安全防線

保衛錢包

病毒、釣魚網站、P2P投資陷阱等針對網友錢包的惡意攻擊層出不窮，且時不時換個花樣忽悠。本欄目專門扒皮，教大家保衛自己的錢包！微博求助：http://weibo.com/cdx1983。

安投金融：讓你眼睛背叛你的心

現在絕大多數P2P平台的收益率在下降，以前動輒12%～20%的收益率現在越來越少，如果再出現一個月化利率16%的P2P平台，你會心動嗎？電腦報讀者「冷月刀寂寞心」就碰到這麼一個平台——安投金融（https://www.antouan.cn），起初他在平台投入1000元，30天後變成1167元，後來又投了3000元也如期收到利息率，現在想加大投入，可內心又擔心這麼高的利息無法持續怕本金賠進去。已運行3個多月的安投金融靠譜嗎？

首先，搜索該平台的口碑，到截稿為止無負面口碑，參與投資的人大多興高采烈地向網友推薦該平台，還有一些心裡惴惴不安但也承認如期拿到利息了，總的來說大家都看到風險了，可投入的都不算多。

接著，搜索該平台的資質嗎，發現在網站Logo下有一個宣傳語「上海互聯網金融協會會員單位」，這個「上海互聯網金融協會」是個什麼組織呢？在上海社會組織信息公開平台上沒有這個單位，只有「上海市互聯網金融行業協會」，而「上海市互聯網金融行業協會」下屬會員裡面沒有很安投金融，很明顯這是扯大旗作虎皮，這麼乾的目的又是為什麼呢？令人懷疑呀！

然後，在網站上點擊「關於我們」，再點擊左側的「平台資質」，可以看到網站提供的營業執照、稅務登記證等圖片，尷尬的是在營業執照圖片上可以看到「經營範圍」中有一段話「電子商務（不得從事增值電信、金融業務）」，什麼時候P2P業務變得不是金融業務？這是侮辱人的智商吧！普通人不會去看營業執照圖片，就算看了也是看一個大概，就無法知道該網站存在沒有資質的問題！

最後看看投資項目，OMG！大多都是30～35天的短期理財項目，利率大多在16%左右，跟一般P2P的項目不一樣呀——按照此前高利率的投資期限一般為90天，30天的極少有，而安投金融裡面居然全部是這種。再看看項目的具體內容，居然只知道一個投資期數在變化，「計劃介紹」都是一樣的，也就說不知道錢投入什麼具體什麼地方去了。看到這裡，無語了！這種情況下，還投也是膽子大！

@董師傅：其實，這個P2P幾乎是直白地告訴大家這裡玩的就是非法集資，初期給點甜頭嘗，利息準時付，可一旦平台參與的人多了、投入的錢多了，平台說不定哪天就跑路了，到時候找誰去哭？規勸大家不要拿自己的血汗錢去賭「俄羅斯輪盤」！

近期出問題的P2P平台，數據來自網貸之家

信刷贊軟體 很純很天真

最近，有讀者向我們詢問http://www.qq-shuazan.com上的免費刷贊軟體可信嗎，我們進行了測試，發現該網站不靠譜，各種刷贊軟體存在盜竊QQ賬號和密碼的行為，分析如下：

1.看了一下，網站提供的主要是QQ名片刷贊、說說刷贊、QQ空間刷贊等軟體，且是可以免費使用的，那麼問題來了，軟體開發的作者為什麼這麼好心提供刷贊軟體呢？且這些軟體的版本還在不斷更新？是什麼動力支持軟體開發的作者怎麼做呢？

2.下載軟體時，騰訊電腦管家等多款安全軟體會報警，眾所周知對QQ盜號病毒騰訊電腦管家是最敏感的，從來沒有誤報的情況，因此小紅傘等安全軟體的報警可以不理，但騰訊電腦管家的報警卻必須重視。

3.軟體運行後就要求用戶輸入QQ賬號和密碼，呵呵……

4.網站刊登了一些軟體的截圖，但詭異的是軟體截圖看不清楚，故意誘使用戶好奇下載軟體，然後嘛……

5.在網站底部沒有發現未來備案號，只能說明該網站是一個非法網站，這樣的非法網站的提供的軟體你敢有嗎？

@董師傅：網上有不少免費刷贊軟體，基本上都是這樣的套路，更無語的是許多刷贊軟體都是空殼軟體，就是一個盜號病毒。當然也有可以刷贊的，只不過這些贊是你自己可見，而不是其他人可見，這有什麼用？

安全預警

每天都有新的安全威脅產生，每天都有電腦遭受攻擊，每天我們都收到很多安全求助信。我們將從這些求助信息中挑選出具有代表性的進行深入的分析和討論，給出具有通用性質的解決方案。微博求助：http://weibo.com/cdx1983。

一次看遍5.6萬個郵箱

近日，有黑客入侵了某保險公司的郵箱，竟然有了大發現！一般來說，一個郵箱只有少量的信息，但如果獲取的是郵箱域管理員身份又會怎麼樣呢？在瀏覽器中輸入http://email.c**.cn，再輸入用戶名test@ c**.cn和密碼123456就可以進入管理員郵箱，通過郵箱域可以管理5.6萬員工郵箱，員工姓名、聯繫方式等敏感信息一覽無餘。更重要的是，裡面有許多商業合同，涉及大量的商業秘密。

拿到這些數據有什麼用呢？一是可以賣給其他保險公司，二是可以用來詐騙該保險公司的員工，通過管理員郵箱發送詐騙信息你猜員工會不會相信？如果進入經理的郵箱再給財務發送打款信息呢？解決方法就是提升管理員郵箱的密碼等級，當然，如果可以的話限制一下管理員的郵箱域許可權，太高了不是好事！

黑客動態

DDoS 攻擊利潤率高達257％

近日，全球網路黑市上黑客發動DDoS 攻擊（分布式拒絕服務攻擊，藉助於客戶 / 伺服器技術，將多個計算機聯合起來作為攻擊平台，對一個或多個目標發動 DDoS 攻擊，造成網站、伺服器癱瘓）的收益被曝光，DDoS 攻擊的平均利潤率高達 257％，一次針對目標企業的 DDoS 攻擊費用就可高達數千或數萬美元。

點評：全球DDoS 攻擊的成本約為每小時 7 美元，而 DDoS 攻擊收費通常為每小時 25 美元，這意味著黑客的利潤為每小時 18 美元，

剖析58同城「簡歷門」

近日，58同城陷入「簡歷門」，在淘寶上有人大量出售58同城簡曆數據，這些數據包含姓名、身份證號碼、手機等個人隱私。黑客是通過3個攻擊得到這些數據的：通過移動端介面獲取部分簡歷信息（求職方向、年齡、期望月薪、工作經驗、居住地、學歷、用戶ID、更新簡歷時間等內容）和簡歷ID，再使用簡歷ID通過另一個介面獲取用戶的真實姓名，最後使用用戶真實姓名通過另一個網站頁面獲取用戶的電話號碼。

點評：58同城存在弱加密設計問題，嚴格來說這3個漏洞沒有一個是高危漏洞，但被黑客組合在一起形成了一個高位泄密漏洞，這也說明58同城的網站安全機制沒有形成一個有機的整體。

安全周報

數據來自國家互聯網應急中心

這段時間安全界比較關注Android平台的惡意軟體Swearing，它通過偽基站發送的釣魚簡訊傳播，釣魚簡訊的主題五花八門，例如不法分子發送配偶出軌照片的鏈接或視頻，或是根據最新的熱門事件發送名流女星艷照鏈接等。當然，最有效的誘餌往往還是看似最正規的簡訊信息，如偽造電信提供商或銀行機構發送簡訊通知，要求用戶根據鏈接下載他們的所謂官方更新程序（其實就是Swearing惡意軟體）。

近期高危網站Top5