马来西亚订阅数排名第一的黄明志YouTube账号于4月4日晚上被盗,不仅名称被改成俄罗斯文的脏话,影片也被删得一干二净,累计60亿的点击数也一夜蒸发。据黄明志经纪人所言,账户被盗是毫无预警的,当时黄明志正在前往英国伦敦的路上,突然发现无法登入YouTube,并且影片也一并消失。
目前,在黄明志的团队与YouTube方沟通和抢救下,他们已成功拿回账号,影片也一一回溯。至于损失,经纪人表示,由于YouTube收入是由观看次数计算的,目前影片已被重新找回,并且点击率亦没有被影响,所以目前无法知道是否有影响收入。
如今可谓是社交媒体普及化的年代,因此无论是普通人或是艺人都有账号被盗的可能性。就网红而言,马来西亚著名网红Inthira 的Instagram账号就曾在2019被骇客盗用,所有照片也被尽数删除。
如今网络诈骗案层出不穷,账号被盗的事件也屡见不鲜,我们极有可能就是下一个受害者,在这个人手一机的时代,我们的社交账号真的安全吗?
账号被盗等于身份被盗?
“为什么骇客要盗取我们的账号?”
LGMS创办人兼网路安全顾问冯宗福表示,我们每个人的账号都有一定的价值,公众人物的账户因为有影响力、粉丝人数众多,因此价值也更高。
“骇客在盗用你的账户后就相当于代替了你的身份。他可以用你的名字和身份去散播他的观点以及谣言。”
举例而言,如果今天有人骇入了政治人物的社交账号,在不更换他的头像和名字的情况下,骇客可以发表一个与其政治立场完全相反的观点,并让他的追踪人认为这是他本人发表的意见。许多商业账号也经常面临被盗用的问题,盗用者在骇入该商店的脸书专页后就能查看他们的资料以及客户群,也可以通过商家的专页与客户进行交易,以此来诈骗金钱。
还有一些骇客在盗用公众人物的账号后将其售卖出去,让买家更换成自己的名字。通常这类型的账号粉丝人数多,流量也相对较高,因此通过这些账号发布的内容也能获得更多的浏览率。2021年曾有人出面揭发马来西亚网红杨宝贝(YBB)以高价出售“小号”(即傲祥的YouTube频道),当初有人愿意出钱购买该频道的原因和骇客能以此出售公众人物账号的原因是一样的。
那是否说明没有流量的普通人被骇的风险更低?其实不然。
“我们的电子邮件牵涉了太多东西,如今我们所有的账户,无论是社交媒体或是银行账户都和电子邮件有所联系,如果骇客盗取了我们的电邮,他们就可以用来做很多的事情。”冯宗福说。
即使对方只是一个普通人,他们也可以通过盗用账户来向对方的朋友们借钱,以此获利。
你的密码可能已经被泄露
2017年10月,雅虎公司(Yahoo)宣布30亿雅虎用户的个人信息被泄露;2021年,领英(LinkedIn)也被曝出数据泄露且用户资料被公开出售的事件。
你在登录社交媒体时候输入的密码真的是被保密的吗?这些密码真的能保护我们的账号吗?
冯宗福告诉《访问》网:“我们现在应该做一个最坏的打算——我们的密码已经被人家知道了。”
在雅虎和领英的数据被泄露的同时,我们的密码就已经流入暗网,因此骇客可以轻而易举的在暗网中找到我们曾经使用过的密码。如果我们没有更换密码,或者在不同的社交平台上使用同一个密码,那骇客盗用账户简直就是易如反掌。
除了在暗网里能找到我们过往的密码外,骇客也可能通过让用户下载未经审核的软件来盗用我们的资料。最常见的骗局是,商家会在付款时提供消费者一个链接,要求消费者(尤其是安卓系统的用户)下载一个Andriod应用程序包(APK)软件来支付款项,引消费者上钩。
“通常正规的商家都不会让你到不知名的网站下载APK软件,他们的软件都可以在正规的软件商店如Google Play Store或Huawei AppGallery找到。”
那是否说明只要在正规商店下载的软件都不会有诈?这倒也未必,但可以在这些商店内上架的软件一般都会经过审核及过滤程序,因此受骗的几率亦会较低。
我们能做什么?
根据2021年的数据调查显示,共有86%的马来西亚人活跃于社交媒体。全球平均使用社交媒体的时长达2小时25分钟,但马来西亚人平均会在社交媒体上花费3个小时,高于全球平均时长。每天都在使用社交媒体的我们又应该如何保障自己的账户安全呢?
对此,冯宗福呼吁大家使用社交媒体和邮箱的双重认证(Two-Factor Authentication)功能。
“双重认证”即在登录时除了需要输入密码外,也需要通过第二个步骤进行验证,以确认是本人进行操作。
“仅仅依靠密码已经无法保障我们的账户安全,如今许多软件和网站都有提供双重认证功能,开启它就是保护我们账户的其中一种方式。”
谷歌(Google)自去年起开始让用户启用双重验证功能,据谷歌官方所说,目前至少有1.5亿人使用该功能,且据数据显示,使用该功能的用户的账户被盗率与没有使用该功能的用户相比减少了50%。
如今已有越来越多的软件设有这种功能,但为了让用户有更流畅的用户体验,软件方并没有强制用户开启这项功能,因此用户本身应该拥有更高的安全意识,自己去开启双重验证功能。
除此之外,冯宗福也提醒大家应该每6个月就更新一次密码。
“不要使用你的个人资料,例如身份证号码来作为你的密码,也不要设置过于简单的密码,这些都会让你的账户暴露在危险之中。”
账户拿回来之后还安全吗?
面对猖狂的骇客,我们难道无法制裁他们吗?
在这种情况下,我们可以找网络安全专家去追踪盗取账号的骇客,并将他控上法庭。马来西亚的《1997年电脑犯罪法令》就是其中一项可以用来提控骇客的法令,如果骇客并非来自马来西亚,就必须在骇客所处的国家报案。
如今黄明志成功夺回了自己的频道,那遭遇类似事件的我们在夺回被盗的账户后是否还可以继续使用这个账户?还是会有其他的安全隐患呢?
对此,冯宗福表示账号被盗与硬体设备(如电脑、手机等)被盗不同,如果是硬体设备被盗,我们或许需要担心对方在设备内安装了木马或病毒,但如果社交媒体的账号拿回来之后我们依然可以照常使用,前提是,我们需要对账户进行检测。
“我们需要去检查备用的电邮地址是否有被更换,也要检查里面的个人资料是否有被篡改,同时要记得更换新的密码。”
黄明志YouTube频道被盗号的事件应该成为警示网络使用者的案例,诚然,如今我们的生活已离不开网络,无论是学习、工作或社交,网络成为我们不可分离的一部分。然而,在这个资讯共享的时代里,我们依然需要做好安全措施,确保那些共享的资讯里,没有你我不想被外传的隐私。
