有心留存了消费者的电话号码,方便自己之后进行广告宣传,更为关键的问题是,绝大多数消费者都不会想到,当初只是作为快递信息使用的电话号码,最终却会变成商家的广告渠道。或许你会想,不就接收一条打折的广告信息吗,能有什么危害,的确,一条短信不能对用户直接造成直接的损失,但是你的个人信息一旦成为网络黑产的目标,那就危险了。
2015年10月,网易旗下163和126邮箱系统数据库被大规模泄漏,受影响用户数超过1亿,泄漏数据包括邮箱用户账号、密码、登录IP、生日等敏感信息,导致用户使用该邮箱注册的Apple ID、微博、支付宝、百度云盘、游戏等业务也受到牵连;2017年4月17日,一个名为CosmicDark的供应商在暗网售卖优酷的用户数据库,该数据库包括了100759591条优酷用户账户信息,其中包含用户的注册邮箱和密码等敏感信息。
大量泄漏的用户数据除了被用来进行广告营销和诈骗以外,还被别有用心的人整理成为新的数据库,这种数据库俗称为“社工库”,里面包含了公民姓名、身份证号码、家庭住址、手机号码甚至酒店入住记录等详细信息。试想一下,你的出行记录、酒店入住信息以及家庭地址等信息在互联网上裸奔、网络账户被他人盗取时,你还会觉得个人信息泄漏是小事吗?

图:某“社工库”中包含的姓名、省份证号、地址等信息,输入人名即可查询。
“Have I been pwned”(https://haveibeenpwned.com/)是一个由微软安全专家Troy Hunt创建的查询网站,旨在帮助用户通过用户名和邮箱地址查询自己的帐号是否已经被泄漏。用户在该网站输入自己的邮箱地址并点击“pwned?”按钮后,如果出现绿色框内显示“Good news — no pwnage found!”字样,代表没有在此网站数据库里找到关于该邮箱泄漏的记录;如果使用该邮箱地址注册的网站账户信息已被泄漏,则会出现红色框和“Oh no — pwned!”字样,同时在下方列出具体泄漏的是哪个网站的帐号、泄漏数据包含什么内容等细节。用户一旦发现自己某网络帐号信息已被泄漏,应该立即修改使用该邮件注册过的所有网站账户密码。“Have I been pwned”网站还展示了用户信息遭到泄漏的网站列表,如果你发现自己曾注册过的网站“榜上有名”,务必更改密码。

图:使用邮箱查询后,显示使用该邮箱注册过的“机锋网”、“优酷网”帐号密码等信息已被泄漏
没有人愿意看到自己的个人信息在互联网上“裸奔”。怎样才能让个人信息得到最大程度的受到保护,免于诈骗和垃圾营销,成为越来越多人关注的话题,在享受互联网带给我们便利的同时,学会如何保护个人隐私信息,显然已经成为现如今每个公民必须掌握的技能。
但是,现实的情况已经非常不乐观,“如果要想更多地享受互联网带来的便利,你就要以泄漏更多隐私作为代价”,这个结论似乎和目前的实际情况更加贴切。当你在自己的安卓手机上安装了一款日历应用,它可能会提示需要使用手机定位、移动数据,甚至访问你的通讯录和照片。试问,一个日历软件访问用户手机通讯录等信息用意何在?难道用户要使用它打电话?这种流氓行为的目的,无非是要上传用户手机中的信息给软件开发者罢了,这种流氓软件比比皆是。当然,明智的用户会选择“禁止”,那么恭喜你,做出了正确的选择。

图:一款简单的“手电筒”软件请求访问用户的位置、通讯录、照片等隐私信息。
在工信部公布的“2017年第二季度检测发现问题的应用软件名单”中,绝大多数软件都存在收集、使用用户个人信息,恶意操控用户手机等问题。工业和信息化部早在2016年12月16日印发了《移动智能终端应用软件预置和分发管理暂行规定》,其中指出:生产企业和互联网信息服务提供者所提供移动智能终端应用软件不得调用与所提供服务无关的终端功能。对照这一规定,上述的手电筒、日历软件毫无疑问存在“越界”的行为,从本质上讲,这种打着幌子的“李鬼”软件其真实面目就是盗取用户个人信息的寄生虫,更直接地说,某些手机软件拼命想获取用户的各类信息,其目的本身就不单纯,这正是你每天接收到垃圾短信、各种营销电话的原因之一,而这些信息每年给网络黑产市场带来的灰色收入高达数亿元。
你可能会想:任凭这些软件有多流氓,我都禁止它们的权限不就行了吗?这个想法没有错,这种做法就叫做“源头拦截”。但是,在这个所谓的大数据时代,你的朋友、亲人、同事可能早已无意间把你的一些信息“告诉”了别人。这是怎么回事?举个例子,当你和单位同事同时使用一款聊天软件,他如果将你的真实姓名做为备注,同时在“好友资料”栏中如实填写了你的生日、电话、地址,这些信息会不会已经被恶意采集或者当作商品卖给别人?软件运营者能否保障用户的信息安全?这种信息泄漏的方式不是你自己能够控制的。
从上面几个事例来看,个人信息在互联网上泄漏的途径很多,保证其不受威胁则需要有很强的意识和网络使用习惯,这并非易事。

网络元数据泄露你的个人隐私

2013年6月被曝光的“棱镜门”无疑给美国外交带来了巨大的危机,这起国际级大规模个人信息收集事件的曝光,归功于供职美国中央情报局(CIA)的前雇员爱德华·斯诺登(Edward Snowden)。他先后整理出美国国家安全局(National Security Agency,简写NSA)有关监控活动的成千上万份文档,并于2013年在将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》。
这些文档曝出的内容之一是NSA曾收集所有美国公民的手机、电话拨打记录。请注意,被收集的拨打记录信息只包括通话双方的电话号码、通话日期以及时长,并不包含通话语音内容。据此,美国政府便一直以“我们收集的只是元数据”作为辩护。
什么是元数据?元数据(Metadata)是描述数据最基本属性的集合,简单地说,就是只包含了事件名称而不包含事件的具体内容。例如,某人访问一个网站,网站服务器记录了他的访问时间、访问者的IP地址、访问者使用什么手机进行访问等信息,这些就是元数据,而用户具体浏览的网页内容则不属于元数据。这些简单的数据为什么要和个人隐私拉起关系,很多人会疑惑。这些看似毫无意义的数据会对个人隐私造成什么样的威胁,是不是没必要大惊小怪呢?

图:以微信公众平台为例,运营者可以在后台看到关注者使用的手机系统类型、用户性别、用户语言等就属于元数据。
“元数据绝对可以告诉你某个人其生活的一切事情。如果你有足够多的元数据,你就不需要数据内容。”
——美国国家安全局前法律总顾问斯图尔特·贝克尔
2014年,前美国中央情报局和国家安全局局长迈克尔·海登曾在一次公开的会议讨论中说过一句令人瞠目的话:
“我们基于元数据杀人。”
可能是为了不让人们感到震惊和恐慌,他马上又补充了一句:
“但我们收集元数据的目的不是用来杀人。”
美国斯坦福大学曾进行过一项关于分析电话通话元数据的实验,在数个月的实验时间里,调查人员先后收集到五百个志愿者的元数据,其中五条内容如下:
志愿者A与多个地方的神经病学小组有联系,联系过一家专项药房,一个罕见病症管理服务机构,以及一条药品热线,且已知该热线只用来咨询多发性硬化症的复发。
志愿者B与一个大型医疗中心的心脏病专家详谈,还与一个医疗实验室有过简短会话,接过药房打来的电话,并接通过一个家用医疗设备的热线,该设备用于监视心率失常。
志愿者C给一家专门售卖AR半自动步枪的枪支商店打过不少次电话,而且还与AR步枪的生产商客户服务详谈过。
志愿者D一连三个星期与家居改善店、锁匠、水栽经销商和烟草用品商店联系。
志愿者E在一个早晨与她的姐姐通了很长时间的话。两天后,她给当地的计划生育机构打了许多电话,两周后又打了几个,一个月后打了最后一个电话。
实验通过志愿者的元数据能得到什么呢?调查人员通过多条元数据最后得出结论:这五个志愿者中,有一人是多发性硬化症患者,一人是心脏病患者,另一人持有半自动武器,还有一人是大麻种植者,最后一个是要做流产手术的母亲。
看到这里,我想大家应该知道元数据的威力了吧,通过它不仅仅可以知道公民生活中的最基础信息,比如什么时候打开了某个网页并浏览了几分钟,如果加以大量分析就可能获取更多超过信息本身价值以外的内容,这正是元数据最具价值的地方。
当然,事情总是存在两面性,例如网站收集元数据除了可以获取用户的基本信息外,还可以以此来打击某些网络作弊行为,电商网站如果通过对用户每一次访问的IP地址、访问时间等元数据稍作分析就可以检测“刷单”等的行为,具体过程为:如果某一商品所在网页在短时间内被来自不同IP地址的用户密集访问并购买,系统就会“特别关注”它,只要再通过其他指标加以分析,就能够很容易的判断这些交易是否存在“刷单”行为。原理很简单,同一件商品在集中的时间被大量买家账户买下,极有可能就是一次有组织的“刷单”操作,用户访问时间、访问者IP地址就是被有效利用的元数据。
所以说,并非所有获取公民个人信息的行为都对用户不利。互联网时代个人信息被获取的底线是什么,我想这是我们每个人都应该思考和探讨的问题。
元数据几乎存在与我们生活的各个角落,抛开公民在互联网上留下的“痕迹”,我们在生活中很多地方也留下了元数据。
当你用手机相机拍摄到一张照片后,便可以轻易地从这张照片文件中获取到拍摄设备的光圈、快门、白平衡、ISO、焦距以及拍摄日期时间、相机品牌型号、色彩编码和拍摄者所在的GPS定位数据等等,这是因为相机在拍摄过程中会采集以上信息并将其放置在照片文件内。
这些信息叫做“Exif”,它是插入在图像文件内的一组参数,Exif信息所记录的数据相当详细,通过专业软件便可以从一张图片上获取这些信息,但并不是所有图片都包含了这些信息。
如果你是一位iOS系统用户,使用一款名为“Exif Viewer”的软件便可以查看相册内图片的Exif信息。这款软件以缩略图列表的形式展示了手机相册中的所有图片,并附带了较为简要的照片信息,在每个图片的详情页面,你可以内可以查看到超过48项信息数据。除了查看Exif信息外,用户还可以利用该软件删除掉照片的各项元数据,如果想分享照片给他人又不想暴露太多个人信息时,通过该软件去除照片元数据是很不错的选择。
对于安卓手机用户来说,选择“Photo Exif Editor”、“EXIF 工具箱”等应用也可以实现类似功能;在电脑端Chrome浏览器中安装插件“EXIF Viewer”,可以帮助用户在Chrome浏览器中直接查看部分网页图片的EXIF信息。
值得庆幸的是,在绝大多数社交软件上发布照片时,软件会在上传过程中自动删除图片Exif信息,例如发布到QQ空间和朋友圈里的照片并不会包含Exif信息,因此他人也就无法通过这一途径获取你的私人信息。需要特别指出的是,以“原图”形式通过QQ、微信或者使用邮件发送的照片,对方接收后依然可以查看到该照片的Exif信息。

图:手机照片Exif信息
利用被我们“发送”出去的各种元数据,别有用心的人重新刻画出“发送者”的形象、消费需求、个人喜好、生活环境等等,而这些正是信息收集者们最终想要得到的东西。

两个关于照片的故事
2014年12月29日,德国之声网站报道称一名黑客复制了德国国防部长乌尔苏拉•范德莱恩(Ursula Von Der Leyen)的指纹。这位名叫扬•克里斯勒(Jan Krissler)的黑客表示自己伪造指纹并不需要手指接触过的物品,仅凭手指的近距离照片即可。这是怎么做到的呢?
当年10月,乌尔苏拉•范德莱恩曾在一场发布会讲话时做了一些手势,而这些动作恰好被当时在场的记者拍到,克里斯勒利用这些由普通相机拍摄到的照片,再使用一款名为“VeriFinger”的软件进行合成,便成功伪造出了对方的指纹。
现如今,指纹识别技术已经被大规模应用,例如指纹门禁、智能手机的指纹解锁与付款功能、指纹签到等等,在不远的未来指纹信息极有可能成为个人信息泄漏的另一重灾区。所以,及早保护好自己的指纹信息刻不容缓。
同样是关于照片,2016年11月一则有关iPhone手机拍摄的“live”照片会泄露拍摄者隐私的报道在网上被频频转发。只要在手机微博客户端上保存他人发送的live 照片到自己的iPhone,便可以在相册中查看这张live 照片拍摄地点,这是真的吗?苹果官方的回应是: 确实存在这样的情况,照片内部数据确实包含了位置等用户信息,目前只能通过关闭相机的定位功能来解决。
试想一下,如果你是一位爱晒孩子照片的妈妈,别人通过一张照片就可以知道你去过哪里玩,孩子在哪里上学,甚至你的家在什么位置,你还会觉得这些照片对自己没什么影响吗?这些地理位置会不会给别有用心之人提供大量的个人信息呢?

简谈保护个人隐私的手段
1.从正确使用浏览器开始
工欲善其事,必先利其器。要访问互联网,就离不开浏览器,但是浏览器产品的数量也是多如牛毛,让人难以选择。电脑端首选Chrome浏览器,它是由Google开发的一款简单高效且稳定的网页浏览工具,如果用户在Chrome上登陆Google账户后,还可以实现在不同设备之间的数据同步。此外,其强大的浏览器插件拓展功能可以带给用户更多不同的使用体验。
例如,“Adblock Plus”这款插件可以展现给你一个“清爽”的网页,它具有防止追踪、过滤横幅广告、弹窗广告以及视频广告的功能,在Chrome上添加后就可以剔除掉网页上面绝大部分广告内容,这些功能虽然在一定程度上损害了广告商的利益,但是却给用户带来了很好的上网体验,因此受到无数用户的追捧。
你是否留意过这样一个问题,当你在电脑浏览器地址栏输入“www.taobao.com ”访问淘宝网时,浏览器地址栏显示的是“https://www.taobao.com ”,输入“www.baidu.com”并进入百度首页后,页面地址栏的网址前也会有“https://”的字样,为什么会出现这几个字母和符号?它们是什么意思?通俗地讲,http是网站服务器将网页内容通过网络传送到用户电脑屏幕这个过程中所遵从的标准,它以明文方式发送内容,不提供任何方式的数据加密。事实上,所有的“www”文件都必须遵守这个标准。与http不同的是,https(Hyper Text Transfer Protocol over Secure Socket Layer)是以安全为目的的http通道,可以说是http的安全版,s代表的是英文单词safe,既安全的意思。如果数据传输使用https加密,网页就可以免于被篡改,安全性也会得到极大提高。在Chrome浏览器上添加使用“HTTPS Everwhere”这款插件,可以使用户打开的每一个网页都被强制采用“https”加密,从而增强数据的安全性。
Chrome浏览器具有“隐身访问”模式,打开隐身窗口后浏览器将不会记录用户的任何上网痕迹,但会保留使用者下载的文件和添加的收藏链接。不过即使进入隐身模式,互联网服务提供商和所访问的网站服务器仍然有可能记录到用户所浏览过的内容,这个隐身的意义无非是浏览器不保存浏览记录、Cookie和搜索记录罢了。不过值得庆幸的是,我们可以使用相关插件以此在最大程度上保障上网安全或屏蔽广告。
Tor浏览器是19世纪90年代中期由美国海军研究实验室的员工保罗·西维森(Paul Syverson)、计算机科学家迈克·里德(G. Mike Reed)和大卫·戈尔德施拉格(David Goldschlag)为保护美国情报通信而开发的软件,其核心技术是“洋葱路由”,浏览器在由“洋葱路由”组成的表层网(overlay network)上进行通信,可以实现匿名对外连接、匿名隐藏服务。正是因为其高度的匿名性,部分功能可能被滥用,中国大陆无法使用Tor浏览器。
选择可靠的浏览器产品是保证个人隐私免于泄漏于互联网的第一步,另一方面,不使用“杂牌”浏览器、从官方途径安装浏览器、及时更新浏览器也是需要注意的重要问题,因为从非官方途径下载的浏览器极有可能被人做过手脚,里面提前内置了他们设置的后门和虚假链接,用户的信息安全毫无保障。
2.火眼金睛判断网站安全性
先简单地解释一个概念: 网页地址中的一个重要部分——主机地址,它表示要访问的网页服务器的地址,既可以是IP地址也可以是域名,主机地址的一般格式是“功能.组织名.行业.国家”,例如“www.kfc.com.cn”中,“www”是功能部分,指的是“万维网”;“kfc”是组织名,指的是肯德基;“com”是行业名,指营利性商业机构;“cn”代表中国。一个网页地址无论有多长多复杂,判断其是否安全的主要方法就是分析其主机地址。
下面让我举个例子,手把手教你分析方法:
在网页地址“www.mps.gov.cn/n2253534/n2253875/index.html”中,主机地址是:mps.gov.cn,它是中华人民共和国公安部的官方网站,从主机地址就可以判断这是一个安全网站,因为“gov.cn”是中国政府网专有域名,因此极具权威性,根本不可能被他人随意注册。
在网址的“行业”部分,“com”表示营利性商业机构,“net表示网络服务机构”,“org”表示非营利性组织,“gov.cn”表示政府机构,“edu”表示教育机构,“name”表示个人网站。
知道了“行业”部分都代表什么,是不是更容易辨别一个网站的安全性了呢?如果一个网站其网址“行业”部分是“net”,但网页内容却号称自己是国家某部委的官方网站,那你就要留心了,这样的“李鬼网站”显然有问题。
除此之外,通过网址中“国家”部分可以看到该网站注册国家。“cn”代表中国大陆,“tw”代表中国台湾省,“us”代表美国,但是当“国家”是美国时,此部分可以省略,这就是很多主机地址没有“国家”部分的主要原因。
再以下面两个网址为例:
http://www.taobao0.com:8899
http://www.google.zhapian.com
前者看起来很像淘宝网,后者猛地一看以为是谷歌。别急,首先去掉不相关内容,那么就只剩下“taobao0.com”和“zhapian.com”,前者显然不属于淘宝公司,后者也不属于谷歌公司。不幸的是,使用这种伎俩行骗的假网站曾欺骗了很多粗心的网民。
根据以上方法,我们可以总结:网站是否安全取决于主机地址中“组织”名是否安全。
但是从另一个方面讲,普通网民遇到一个自己不熟悉的网站时,仅仅从网页地址判断其安全性会有很大的难度和局限性,此时利用第三方软件进行识别是一个很好的办法。
例如,有人通过QQ向你发送了一条包含网站地址的消息,当你把鼠标放在该网页地址上时,便会自动弹出对网页安全性的鉴定结果,是否安全或者被篡改都一目了然。除此之外,如果你的电脑安装了“360安全卫士”、“腾讯电脑管家”一类的安全软件,它将会自动识别用户每次打开的网站是否安全,如果发现某网站已经被标识为“危险网站”,那么就说明该网站很可能存在问题,这种情况下最好不要打开或者轻信网站上的内容。
此外,在百度检索结果中,正规的官方网站后面可能会有蓝框“官网”二字显著标识,通过它也可以避免进入山寨、钓鱼虚假网站。请注意,为什么这里说“可能”会有而不是一定会有“官网”标识?因为除政府、部分企/事业单位和机构外,百度对申请“官网”标识的网站主体均实行收费审核和认证,也就是说如果某企业并未付费申请该官网认证,那么搜索结果中其网站将不会被打上蓝色官网标识。
互联网的世界虽然如同一片汪洋,但是每个域名的注册都是受管理的。ICANN(The Internet Corporation for Assigned Names and Numbers)互联网名称与数字地址分配机构,是一个非营利性的国际组织,负责在全球范围内对互联网唯一标识符系统及其安全稳定的运营进行协调。也就是说,ICANN管理着域名注册的相关信息,每一个注册者都要提供自己的个人信息,这些信息都与要注册的网站相对应。
所以,如果能利用工具查询到一个域名所有者的信息,无疑给我们辨别网站性质提供了巨大的帮助。在网站“站长之家”中查询Whois(http://whois.chinaz.com/)即可看到某一网站的域名信息,以新浪网域名“www.sina.com.cn”为例,通过Whois查询可以看到域名的注册商、联系人以及联系方式等信息。

图:新浪网域名Whois查询
有四个用来判断网站是否可信的经验:
一般而言,正规公司域名的联系人信息不会是个人;
注册时间越久说明该网站,应该不存在“打一枪换一个地方”的骗子行为;
通过联系人whois反查和联系方式whois反查,可以找到通过此联系人和联系方式注册的其他域名,综合观察这些网站,如果其中存在虚假或者可疑网站,那么此联系人信息下的所有网站都可能是虚假网站;
最后,还有一个更加聪明的办法可以作为参考,那就是反链查询。那么何为反链呢?假设有两个网站A和B,B网站通过一个链接指向A网站,那么,B到A这个链接就是A的一个反链。一个网站的反链数越多,说明别的网站越信赖它,以此为参考可以判断该网站是否可信。依然以新浪网域名为例进行查询,可以看到查询时外链数量超过8万条,那么说明该网站可信。

图:对sina.com.cn进行反链查询

3.蹭网停不下来?是病,得治
由于中国大陆数据流量资费昂贵,很多人更喜欢使用WIFI上网,因此就出现了很多蹭网族,他们无论到了什么地方,第一件事就是要看看周围有没有可以蹭的WIFI。
中央电视台记者在很早之前曾报道过多起蹭网者被盗网银密码的事件:在专业人士的操控下,一旦有手机连入其精心设置好的无线网,他就可以在短短几分钟之内盗取设备中大量数据,包括储存在手机里的短信、使用过程中输入的密码、通过社交软件发送的照片等等。
如今,用来窃听数据包的黑客程序功能越来越强大,钓鱼者通过“关键字嗅探”等功能,便可以更加有针对性、更加快速地窃取蹭网者的数据,正所谓“道高一尺魔高一丈”,你不能确定一个陌生的WIFI后面手否隐藏着一双黑手。
所以,随地蹭网是一个坏毛病,有密码的网络也不一定是完全安全的,不随便使用陌生网络才是万全之策。即使蹭网,在使用网银或者移动支付的时候一定要切换使用数据流量,这样才能保证万无一失。
4.注意你留下的痕迹
本书刚开始的时候提到用户快递信息被窃取,现在重新拿出来,讨论一下是否有办法解决这个问题。
目前,由于相关部门对快递行业监管存在一些漏洞,快递企业自身也不能完全保证每一位用户的信息不遭到泄漏,因此自己细心保护个人信息显得更加重要。既然不法分子对我们的电话和收件地址那么感兴趣,那就给他们“假”的信息,什么意思呢?如果你是寄件人,寄件地址可以只填写到街道名,大可不必把门牌号都填写清楚,准备一个虚拟小号作为寄件人电话也是很有必要的。
推荐两个比较实用的付费服务:中国移动官方小号业务——“和多号”以及阿里通信的“阿里小号”。以”阿里小号”为例,用户在不需要安装额外电话卡的情况下就能够拥有一个虚拟电话号码,你可以使用这个虚拟电话号码来作为收发快递的联系方式或者用来注册某些网站帐号。更加贴心的是,用户还可以在软件里选择关机、开机、只接受短信或者电话来控制该号码的通讯功能。
如果这个电话号码仅仅作为自己收发快递的专用号码,而不是用来与亲朋好友联系,那么即使有一天该号码收到所谓的中奖短信或者接到自称是航空公司协助退票的电话,你就可以很容易地判断出这些都是骗局,这和很多人拥有一个“生活号”和一个“工作号”的原理完全一样。此外,如果没有特殊要求,收件人和寄件人的姓名也可以不使用真名,比如填写“李先生、刘女士”等。
国家邮政总局曾在2015年10月24日表示,从2015年11月1日起正式实行快递实名制登记,但是从我国主流快递企业设立的“快递失信管理平台”统计数据来看,从2015年6月9日正式上线至2017年11月中旬,这一平台已经录入了超过2万名有偷窃行为和泄漏买卖客户信息行为的快递员。因此,如何保证快递员遵守信息保密的规定也是横亘在推行快递实名制面前的最重要难题之一。
使用假名、虚拟电话号码等不实信息,这就是避免真实信息被盗取和被骚扰的方法之一。
再来说说另外一些情况。百度贴吧,在这个全球最大的中文社区上已经有超过15亿网民注册使用,为了在社区外和线下交流,有无数用户在留言中曾发布了自己的QQ号码、手机号码、家庭住址等信息,甚至有吧友巨细无遗地在帖子中谈论自己的个人情况。
本来只是为了交流,但这些留言是却成了一些别有用心的人的目标。通过高级搜索命令,很容易查找到你在某一个网页上留下的联系方式等等。
其实除了贴吧,互联网上各类论坛多如牛毛,我们不小心在上面留下的个人信息都有可能被别人收集,例如使用邮箱扫号软件获取他人邮箱帐号后用来发送广告邮件。解决这类的办法就是把信息部分用图片发布,比如QQ号码用图片的形式回复,如果在受到限制不能发送图片的情况下,我们还可以用“组合”形式,比如电话号码13033445566可以写成:1弎0三3四4五五六6。
这样做的好处是什么呢?相对于真人,搜索引擎和扫号软件等就很难识别出这串“组合”是手机号码,因此可以在最大程度上避免自己的号码被抓取、恶意收集。
除号码类以外的内容该怎么办呢?试试用火星文代替你要发送的内容,例如“今天下午在建国路大酒店301见面。”可以写成“ㄣ今兲丅午恠建國璐大揂店ろ○1見囬。^:^”过去,这种曾在网络上流行一时的另类文字代表着个性,如今我们可以用它来巧妙避免自己在网上的发言被他人使用抓取。
这种文字在格式上没有固定的约定,只要能表达本意的汉字、图形符号、外语字母都可以使用。要读懂通过这种方式发送的内容很显然需要通篇来看,仅仅从其中几个字符是很难读懂发送者的原意,而且搜索引擎几乎抓取不到要表达的原文,是防关键字过滤的利器。
以上这些方式或许在现实生活中不是万能的,但是我想它对读者有很好的启示作用,方法千变万化,样式多种多样,只要有效、方便那就是好办法。
5.网上发言要有责任感
说话,是一门艺术,在互联网上说话,更是一种责任。保护自己信息的同时,也不能把别人的信息泄漏出去。
举个例子,某人在一论坛中回帖:李雷,好久不见,没想到在这里看到你了。你是不是还在金融港农业银行上班啊,没记错的话你手机号是13033445566吧,我改天找你啊。说者无意,看着有心,短短几句话里面包含了多少信息。
我们在保护自己信息的时候,也不能把别人的信息当作玩笑,发帖和回复中,一定不要讲很具体的事情,例如对方的联系方式、住址、职业,更不要随便发布别人的照片。除此之外,互联网上的信息真假难辨,不随意转发轻信网络传言也是我们每个互联网用户必须遵守的准则。
6.别忘了定期检查你的上网设备
“键盘记录器”是一款通过网络传播而且可以在多种系统上运行的间谍软件,它可以记录用户键盘操作一切。黑客利用类似功能的软件记录用户输入的信息,从而窃取用户的QQ、邮件、网游、网银等的帐号及密码,给用户带来损失。
除此之外,类似功能的物理设备也曾出现于很多公共上网场所。其外形与U盘极为相似,电脑开机后便开始自动记录电脑使用者在键盘上的一切操作并生成日志,而且用户无法察觉。试想一下,我们的QQ密码如果是在别人的“注视”下输入的,那么账户有何安全性可谈?
软件类的监控程序可以被杀毒软件识别并清楚,硬件类型的设备就不是那么容易被发现了。所以,定期检查你的上网设备并杀毒也是不容忽视的。
除定期经行检查之外,可以利用“软键盘”输入密码或者通过复制相关字母和数字到输入框,即使电脑已经中招,间谍软件也不会知道密码或者输入的真正内容是什么,帐号被盗的风险将大大降低。以Windows7系统为例,使用组合键“Win”加“R”键打开“运行”后输入“OSK”即可打开Windows自带的软键盘;此外,电脑版QQ或者网银登录界面也都可以调用程序自带的软键盘。

图:登陆QQ可使用软键盘输入密码
7.给手机里的照片加把锁
现如今,手机几乎已经完全替代了数码相机的地位,用手机拍照已经基本满足用户的日常需求。那么怎样保护手机内的照片免于被他人误删或者偷窥,即使手机遗失或者被盗。
TimeLock(时间锁)是一款出色的加密软件。如果从表面看它是一款再也普通不过的时钟应用,因为其界面只显示了一个表盘,但它其实是一款可以将照片、视频、文件进行加密的工具。
打开应用后点击时钟的圆心点时,就会进入到输入密码模式,时钟也会自动归零,即12:00。TimeLock的密码就是时间,拨动时针与分针即可设置一个时间作为密码,比如将时针拨至“12”分针拨至“6”后,“12:30”就被设置成为以后打开 TimeLock的密码。解锁方法是按下时钟的圆心点,然后拨动指针解锁。这样的设计是不是很别出心裁呢?
作为一款文件加密工具,无论设计让用户感到有多么新颖,安全性终究是评判其优劣的重要指标。TimeLock对照片的保护和视频的备份功能,都采用了安全性很强的256位AES 算法加密,这种算法常被用来加密军事级机密文件,由此看来TimeLock的加密性能值得信赖。
那么手机被盗或者丢失怎么办?TimeLock还有一个更细心的功能——自毁功能,一旦输入密码错误超过5次,应用就会删掉所有储存在TimeLock的所有照片、视频和文件。

图:TimeLock(时间锁)软件界面
除使用TimeLock之外,用户还可以把照片上传至百度网盘隐藏空间进行备份,即使手机上面数据丢失,还可以从云端挽救回来。
8. 远程“杀掉”手机,把隐私抹掉
事实上,事情并不是只需要抹掉照片那么简单,当你的手机丢失后,手机里所有的信息就会处于危险之中。曾今发生过很多手机被盗,骗子冒充机主骗取手机联系人的事情,除此之外,支付宝和手机银行也会受到威胁。
例如支付宝在打开免密支付后,支付时金额在免密金额以内将不需要输入密码,捡到手机的人完全可以在超市等场所打开你的支付宝并使用付款码进行支付。
iPhone用户一定要在手机上登录Apple ID 并打开“查找我的iPhone”,不要关闭定位功能并设置屏幕锁。这里需要说明的是,打开定位功能并不代表允许所有应用都可以访问“位置”。
设置好这些后,即使别人得到你的手机,也不能顺利打开手机访问你的照片和通讯录等等,即使iPhone被重新安装系统,如果没有Apple ID的密码手机也不能被激活,在电脑端登录iCloud后可以看到丢失的iPhone目前在什么位置,如果手机关机则只能看到iPhone最后所在的地理位置。

图:使用iCloud查看iPhone所在位置
当然,如果你的手机没有丢失,只是想把你的iPhone转卖或者送给别人,可以通过手机设置里的还原——抹掉所有内容和设置抹掉所有数据。注意,这种方式同样需要输入手机密码。
由于系统与iPhone存在差异,大部分安卓手机需要借助第三方软件才能实现远程控制。来自捷克的“avast!”(中文名为爱维士)是一款出色的安全软件,其安卓版本非常强悍。在你的安卓手机上安装“avast!”并启用软件的“隐藏模式”后,应用程序的图标将隐藏在应用程序托盘中,很难察觉到软件正在运行。使用远程锁定功能后,可以让电话可以远程锁定并只能通过密码解锁;触发远程内存擦除功能后,软件将永久性擦除全部手机数据,例如通讯录联系人、通话记录、短信、浏览器历史记录、应用程序和电子邮件帐户,除这些以外还包括手机储存卡上的所有文件。
如果你要转卖或者赠送自己的安卓设备给他人,选择和iPhone类似的恢复出厂设置功能可以抹除设置和用户安装的应用程序。注意,部分安卓手机的恢复出厂设置并不能选择抹除储存卡中的内容,要想更彻底抹除这些数据,可以将手机连接到电脑,并在电脑上安装软件“CCleaner”进行抹除,为了防止数据被他人恢复,你还可以选择覆写的次数来保证安全性。

图:利用CCleaner的“驱动器擦除器”功能抹除手机内存中的数据
9.设置和管理密码是一门有趣的学问
2017年1月10日凌晨,有网友在微博上爆料称支付宝登录存在严重安全漏洞。该网友表示,只要登录在支付宝账号时选择“忘记密码”,就可以通过“安全问题验证”找回密码,从而登录别人的支付宝账号,而“安全问题验证”内容无非是选择近期购买过的物品或好友,那对帐号主人有所了解的人岂不是可以很容易地登录该帐号。
此事一出,很多网友纷纷亲身尝试,验证了这一问题确实存在。不少人怀疑:“由此产生的熟人盗窃怎么办?”“十几年的用户积累,毁于这个致命漏洞”,一时间朋友圈被“支付宝致命漏洞,快解绑你的银行卡”、“熟人可100%登录并篡改你的支付宝密码”这样的文章刷屏。支付宝官方表示已对安全防控进行了升级,目前仅可在自己常用设备使用“购物记录、认识的人”找回密码,其他设备无法通过这一方式找回登录密码。如果收到支付宝发来的验证码短信,提示有人尝试登录自己的支付宝账号,用户可以立刻进入支付宝客户端,依次点击“我的、设置、安全中心、急救包、快速挂失”。

图:网友表示可以正确通过对熟人支付宝帐号的安全验证
这个事件带给我们更多的应该思考而不是恐慌,如何能让我们的帐号密码和验证方式更加安全有效?
世界上关于密码的起源可以追溯到公元前405年,中国是世界上最早使用密码的国家之一,中国人也曾今发明了最难破解的“密电码”。早在东汉末年,著名的抗倭将领、军事家戚继光就曾编写过一本名为《八音字义便览》的书,作为当时训练情报人员和通信兵的教材。
而在现代生活中,密码也是我们每天都要接触到的,但是什么样的密码才是安全的呢?在回答这个问题之前,我们不妨先探讨一下什么样的密码是不安全的。密码不安全,衡量标准无非就是容易被他人破解、位数短且数字连续、密码与个人信息关联度过高,例如使用姓名的拼音和代表生日的数字、只使用字母或数字单一字符、长时间使用过的、自己在其他账户上同样使用过的,这些都是不安全密码的显著特点,这样的密码破解难度低。如果在各种账户上都使用了相同的密码,一旦有其中一个账户被他人破解或者泄漏,自己的其他账户密码也很可能受到影响。人总是有惰性,很少有人愿意在不同的帐号上设置不同的密码,当然这样做非常不便于记住这些密码,例如人们更愿意把银行卡取款密码、支付宝支付密码、微信支付密码等设置成相同的六位数。
在保证密码安全性的同时,似乎又给密码的记忆带来了不便。为此,很多人选择将自己各类帐号以及密码记录在纸上,防止自己遗忘,但是记录密码的这张纸是否存在遗失或者被盗的可能,这又给我们带来了新的麻烦。事实上,在过去的很长一段时间内我也是这样做的,我也曾和很多人一样确信自己能够保管好这张写满帐号和密码的纸,然而这份“机密文件”最终还是不小心被弄丢,这导致我不得不花费很大精力将自己的各种网络账户密码进行重置。在探讨如何设置安全的密码之前,我们先解决如何安全地管理密码这个问题。
“1Password”就是专门解决这个问题的一款软件。其最大的功能就是代替纸等实物,记录和保管你的密码。它更像一个密码“保险柜”,你需要主密码才能打开它,然后就可以查看或者编辑自己的各类账户密码了。除此之外,你可以同时在不同平台使用1Password,例如办公室的电脑、放在家里的iPad或者随身使用的安卓手机,因为你在创建密码时软件会自动将它们上传至服务器。

图:1Password登录时需要输入主密码
什么?密码上传到他人的服务器,那服务器一旦遭到攻击怎么办?密码管理的问题似乎陷入了一个没有万全之策的“死循环”。这个时候,一种采用新思路的软件产生了——“Master Password”。
与其说是一款密码管理器,倒不如说它是一款密码生成软件。用户只需要设置一个“主密码”,软件就会根据该主密码生成对应账户的密码,因此用户只需要记忆这一个主密码即可。例如设置了主密码后,当你使用网站https://www.icloud.com/时,软件将自动生成一个只针对该网站的密码组合供你使用,因为软件使用的算法固定,软件会通过该主密码将用于某一网站的密码“算出来”,所以不同网站和相同的主密码所产生的用户账户密码都是不同的,既保证了使用者各个账户的密码各不相同又便于记忆,这确实是一个让人拍案叫绝的完美方案,这种密码管理方法不需要上传密码至任何服务器进行备份,软件自身的密码算法就是它的“保险箱”,。
除了定期更换密码,不同网站使用不同密码外,我们可以采用以下几种方式让密码更加安全:
1.使用更加复杂的混合字符。例如密码:taobaomima520可以更换为@ta0ba0m1ma52o!,用这种方法设置密码既提高了安全性也不容易遗忘。
2.反向使用生日和短语。例如,李雷生日是1976年7月15日,他可以设置自己的密码为:5176791ielil,这种镜像的表示方法,即使是熟识的人也很难用生日之类的信息破解你的密码,而且容易记忆。
3.安全问题“答非所问”。为了保护密码安全,很多网站都设置了针对忘记密码后的安全问题,但是对于“你出生的城市是哪里?”、“你父亲的姓是什么?”这类局限性很大而且极有可能被别人知道的问题,你可以“答非所问”,比如设置出生城市为你比较喜欢的一个别的城市,父亲姓可以填写成你某位老师或者爱人的姓。

10.在网上发现自己的隐私怎么办
万一在网上发现自己的隐私怎么办?别慌,首先要思考的应该是这条信息是从什么地方泄漏的。如果是自己曾不小心发布到了网上,马上删除或者修改,经过一段时间搜索引擎重新抓取的时候,原来的内容就会被覆盖掉。如果是别人发布的,可以联系发布者或该网站管理员,要求其删除,但是这有时候并非那么容易。
如果需要删除百度搜索结果,最直接有效的渠道就是通过百度服务中心(http://help.baidu.com/webmaster/)经行反馈。此外,在网上随意发布、售卖公民个人隐私属于违法行为,如果遇到发布者拒绝删除的情况,可以利用法律武器保护自己的隐私。
2012年12月28日,第十一届全国人民代表大会常务委员会第三十次会议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》对保护网络信息安全起到了很大的指导作用;2017年6月1日起,《网络安全法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《互联网新闻信息服务管理规定》、《互联网新闻信息服务许可管理实施细则》等一批新法规开始施行,法规明确了“公民个人信息”的定义以及对违反者的具体处罚细则;尚在制订中的《中华人民共和国个人信息保护法》包含了法律对个人信息保护的基本原则,希望这部法律早日弥补法律上的空缺。

如何保护电脑硬盘里的个人数据
如果说电脑的心脏是CPU,那么硬盘就是电脑的大脑了。硬盘负责“记忆”电脑中绝大部分数据,一旦硬盘损坏那么用户储存在电脑中的数据也就不复存在了。本文将要讨论的并不是如何保护硬盘不受到物理损坏,我想谈几个隐藏和加密硬盘中数据的方法,这些方法有的需要利用第三方软件才能实现,有的则只需要对文件进行简单设置即可,选择不一样的方法可以达到不同的效果。
以Windows7系统为例,要想隐藏电脑中某一文件,右键点击该文件并在“属性”选项中选择“隐藏”即可,使用这种方法可以达到简单的隐藏效果。如果要浏览已被隐藏的文件,在资源管理器工具栏中依次选择“工具——文件夹选项——查看——隐藏文件和文件夹”,选择“显示隐藏的文件、文件夹或驱动器”即可。

图:在属性中设置影藏文件
利用这种简单的隐藏方式设置的文件,通过简单的设置或者使用专业的资源管理器软件就可以查看到。如何不隐藏文件就能达到防止他人随意打开的目的呢?直接删除文件拓展名是一个巧妙的方法。
文件扩展名(filename extension)也称为文件的后缀名,是操作系统用来标志文件类型的一种机制,一般情况下扩展名是跟在主文件名后面,并由一个分隔符分隔,例如文件名“忘情水.mp3”中,“mp3”就是该文件的拓展名。删除文件拓展名后,操作系统将无法正确辨识文件到底是什么类型,因此不能正常打开。当自己需要再次打开此文件时,只需在文件名后补上原拓展名即可。
使用这种方法的也存在弊端,如果操作者自己也忘记了文件的原拓展名,将无法打开这个文件。
通过压缩软件对文件加密也是一种简单有效的方法。WinRAR是一款常见的压缩软件,通常在盗版的Windows系统中都会预先安装此软件,建议用户通过官方下载渠道安装使用。电脑安装WinRAR后只需右键点击需要加密的文件选择“添加到压缩文件”,然后在“常规”选项中即可设置密码。需要提醒的是,利用此软件加密压缩的文件也可能通过破解软件打开。
VeraCrypt是一款基于TruecCypt项目的免费的磁盘加密软件,在Windows、Linux和OS X系统上均可以使用,并通过 AES、Serpent、Twofish 等高强度加密算法进行实时的加密和解密。除了可以给整个硬盘或者硬盘中任一个分区加密外,还可以利用软件创建一个“保险箱”,专门存放比较重要的文件。如果你需要将自己的移动硬盘或者U盘加密,也可以使用VeraCrypt来完成。
对于需要将重要文件通过互联网 (网盘、云存储) 同步的用户,可以首先利用VeraCrypt对文件进行“文件型加密卷”加密,然后再上传到 Dropbox、OneDrive、Google Drive 或是国内的百度网盘、360网盘上,这是一个非常不错的选择,加密后数据将完全不会被窥探,因为从目前来说,VeraCrypt 所使用的加密算法技术基本没有可行的破解方案。善用 VearCrypt 来保护自己重要的云端数据,即使因云盘账户密码泄露,也可以保证文件内容不被别人获取。
在对数据加密的解决方案中,某些情况下最“脆弱”的环节并不是加密的技术而是“人”本身。做一个极端的假设,有人用酷刑逼你交出所用的密码时,能否有一种办法既可以保护自己的数据安全又能够利用密码换取你自己的安全呢?答案是:有!
VeraCrypt的“ 隐藏卷”功能就是解决这个问题的最好办法。当然,在我们的生活中几乎不会遇到上述假设的情况,但是这个设计从另一方面体现了加密技术的意义所在。
简单来说,这个功能可以让你为加密文件夹设置两个密码,其中一个密码用来解开普通的加密卷,使用者可以提前把假的“诱饵”文件放在这个普通加密卷里;将真正需要保护的文件放在“隐藏卷”里,另一个密码就是能打开这个隐藏卷的钥匙了。
利用“金蝉脱壳”的妙计来蒙混过关,这正是 VeraCrypt 最大的亮点!
此外,Windows Vista以上系统内置的“BitLocker”工具和苹果电脑内置的“FileVault”都可以对电脑硬盘进行加密保护。需要提醒的是,使用这两款工具对电脑数据加密后,一旦忘记密码和密钥就很难重新打开被加密的文件,这将给用户带来巨大的麻烦。

谈谈iPhone设置里的一个细节和如何伪造手机定位
2012年11月5日上午,网友“一枚红薯叫沈Sir”发布的一条微博在网络上被大量转发,微博具体内容为:“亲,别让你的位置裸奔啦!最近网上盛传‘微信三点定位’可暴露位置,蜀黍今天亲测了下,确实可能暴露部分位置信息。”经过媒体核实,发布者为杭州市下城区公安分局治安防控机动队警长沈宏。
按照该民警理解,“微信三点定位法”的意思为:在“查看附近的人”中记住自己的位置和与该用户之间的距离,变换两次位置重新记录距离,以三个所在位置作为圆心、距离为半径画圆,交点就是要找的人的位置,圆圈越多,位置越精确。
对于这个问题,网友看法不一,有人认同有人反对,湖北省国土测绘院工程师易莺表示,这种“三点定位法”在理论上是可行的,这其实就相当于中学几何中求相交点的问题。抛开“定位法”是否正确,更多人关心的则是自己在使用手机或者互联网时是否会暴漏自己的地理位置。除了用户量最大的微信外,QQ、陌陌、探探、来往等社交软件同样也都是基于LBS基站定位来确定用户位置,也就是说,只要手机处于网络通畅并允许被软件访问位置信息的情况下,软件都可以轻易记录你的位置。
如何避免位置信息过多的暴露?在手机设置中禁止软件随时访问位置信息的权限,或者在使用完类似于“附近的人”这样的功能后及时“清除位置信息并退出”。除了禁止软件访问位置以外,还可以利用一款小软件伪造手机定位,在越狱后的iPhone上安装一款名为“Anywhere!”的免费插件后,便可以随时随地修改手机所在的位置,比如身处北京的你可以通过该插件设置手机定位为武汉、巴黎或者其他任意地点;安卓手机用户使用“Fake gps”、“任我行”这两款软件也可以达到同样的效果。
在大多数人的思维里,虚假通常和欺骗密不可分。除了隐藏自己的位置隐私,伪造地理位置通常也被用于其他的方面,例如微商使用这个功能不断变换自己所在位置以添加更多“附近的人”来推广、一个出轨的男人去见新欢,却给妻子发送假定位并谎称自己出差了、即使是晚上躺在家里,也可以发布一条定位于公司的朋友圈来证明自己还在加班。你瞧,每个人对虚拟定位的需求各不相同,这个功能用“有趣”两个字来形容再合适不过了。
需要提醒的是:
1.不建议iPhone用户“越狱” 
2.2.安卓软件一定要在官网或者Google Play下载安装。但是大陆用户可能无法访问Google Play,如何安装原版应用将在本书后文介绍。
再谈谈关于定位的另一个话题。通过iPhone就能看到该手机使用者曾去过什么地方,而且连什么时间去的、呆了多长时间、去过几次都被记录的一清二楚。这其实是ios7及以上版本系统的一个功能,苹果对该功能的描述为“允许iPhone记录常去地点,在‘地图’、‘日历’及更多应用中提供有用的位置相关信息。”
但是情况似乎并不是这么简单,国内某信息安全专家曾表示:互联网世界没有国界概念,苹果公司可从全球用户手中轻易拿到关乎其个人隐私的数据,但却没有哪个国家的法律能对此约束和管理。如果没人能对苹果公司加以控制,每个用户头上都像顶着一把“达摩克利斯之剑”。
一位与苹果产品打了5年交道的业内人士表示,“ios版本升级很快,从收集个人隐私的角度来看,苹果公司的掌控力随着版本的升级也一再提高,到现在已经到了无孔不入、无所不知的地步。” 
作为普通用户,我们无从知道自己的定位信息被收集后上传到了哪里,又会被何人作何处置。为了自己的信息安全,建议所有iPhone用户在“设置——隐私——定位服务——系统服务——常去地点”中将其关闭。
在这由一粒粒比特组成的网络海洋里,请多一分对个人信息的关注,不要让它们随意变为沉入大海的石头。

第二章 “解剖“网络骗局

理性面对“互联网+公益”
2016年11月底,一篇名为《罗一笑,你给我站住》的文章刷爆了互联网,文章作者是深圳某杂志社主编罗尔。2016年9月8日,他5岁的女儿笑笑被诊断患有白血病,此后罗尔开始在微信公众号上记录一家人与白血病战斗的历程。
在女儿病情刚刚得到控制不久后又不幸受到感染,病情转危,巨额医药费迫使罗尔选择了网络筹款的方式。但是由于每天通过网络接受捐款上额受限,深圳市某金融服务有限公司表示在该公司旗下公众号内发布“笑笑系列文章”,只要读者每转发一次,公司就会捐助笑笑一块钱,文章同时开设赞赏功能,赞赏金全部用于笑笑治病。
2016年9月24日凌晨,笑笑因抢救无效离世。这次转发一次捐出一元的行动,被质疑带血营销。罗一笑事件最终受到公安、民政、卫计、工商等部门的查处,涉事款项全部原路退还网民。
近年来,各类网络公益平台悄无声息的走进了网民的视线,各种花样的“互联网+公益”活动也让人真假难辨。打着公益旗号的网络营销,其最大的特点与我国法律对“诈骗”定义的特征极其相似,即虚构事实或隐瞒真相。
缺少第三方权威机构的认定、无法查明求助者真实状况,这都使“互联网公益”漏洞重重,一些不法之徒利用这些漏洞骗取大量捐款。面对互联网上的求助,我们该怎样确定其真实性呢?
辨识互联网公益,一定要抓住以下几个重要的信息:发起人身份是否明确,是否有权威部门监督,所发布问题是否有相关证明,具体花费和目前募集资金有多少,善款目前使用情况是否透明公开。如果这几项基本环节有一项不能查明和证实,就不要参与相关所谓的“互联网募捐”活动。
根据2016年9月1日开始施行的《慈善法》,国家民政部通过了首批13家慈善互联网募捐平台,它们分别是:
1、腾讯公益慈善基金会:“腾讯公益”网络募捐平台
2、浙江淘宝网络有限公司:淘宝网
3、浙江蚂蚁小微金融服务集团有限公司:蚂蚁金福公益平台
4、北京微梦创科网络技术有限公司:新浪-微博(微公益)
5、北京轻松筹网络科技有限公司:轻松筹
6、中国慈善联合会:中国慈善信息平台
7、网银在线(北京)科技有限公司:京东公益
8、北京恩玖非营利组织发展研究中心:基金会中心网
9、百度在线网络技术(北京)有限公司:百度慈善捐助平台
10、北京厚普聚益科技有限公司:公益宝
11、新华网股份有限公司:新华公益服务平台
12、上海联劝公益基金会:联劝网
13、广州市慈善会:广州市慈善会慈善信息平台
需要指出的是,其中并不包括微信打赏。

“魏则西事件”和互联网虚假医疗信息
2016年4月,就读于西安电子科技大学的21岁学生魏则西因病去世,他去世前在知乎网站撰写治疗过程时,称曾在百度上搜索发现武警北京第二医院的生物免疫疗法,随后在该医院治疗导致病情耽误,此后他才了解到该技术在美国已被淘汰。事件引发大规模网民关注和讨论,有人声讨骗子医院,有人则直接将矛头指向中国互联网巨头之一的百度公司。
这次事件让百度陷入有史以来最为严重的公关危机中,也把医疗黑产业利益链条摆到了公众视线之内。一个掌控中国数亿网民网络信息来源的企业,百度不仅没能承担起提供有效信息的责任,反而成为了黑色医疗利益链条中的宣传者,这就是信息技术使用最失败的地方,也是最可怕的地方。
当我看到这条新闻时,已经没有心思去批评让这位青春少年离去的罪魁祸首,对于这个事件我的感受只有两个字,那就是痛心。
相关部门监管不力,无良企业唯利是图,骗子医院道德沦丧,在这样的情况下,患者只有练就一双火眼金睛来才能判断真假。为了不再有类似的新闻出现,本文将从如何利用互联网鉴定莆田系医院、利用互联网鉴定医院是否正规和如何获取正确的疾病治疗办法这两点出发,帮助读者避免被网络上虚假的“就医指南”所欺骗。
1.使用百度搜索某一疾病的名称,通常位于首条的检索结果右边都标有“广告”二字,检索结果位于前列的几条结果都带有淡粉色背景,但与网页白色背景极其相近,很难分辨。注意,这些信息是广告主为了让自己的医院、药品等出现在搜索结果中最醒目的位置,使用百度“商业推广”后的效果,影响百度商业推广竞价最核心的因素就是“关键词出价”,也就是说谁为每次搜索后展示的广告出价最高就展示谁的广告。

图:百度搜索疾病名称后的显示结果
这些广告中绝大多数都是莆田系医院和虚假医疗信息,极其需要谨慎。使用网站GetHosp(http://fuchenxuan.cn/GetHosp/)就可以搜索到莆田系医院的信息,截至2017年1月底,该网站共收录了 792 家莆田系医院,信息公开透明,提供了目前已知的绝大多数莆田系医院的电话和网站。如果发现在百度搜索结果中出现的医院被收录至该网站,切勿相信该医院。此外,类似的网站“滚蛋吧!莆田系”(https://putianxi.github.io/)提供了众多莆田系医院的地理位置,可以通过地图展示某地莆田系医院的所在位置,直观且实用。GitHub 是一个面向开源及私有软件项目的托管平台,该平台上一个名为 “莆田系医院名单”的项目(项目网站:https://github.com/open-power-workgroup/Hospital/blob/master/README.md,读者可通过短网址http://t.im/wuchi进行访问)目前收录了近千家莆田系医院,并在不断更新中。
手机端可以通过安装软件“野鸡医院”(ios应用)和“莆田医院”(安卓应用)进行查询。通过以上搜索途径,就可以基本断定一个医院是否是莆田系,保护患者免于错选医院。
2.很多人之所以被虚假医疗信息所欺骗,根本原因是没能从权威渠道了解到正确的信息。互联网时代,信息是核心内容,如何获取正确的信息是公民必备技能。中华人民共和国国家卫生和计划生育委员会官方网站(http://www.moh.gov.cn/)提供了“医院等级、执业医生、职业护士器官移植机构、许可目录、基本药品目录、爱婴医院名单”等信息查询服务,是国内医疗机构信息最权威可靠的查询途径;国家药品供应保障综合管理信息平台(http://cdsip.nhfpc.gov.cn/)提供了“药品基本信息查询”服务;国家食品药品监督管理总局网站的数据查询页面(http://app1.sfda.gov.cn/)提供了对食品、药品、医疗器械、化妆品等抽检结果。

图:卫计委医院等级查询系统
有“美国人健康守护神”之称的美国食品与药品监管局(FDA)在全球范围内都有着巨大的影响,很多厂商都以获得 FDA 认证作为产品品质的最高荣誉和保证。其网站(http://www.fda.gov/)提供了已获得其认证的“药品、医疗设备、生物制剂”等产品的批准与许可信息,你也可以查询到FDA所检验的化妆品、食品等商品的检验结果,适用于需要了解国外相关药品的患者,以免被国内某些医疗机构“忽悠”。
巧用谷歌学术搜索(http://scholar.google.com/),查阅最新的医疗研究报告,也可以给自己择医就诊提供科学的参考。假如魏则西当时能从全世界医学界对自己所患的“滑膜肉瘤”进行了解,也不至于选择一种早已被美国淘汰的治疗方法。关于更多谷歌学术搜索的内容将在下一章详细介绍。
以上查询方法是利用网络搜索疾病相关问题的一些参考,利用它们可以帮患者甄别医疗信息的真伪,避免上当受骗。其实,平时利用互联网多学习一些医疗知识,了解一些疾病的基本情况,都能让我们免于陷入“病急乱投医”的境况。
魏则西事件后,网友总结了一些骗子医院共有的特征:疑难杂症、男性专科、人流、癌症等治疗的民营医院,十有八九都是不正规医院;医院网站打开后就有QQ咨询,服务过于热情的要特别小心,花言巧语极有可能只是为了换取你的信任;宣传包治愈、祖传偏方、免费检查的要提高警惕;广告铺天盖地且广告词中出现“打折、优惠”的,看病寻医不是购物,“打折、优惠”只能体现出这些医疗机构唯利是图的本质。
新毒瘤——伪基站
2015年4月27日上午,国内著名互联网安全漏洞发布平台乌云网发布了一则名为“某新伪基站钓鱼网站导致大量银行卡泄露”的漏洞,该漏洞造成了用户银行卡等多个敏感信息泄漏,有数百万用户信息泄漏的源头来自伪基站,2015年共有超过十万左右用户因此被骗。
那么伪基站原理是什么呢?制作者利用2G通信网络的缺陷,伪装成为运营商的基站,然后冒用他人手机号码强行向附近手机用户发送诈骗、广告推销等短信息,伪基站冒用的电话号码既可以是普通的手机号码,也可以是银行、政府部门的电话号码,例如中国移动客服热线10086、农业银行服务电话95599等等,极具迷惑性,毕竟谁能怀疑一个由10086发来的链接呢。伪基站设备一般由信号发射主机和笔记本电脑组成,随着技术的不断升级,伪基站设备的体积也越来越小,非常隐蔽,让人难以提防。
如果只是营销广告,那顶多让人感到厌烦,但是误点了短信中的网址链接,那可能损失的就是真金白银了。如何鉴别收到的短信是否为伪基站所发呢?
第一个特征,短时间收到大量短信,那就需要提高警惕了,即使显示发件人是银行或者移动运营商等,也不能随意按照其短信内容进行操作。
其次,如果多次在某一固定地点收到短信,需要注意。一般情况下,伪基站操作者为了达到“广泛撒网”的效果并躲避追查,都会将伪基站设备放在汽车上边移动边发送,但是也有不少钓鱼者选择在人流密集的固定场所发送短信,比如车站、商场等地。
如果收到短信内容显示乱码、内容显示不规范,比如繁体字和简体字混合使用,都极有可能是伪基站所发送,如下图所示短信。

图:由伪基站所发送的诈骗短信
除了鉴别虚假短信内容,如果手机突然没有信号也很有可能是伪基站在作怪,这可能就是伪基站侵入的时间。
如今,国内已经有厂商研发出防伪基站的手机芯片,如华为麒麟950芯片,相信在不久的将来,手机防伪基站技术将日益成熟。由于中国电信CDMA网络具有特殊的扩频技术,用户选择使用安全性相对来说更高、保密性更强的CDMA网络,也可以有效避免伪基站的骚扰。
“日赚千元”的工作是什么
2017年1月22日下午,湖北省黄石市某派出所接到一女子报警,称自己在网上找兼职却被骗了1478元。经了解,21日晚20时许,42岁的赵女士在网上看到了一条招聘兼职打字员的信息,对方称可以“日赚千元”。按照联系方式,她添加了对方的微信号并先后缴纳了198元的入职费、800元的培训费用及480元的工号费。然而次日赵女士发现自己的微信已被对方拉黑,意识到自己被骗后她立即报了警。
这样的案例已经数不胜数,受骗者大部分是涉世未深的大学生和一些求财心切之人,应聘的工作往往是简单易完成而且回报丰厚。
网络兼职的骗局总结起来可以分为两类,第一类的目的是骗钱,第二类的目的是骗取劳动力。
举例几种常见的骗钱类型虚假招聘广告:
刷单员:你需要兼职吗,某宝刷单日结,日赚200,按小时计算工资,无学历要求。
打字员:招聘打字员,1000字10元,要求将图片上无法复制的文字内容转录为文档。
客服招聘:工资日结,轮班制每天4小时,工资150,有手机就可做。
先学再赚:某某平台漏洞,学费1000,赚够了再补学费
……
举例几种常见的骗取劳力类型招聘广告有:
骗注册:兼职网站,注册某软件即得20元,下载任务3元/个。
试玩APP:扫描二维码进入软件下载页,20元一个完成任务后即可提现。
红包群:拉自己好友20个进群领取100元红包,下载群文件内软件领取50元红包
……
对于以上信息,是不是有一种似曾相识的感觉,其实他们都极有可能是骗子的圈套,你知道他们的真面目都是什么吗?下面一一进行“解剖”。
刷单员:
据调查,淘宝网每年虚假交易约5亿笔,职业“刷手”至少10万人,也正是因为其工作内容简单易上手,成了许多骗子行骗的伪装衣。除了让你缴纳一定金额的“入职培训费”以外,对方常常要求工作者先垫付刷单时需要付的钱,通常金额都是数百甚至上千,当你还在等待对方返给你垫付的钱时,骗子早已不见影踪。
刷单处于监管的灰色地带,兼职刷单毫无保障可言。不在不可靠的平台寻找工作信息,不从事不当的工作,这是必须牢记的原则,尽可能多的提前保留对方信息,一旦发现被骗,立即报警。

图:某刷单平台广告
打字员:
通常情况下,对方以要转录的内容是手写稿为由,要求兼职者先垫付8元或者10元的运费将文稿寄到兼职者的手中,由于邮费数额很小,因此很难让受骗人起疑心,这一步一切看起来都是理所当然。接下来,骗子会告诉你稿子大概有几万字和你能得到多少酬劳,而且工作必须在固定时间内完成,最重要的一点就是会声称稿子价值非常高,需要缴纳保证金若干。聪明人一眼就能识破骗局,凡是以各种名义在工作之前要收钱的,十有八九都是骗局。但是很多人觉得运费和押金都交了,应该试一试,这一试就彻底进入骗子的圈套了。
现如今,OCR技术已经十分成熟,通过软件即可将图片上的文字自动转换为可编辑的文档,大量的文字转录工作根本不需要人工完成,所以网络上绝大部分的“招聘打字员”信息都是虚假招聘,因为对于大部分人来说,“打字工作”完成起来几乎没有难度,因此以此作为幌子可以让很多人接受,然而事实上都是对方十有八九想让你“打钱”,而不是“打字”。
客服招聘:
当你联系对方后,对方会盛情“接待”你,然后让你选择“淘宝客服”、“YY主播主持”、“新人培训”等自己喜欢的工作,选择之后就以各种方式对求职者进行“培训”,培训费、入公费等等马上接踵而至,然而这只是骗局的第一个阶段。交了所谓的培训费后,对方会装模作样的对你进行“培训”。以选择 “淘宝客服”工作为例,对方会准备一个专用的阿里旺旺帐号作为你的工作帐号,第二个骗局马上就要开始了,对方会以各种理由要求你缴纳保证金来确保这个工作帐号的安全,等你缴纳完保证金,帐号密码早已被对方更改,帐号又回到了对方的手中,受骗者会被对方以丢失旺旺帐号的理由踢出。
如果选择的不是淘宝客服工作,而是YY直播主持或者新人培训等,对方又会要求你拉新人加入并缴纳“会费”等,再用回扣作为你的酬劳,这和网络传销很类似,不仅伤害了自己的亲朋好友,自己也沦为了别人的赚钱工具。
先学再赚:
骗子预先制作好一个假网站,声称这是某游戏或者卡券充值的官网,而且他们已经找到了该网站的漏洞,利用漏洞充值后自己的钱并不会被扣除,但是充值金额必须是500元或者更多,他可以带你先学习充值方法再利用这个漏洞赚钱。为了获取信任,对方会装模作样演一出利用漏洞不花钱充值的戏,一切看起来都天衣无缝,让人看了之后确信无疑,在“免费的馅饼”面前,很多人就会想要学习这个利用漏洞充值的办法。
然而按照演示里面的做法充值五百元后,你会发现自己并没有得到所谓的卡券,而且用来充值的钱也被扣取了。其实,骗子展示的那一套都是障眼法,只不过是利用自己提前设计好的假网站进行演示,就可以让你看到他的钱没有被扣取,殊不知网站和骗子都同属一家,有时候眼见不一定为实。
说起眼见不一定为实,我在这里分享知名网络写手“和菜头”在《我年纪越大,懂的就越少》一文中的一段话:
世事大多是黑箱,我们看不到它内部运作的机制,只能看见现象和结果,对于中间的过程一无所知。世界杯全程暴露在媒体的镜头之下,抽签、比赛都在万众瞩目之下,应该不是黑箱了吧?那布拉特为什么黯然辞职了?为什么FIFA的官员遭到了美国警方的搜查?世界杯如何运作,我们其实并不知道。我们看见小组赛,我们看到抽签,这是现象;我们看着韩国队在2002一路进入四强,这是结果。怎么做到的?我们并不知道。我们只能根据现象和结果去猜度黑箱里发生了什么,猜测韩国人动了什么不光彩的手脚,FIFA对这种行为心知肚明,所以才会有石破惊天的四强结果。但归根到底,那是猜度,并没有任何证据。
这段话和本文所讲的网络兼职骗局似乎没有太大联系,但是,无论是互联网还是现实生活,如果你能同时看到黑箱内外,看到数据和现象,也知道内部运营和决策的机理,此时你做出的决定才能提升自己免于被骗的概率。
以上几种骗局,都是以骗取钱财为目的。而以下几种,是为了骗取劳动力,以甜头作为诱饵,完成工作后并不会给予相关报酬。
假注册、试玩APP、红包群:
对方打着比较合理又比较诱人的广告,诱惑你去操作、试用软件,然后获取佣金。

图:某推广网站的“热门推荐”
其实这些人都是在推广某软件或者产品,刚开始以领红包为由拉你进群,之后又丢给你更大的蛋糕——下载他放在“群文件”里的软件即可获得50元红包。等你下载完注册好后,对方又以拉若干人进群再多发给你20元红包作为福利,但是不拉人的话之前50元红包不能得到。
等你辛辛苦苦昨晚所有工作后,你会发现自己已被移出此群。

图:某“红包群”的聊天内容

图:某红包群的群文件
层出不穷的网络理财产品
一款理财产品,投50万后可赚500万,周期短只需半月,投入越高利息越高……看到这些你有没有动心,但是要知道的是宣称有如此高回报的这家互联网理财平台,于2017年底骗钱后跑路。
深圳市民张先生就是看到网上广告后购买该理财产品的受害者之一,通过全国工商信用信息系统查询,他发现企业信息与网站客服提供的一致,而且自己在购买前期也收到了相应的利息,这让他放下心来。直至2017年10月22日,他突然发现此理财平台网站和手机端软件均无法登录,联系公司负责人和微信客服也未获得任何回复。
那么网民该如何辨别真假网络理财产品?
1.ICP证是网站经营的许可证,在工信部的ICP备案管理系统(http://www.miibeian.gov.cn/publish/query/indexFirst.action可通过短网址http://t.im/icps访问)中输入网址域名查询网址备案信息,无ICP证属于非法经营。备案信息显示为“个人”或是与金融证券类无关的网站,基本可以确定为骗子。
2.只要是宣称短期分红在100%甚至200%以上的,都有欺诈嫌疑。
3.网站宣传中无实质实业投资说明,只是笼统的说明投资领域,一定要谨慎选择。
4.利用站长之家IP查询(http://ip.chinaz.com/)网站服务器地址,和公司信息做一对比,可以辅助判断是否宣传和实际“驴唇不对马嘴”。

一元夺宝,玩过吗?
把每个奖品“分割”成一定的份数,每一份和一个号码相关联并以一元的价格售出,当售出份数达到预定数量,就以抽奖形式从购买号码的所有人中选出一位幸运儿,这位幸运儿哪怕只掏一元钱,也可以得到该奖品,奖品通常为话费充值券、iPhone手机、名牌包甚至宝马汽车等。这是近几年互联网上出现的新骗局——一元夺宝。
以低价购物的形式博得眼球,参与者对具体开奖方式却无从知晓,因此怀疑中奖者为平台内部人员甚至根本没人中奖。不少人因对一元夺宝上瘾,不仅血本无归,更有甚者家破人亡。这其中不仅有在读大学生,还有资产百万的公司经理。

图:网友爆料有人在网易公司门口拉横幅,称网易一元夺宝害其家破人亡
央视财经频道早在一档节目中就揭露过一元夺宝黑幕,怀疑网站后台更改开奖数据、开奖并不遵守规则。其实,这种开奖系统在淘宝网上就可以买到,据某淘宝店主称他出售的一元夺宝类软件确实可以后台更改开奖结果,并保证不能被参与者察觉。

图:淘宝网上出售的一元夺宝类软件
那么法律如何鉴定网络一元购呢?中国政法大学法学院副院长何兵表示“一元购这种经营模式属于非法经营,其在性质上极其类似于非法经营彩票,应该属于非法经营罪中的从事其他非法经营活动,扰乱市场秩序情节严重。”
参与起草了中国首部《彩票管理条例》并负责专家修订工作,并负责组织制定了彩票系列行业标准的王薛红教授表示,一元购性质上和我国大陆明令禁止的“六合彩”极为相似,在中国内地未经政府批准,应该属于非法赌博范畴。
至此,你可以很明确地肯定一元夺宝类的购物方式已经突破了法律底线,可以判定发起方涉嫌犯罪。除了网易、途牛旅游、小米等国内知名的互联网公司曾上线过一元夺宝类业务,其他运营一元夺宝的不知名网站、个人站点也多如牛毛,不参与一元夺宝,就是守住自己的钱袋。

防骗其实很简单,抓住实质很重要
通过以上介绍的很多互联网骗局来看,对方想要骗取的无非是钱财和个人信息。面对这么多让人眼花缭乱、难以判断的骗局,要谨记以下原则:
个人信息不乱填,短信链接不乱点,验证码不泄漏,灰色产业不靠近,权威信息会搜索,小便宜不乱占。
养成良好的网络使用习惯,培养一种防骗意识,当骗局再次出现,就能轻易分辨,这样才能最大化的确保资金和个人信息安全。

2018-06-04 14:12:33

所有评论(0 条)

无昵称用户

作者自述: 作者什么也没说