山东新潮2018年第6期安全电子月刊

>>国内资讯

短信不安全，Instagram 正在开发独立的双重认证功能

（内容源自：TechCrunch）

黑客可以把你的电话号码复制到一张新的 SIM 卡上，从而将你的号码据为己有，用来重置你的密码，窃取你的 Instagram 和其他服务的账号，并拿出去售卖换取比特币。正如 Vice 旗下 Motherboard 在周二发布的一篇痛心疾首的文章中所详细报道的那样，Instagram 账号特别容易受到攻击，因为该应用仅支持通过短信验证码登录，一旦电话号码被劫持，相关账户的安全性立刻将为零。

不过，现在 Instagram 向 TechCrunch 证实，他们正在开发一套配合 Google Authenticator 或 Duo（注：不是谷歌的聊天工具）这类安全应用使用的非短信双重认证系统。这套系统生成的验证码无法在其他手机上显示，这样即使你的手机号码被黑客复制到新的 SIM 卡上也没有关系。

多次向 TechCrunch 爆料的消息人士黄文津（Jane Manchun Wong）通过分析 Instagram 的安卓应用发现，其 APK 代码中暗藏着升级版双重认证的原型。在此之前，黄文津的爆料已经帮助 TechCrunch 率先报道了关于 Instagram 视频通话 、Usage Insights 以及 Stories 音乐功能 的消息。

当 TechCrunch 将截图展示给 Instagram 时，后者的一位发言人说，没错，他们正在打造一项非短信双重认证，并称：“我们正在持续提升 Instagram 账号的安全性，其中就包括强化双重认证功能。”

Instagram 其实对用户账户保护一直不算特别上心，直到 2016 年才推出基于短信的两步验证，当时他们已经拥有 4 亿用户。在 2015 年 11 月，笔者写过一篇题为“说真的，Instagram 需要双重认证 ”的文章。蕾切尔·赖尔（Rachel Ryle）是笔者的一位朋友，她也是 Instagram 上颇有人气的定格动画制作人。赖尔的 Instagram 账号曾被黑客攻陷，这令她错失了一笔利润丰厚的赞助交易。

Instagram 从善如流，在文章发表 3 个月后推出了基于短信的 基础版两步验证功能 。

但从那时起，SIM 卡复制和盗取也成了一个更常见的问题。黑客通常会打电话给移动运营商，使用一些社工手段冒充你的身份，或者贿赂内部员工来获取帮助，然后把你的号码移植到他们控制的 SIM 卡。正如 Motherboard 的文章所报道的那样，黑客这样做可能是为了窃取你的私密照片，偷光你的加密货币钱包，或者是转卖@t 或@Rainbow 这样的社交媒体靓号，总之他们有各种各样的动机去实施 SIM 卡移植攻击。

>>国际资讯

95%赌球网站是钓鱼网站 用户押中也难以提现

（内容源自：广州日报）

这一届世界杯，阿根廷、德国走了，西班牙走了，连连冷门让球迷连呼意外。网络赌球害人害己，深圳光明一男子将押车卖房的60万元赌球输个精光。深圳警方表示，赌球团伙一般通过代理境外赌球网站、开设钓鱼网站等手段，从事非法赌球活动。

赌球为啥只输不赢？因为全是“深坑”。网警部门表示，95%的网络赌博网站是钓鱼网站，为吸引赌客，非法赌球网站推出“预言帝”、通过专业软件随时修改赔率，“庄家”赚了大钱，赌客血本无归。

山东新潮友情建议：

1、建立良好的安全习惯，不打开可疑邮件和可疑网站 ；

2、及时安装微软发布的安全补丁，以防病毒利用漏洞进行传播；

3、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失；

4、及时更新Symantec的病毒定义码至最新,并打开实时监控程序；

5、不要随意点击打开QQ、MSN等聊天工具上发来的地址链接或是其他数据信息，更不要随意打开或运行陌生、可疑的文件和程序；

6、将局域网系统管理员帐户的密码的位数设置复杂一点；

7、关闭一些不需要的网络服务，也可以关闭一些没有必要的网络共享；

8、读取移动存储内的资料前一定提前扫描；

9、养成良好的网络使用习惯，不登陆不良网站，尽量到正规的大网站进行下载。