并不是所有设备自带的功能都值得开启。例如,路由器上的
WPS(Wi-Fi
保护设置),虽然表面上看起来很方便,但对于大多数家庭网络而言,关闭它才是最安全的选择。
什么是 WPS?
WPS(Wi-Fi Protected
Setup)是大多数路由器上都配备的一项功能,按下按钮后,支持 WPS
的设备可以自动连接到 Wi-Fi
网络,而无需输入密码。这项功能对于快速连接多个设备来说非常实用,尤其是在配置打印机、智能家居设备或其他不方便输入密码的设备时。
通常,使用 WPS 连接网络的方法有两种:
WPS 按钮模式:按住路由器上的 WPS
按钮几秒钟,然后在设备上选择 Wi-Fi 网络,设备就能自动连接。
WPS PIN 码模式:设备会要求输入一个 8 位数的 PIN
码,这个 PIN 码由路由器生成,用于身份验证。
然而,现代版本的 Android、iOS 和 macOS 已 不再支持
WPS,主要原因就是安全性问题。
为什么 WPS
存在安全隐患?
虽然 WPS
让网络连接变得更简单,但它也带来了严重的安全风险。让设备免密码接入网络听起来很方便,但如果有恶意入侵者,他们也能轻松利用
...
随着 AI 技术的进步,相关骗局也变得越来越逼真。最近,一款 AI
生成的“晶洞杯” 在 TikTok
上爆火,然而,收到实物的买家却发现——现实远比想象更魔幻。
TikTok“晶洞杯”的起源
故事始于 2024 年 9 月,社交媒体上开始出现一种
晶洞杯(Geode Mug) 的广告。其中,TikTok 账号
@inspiringdesignsnet
发布的视频更是让这款产品看起来像个梦幻杰作——视频中的杯子仿佛是由真正的
晶洞矿石
精雕而成,保留了原石的天然纹理,看起来质感十足。
然而,细心的观众很快发现了一些 不对劲的细节。
在视频中:
杯口冒出的蒸汽 有时候会从 杯柄 或
杯身 渗出,而不是杯口。
蒸汽的流动
也不太自然,有的画面里是缓缓飘散,而有些片段里却是静止的。
某些杯子的形态 在旋转时出现了明显的
视觉扭曲,看起来像是 AI 生成的瑕疵。
虽然官方从未证实,但种种证据表明,这些视频很可能是 AI
生成的渲染作品,而所谓的晶洞杯,可能根本不存在。尽管如此,这并不妨碍大量买家
下单抢购,期待能收到这个“艺术品”。
买家收到货后,现实狠狠给了他们一巴掌
到了 2024 ...
我们对 机器人骚扰电话(Robocalls)
的厌恶可谓众口一词。尽管美国国会已经通过法案以遏制这些骚扰,但很多人不愿意被动等待。那么,如果你想要立即摆脱这些烦人的电话,该如何主动出击呢?
1. 不要接听可疑电话
如果你接听了骚扰电话,诈骗者就会确认你的号码是
活跃的,这意味着他们会
持续拨打,甚至将你的号码与其他活跃号码打包出售,导致你接到更多垃圾电话。
我们的本能反应是接听电话,但如果无法确定来电者身份,最好的做法就是
不接听。如果对方真有急事找你,他们通常会留言。
2.
加入“禁止骚扰电话注册名单”
骚扰电话不仅仅来自诈骗者,推销电话(Telemarketing
Calls) 也是一大元凶。区别在于,你可以通过注册 国家“勿扰”名单(Do Not Call
Registry) 来屏蔽这些销售电话。
你可以拨打
1-888-382-1222(需使用你想注册的手机拨打)进行登记。注册成功后,推销商
必须在 31 天内停止拨打 你的号码。
当然,并非所有企业都会遵守法规。如果你在注册后 仍然
接到推销电话,可以录下通话内容并向 FCC(美国联邦通信委员会)
投诉。
3.
屏蔽“ ...
谷歌即将调整 Gmail 账户的身份验证方式。传统的
短信验证码(SMS) 即将被淘汰,取而代之的是更安全的
二维码认证。
Gmail
账户验证:从短信验证码转向二维码
根据 Forbes
报道,谷歌计划逐步弃用 短信验证码(SMS),改用
二维码(QR Code) 进行身份验证。这一调整的主要原因是
短信认证易被黑客利用,存在安全隐患。
Gmail 发言人 Ross Richendrfer 在接受 Forbes
采访时透露了即将发生的变化:
“在接下来的几个月里,我们将重新设计电话号码验证方式。具体来说,未来用户将不再输入手机号码并接收
6 位数验证码,而是会在屏幕上看到一个
二维码,用户需用手机相机扫描该二维码完成身份验证。”
虽然短信验证码仍然是目前广泛使用的两步验证(2FA)方式,但它的安全性已受到威胁,黑客不断寻找新方法来
拦截或劫持短信验证码。
短信验证码存在哪些安全风险?
短信认证面临的主要攻击手段包括:
SIM 卡交换攻击(SIM Swap)
黑客伪装成用户,诱骗手机运营商将受害者的电话号码转移到他们自己的 SIM
卡上,从而接收包括验证码在内的所有短信。
...
已经很多年了,我不再从大型连锁店购买笔记本电脑。相反,我专门寻找那些自带隐私保护功能的设备。而且,不,这些电脑可不是
MacBook。
主流笔记本的隐私问题
目前,大多数笔记本电脑都会预装以下三种操作系统之一:微软的
Windows、苹果的 macOS 或谷歌的 ChromeOS。
这三种系统在隐私保护方面各有不同,但没有一个是真正意义上的“私密”系统。ChromeOS
强烈依赖云端计算,你的所有操作都会被记录并存储。Windows
不仅存在数据跟踪问题,还会在桌面上投放广告,让人防不胜防。
相较之下,macOS
在隐私保护方面做得更好一些,但仍然需要谨慎调整默认设置。例如,如果不手动启用磁盘加密,苹果仍然可以访问你存储在
iCloud 里的文件。
还有更好的选择
如果你想要一台真正注重隐私的计算机,最好的选择是预装自由开源操作系统的设备。而
Linux
无疑是其中最受欢迎的选择,这也是我十多年来一直在寻找的电脑类型。
大多数 Linux 用户会选择在已有的硬件上安装
Linux,这是最经济实惠的方式。但这些年来,我更倾向于直接购买预装 Linux
的笔记本。
在 Linux
电脑 ...
ISP(互联网服务提供商)提供的路由器看似是一个省心的选择——预配置、即插即用,甚至可能包含在订阅套餐中。但经过深入了解后,我发现这些“官方”路由器可能并不适合保障我的网络安全。
5 安全更新滞后
大多数 ISP
并不自己生产路由器,而是将制造任务外包给第三方厂商。这些厂商往往同时为多个
ISP 生产路由器,并销售自己的品牌设备。
问题在于,当安全漏洞被发现时,这些制造商往往优先修复自家品牌的设备,而
ISP
版本的路由器则被排在更新队列的末尾。这意味着,当你的
ISP
路由器存在漏洞时,你的网络可能要等待数周甚至数月才能获得修复补丁,期间黑客可能已经利用这个漏洞攻击你的设备。
这绝非杞人忧天。2021 年,BBC 报道某些 Sky UK
路由器存在身份验证绕过漏洞,黑客可以未经授权访问用户的网络。尽管最终发布了补丁,但由于更新推送缓慢,许多用户仍然处于风险之中。
4 ISP
远程控制你的路由器
ISP
提供的路由器通常预设了远程访问权限,允许你的网络服务商在无需你许可的情况下登录、修改设置甚至推送固件更新。这听起来很方便,但同时也存在严重的隐私和安全隐患。
即使你的 ISP
没 ...
电话那头的“客服”告诉你,你的电脑或电视有问题,但实际上,他们可能只是想骗你的钱。为了避免掉入假客服的陷阱,我会留意以下几个明显的诈骗信号。
6 索要过多个人信息
正规客服可能会需要一些设备信息,例如你的电脑序列号或订单编号。但他们绝不会索要你的银行账户信息、家庭住址或账户密码。
这些信息几乎与技术支持无关,如果客服主动要求提供这些,尤其是在你没有主动联系客服的情况下,那基本可以确定是诈骗。
另外,如果对方在通话时似乎对你的一切了如指掌,那也要提高警惕。骗子可能通过你的社交媒体或其他泄露的数据获取了你的部分个人信息,以增强他们的可信度。
5 陌生号码来电
我从不接听陌生电话,除非对方留下语音留言。如果他们不愿意说明来意,那大概率不是重要的事情。我从
2017
年开始执行这个“零信任”策略,真正错过的正规电话屈指可数。
如果你之前联系客服,他们可能会回拨给你,但现在很多公司更倾向于通过社交媒体、在线客服或聊天机器人进行沟通。因此,接到“客服”主动来电时,要格外小心,尤其是当你的运营商显示“疑似诈骗”提示时。
如果你不确定来电号码的真实性,可以使用反向电话号码查询工具来验证其来源。
...
许多 Mac 用户可能认为 macOS
天然安全,但事实证明,网络犯罪分子仍在不断寻找攻击 Mac
的新方法。
FrigidStealer
伪装成浏览器更新传播,窃取用户数据
安全公司 Proofpoint
最近发现了一种名为 FrigidStealer 的新型恶意软件,并被
AppleInsider
报道。
该恶意软件通过伪造的浏览器更新页面进行传播,诱骗用户下载并安装恶意
DMG 文件,以窃取 Mac
上的敏感数据。攻击者利用被入侵的网站,使其看起来像是可信的浏览器更新页面,如上图所示,这些页面在视觉上高度仿真,很容易欺骗不知情的用户。
当用户点击“更新”按钮后,一个 DMG 文件会被下载到
Mac。安装过程中,系统甚至会提供详细的“官方”安装说明,指导用户绕过
Mac 自带的安全防护机制 Gatekeeper(Gatekeeper
负责拦截未经认证的应用)。
安装的最后一步 需要用户手动输入 Mac
的管理员密码,一旦执行,Proofpoint
发现该恶意软件会执行以下操作:
“FrigidStealer 运行后,会利用 Apple Script 和 osascript
引 ...
二维码看似无害,但如果扫描到恶意代码,可能会导致设备感染病毒或个人信息被窃取。为了确保手机和数据安全,我总结了一些辨别假冒二维码的方法,希望能帮助你避免风险。
检查二维码是否被篡改
如今,二维码广泛应用于餐厅菜单、停车支付、商品信息等场景,但骗子也盯上了这一点。他们会在原二维码上贴上伪造的二维码,让用户扫描后跳转到钓鱼网站或恶意程序下载链接。
如何识别篡改的二维码?
📌
观察二维码是否被贴纸覆盖:如果二维码表面有额外的贴纸,可能是后期篡改的。
📌
查看二维码颜色或材质是否不同:有些伪造二维码的纸张颜色与原本的不同。
📌
注意二维码是否明显不符:如果商家提供的二维码与周围宣传内容无关,就要提高警惕。
当然,有些商家可能会自己更换二维码(比如更新菜单),所以不能一概而论。但如果二维码看起来可疑,建议向店员或相关工作人员核实后再扫描。
分析二维码的使用环境
除了二维码本身,二维码所处的环境
也是判断真假的关键。
⚠️
哪些情况值得警惕?
🚨
陌生邮件或短信中的二维码:如果你收到一封邮件,要求你“扫码验证身份”或“领取奖励”,却没有提供可点击的网址,那很可能是钓鱼骗局。
🚨
...
我已经远程办公近十年,至今没有掉进任何网络钓鱼陷阱——而且我打算继续保持这样的记录。如今的网络钓鱼手段越来越高级,但只要掌握正确的方法,你完全可以保护自己和你的工作不受影响。
1.
了解最新的网络钓鱼手法
在防范网络攻击方面,知识就是力量。如果你知道该警惕什么,哪怕只是快速扫一眼邮件或短信,也能让你的警觉雷达响起警报。
传统的 “银行钓鱼邮件”
很容易识别,比如假冒银行名义要求你“验证账户”或“更新信息”,这种大规模投放的诈骗手法大家应该都见过。
但作为远程办公者,你还需要特别警惕 “鱼叉式网络钓鱼(Spear
Phishing)”,它比普通钓鱼更具欺骗性,因为攻击者会使用与你或你的公司相关的详细信息,让骗局看起来更加真实可信。
除此之外,还有 克隆式网络钓鱼(Clone
Phishing),攻击者会复制真实邮件,但在其中插入恶意附件或链接,诱导你点击。
如今,AI 技术的进步让网络钓鱼更加危险,尤其是
语音钓鱼(Vishing)。过去,骗子只能模仿客服或经理的语气进行诈骗,而现在,他们可以利用
AI
克隆公司高管的声音,甚至制作深度伪造(Deepfake)视频,让骗局更加逼真。
了 ...