我的 PayPal 帐户出现了奇怪的情况,我希望社区能够帮助我解决该问题以及如何发现安全漏洞。
我有一个私人 PayPal,最近它不断受到攻击。
我说的攻击是指有人试图访问它。
现在,我无法理解的是该怎么办。
事实
我使用手机在我的 PayPal 账户中启用了双重身份验证(访问密钥)。
也就是说,如果我想登录,我需要输入我的密码和我在手机上获得的代码。我的密码非常难,是 PayPal 账户独有的。
- 我使用很长的字符串来回答我的安全问题(不是问题的答案,只是另一个像字符串一样的密码)。
- 密码和字符串被记住并且没有写在任何地方。
- 从与 PayPal 安全团队的谈话中,我了解到有人使用密码访问了我的帐户(他是否使用短信,我们不得而知,或者至少我没有受到指控)。
- 我在 Windows 10 上没有看到任何可疑行为。
- 在我的电子邮件或我登录的任何其他网站上均未发现任何可疑活动。
我首先想到的是有人在记录我的电脑键盘。
或者任何种类的恶意软件。
已完成的操作
- 我尝试了市面上所有的恶意软件和防病毒软件。包括安全磁盘和 Rootkit Killer(不过请随意给我更多选项来尝试)。我尝试了卡巴斯基、Avira、MalewareBytes、ClamWin、Microsoft Defender 和 BitDefender。
- 我更改了密码和安全问题。
但昨天他又成功获取了我的 PayPal 账户的访问权限。
我必须说 PayPal 总体来说很棒,一切都恢复了。
但我想停止这种情况,因为最近几周这种情况每周都会发生一次。
还有什么其他选项可以查找我的安全漏洞?
我没有遇到格式化计算机的麻烦,我只需要了解什么可以保证它不会恢复(这就是为什么我认为我必须在此之前弄清楚它是如何完成的)?
有什么特殊技巧可以真正了解发生了什么吗?
谢谢。
答案1
我坚信,您的账户被黑完全是社会工程行为,根本不是技术故障。您已经致力于采取极好的安全程序和做法。具体故障在于我们的机构,这些机构通常比坏人落后 10-20 年。他们根本无法理解如何通过快速采用新程序来应对新风险来保护我们。解决您的问题可能需要我们所有人推动 PayPal 和其他机构做出改变。
在 PayPal 的案例中,Krebs 详细描述了他的 PayPal 账户如何屡次遭到黑客攻击,尽管他是安全专家,并且已经使用了双重身份验证。他的故事应该提醒我们所有人注意目前存在的重大危险,这样我们就可以开始减轻一些风险。
2016 年现实:懒惰身份验证仍是常态,作者:Brian Krebs
您的黑客行为很可能是由于 Paypal 使用静态信息(据说这些信息很难获得)造成的。这肯定是 Krebs 屡次遭到黑客攻击的原因。在口头回答这些问题后,尽管账户“被锁定”,PayPal 还是多次向坏人提供了 KREB 账户的访问权限。Krebs 已经在使用 2FA,但这对他毫无用处。还请注意,作为安全专家,Krebs 更容易获得 PayPal 管理层的合作,但这仍然没有起到足够的帮助。
同样令人不安的是,“官方文件”的照片被用于 KYC 程序,作为许多组织尽职调查的一部分。它们很容易被伪造,而且造价低廉。只要你想“证明”自己是别人,就有服务可以为你制作虚假文件,只需支付少量费用。
读完这篇文章,我想你会发现我们都必须开始教育并强迫我们的机构彻底改革我们的安全程序和实践,然后应用当今实际有效的技术。
但是,今天有效的方法下个月可能就不起作用了,而且这些程序和技术需要经常快速地改变以适应新的威胁。
问题在于,我们的机构本身就是专门设计出来的,因此它们永远无法迅速适应任何变化。我们必须改变这一点,然后才能指望它们迅速适应。机构越大,改变任何程序就越困难,无论它变得多么愚蠢。
一些机构尝试解决安全问题的一个例子是社会安全号码。几十年来,允许坏人轻松访问这些社会安全号码,然后维护依赖这种 1950 年代技术的系统来保护您的帐户,这一直是一个众所周知的问题。2006 年,立法规定从医疗补助卡中删除所有社会安全号码,我相信医疗保险卡也是如此。这些机构不仅尚未删除这些号码,而且目前的计划定于 2027 年完成。不,那不是打字错误——从这些卡中删除可见的社会安全号码需要 21 年!当然,到那时,这一点可能已经没有意义了。如果不对这些组织进行彻底改革,再多的技术也无法保护我们。
了解足够的安全措施以保证安全越来越困难,即使对于专家来说也是如此。这需要我们不断调整、学习并采用我们自己的程序,这些程序在时间、挫折和现金支出方面具有成本效益。
我相信这种社会解决方案是解决他的问题的唯一方法,即使它不是技术解决方案。这通常不适合任何不是基于事实的既定技术解决方案的解决方案。但我们的技术中有些方面与政策和程序相融合,这些方面也必须改变,否则我们将永远无法解决许多新的安全问题。安全需要应用技术以及政策和程序。没有这三者,就没有安全。