九维团队-橙队（赋能）| 个人应当如何做好自我安全防护？

2月12日晚，想必各位混迹安全圈的各位朋友圈里注定不会平静——当晚某匿名社交平台机器人泄露了国内约45e条个人隐私信息，数据包大小高达435GB左右。经过一夜发酵，该机器人在全网也算是小火了一把，无论是做安全的还是非做安全的，都对此次被泄露的数据惊恐不已，因为数据源太新了。通过笔者亲测，数据约涵盖了2021年之前的个人隐私信息，当然也有朋友说也有2022年的数据，“摸着网线过来锤你”好像也因此变得没什么难度。

例如在《你，安全吗》一剧中的某剧情中，某学长通过外卖订单，掌握到其喜欢学妹的各种信息，并根据某些生活中再平常不过的言行举止，溯源出一份完整的人员画像。

抛开所谓的泄露数据源头不说，由此也可以看出大众的安全意识相对来说还是不够强，特别在现今大数据信息化时代，个人信息泄露的可能性也随之增大，若不注重自己的个人隐私信息保护、留个心眼，一旦信息暴露，涉及的也许不紧紧是经济损失，更有可能会是人身安全层面。

因此笔者也想通过本文，结合自身经验略做总结，基于个人角度该如何做好个人隐私保护、如何应对社工，当然笔者个人能力有限，若有欠缺不足之处，还请各位大佬一同补充。

在文章开头中提到的某匿名社交平台个人隐私信息泄露事件中，只要通过手机号，就能匹配获取到其姓名、家庭住址。

当然通过其它个人属性，如姓名、身份证、手机号、QQ号、微信号、微博等ID值，输入其中任意一个ID值也可通过泄露的数据进行关联匹配，获取到目标人员更多的数据。我们都知道，社工的核心原理是心理上的利用，因此单条的数据泄露并不可怕，可怕的是多条数据的关联组合，因为一旦恶意人员获取到了这些关联信息，便可以以此打造人设，获取你的信任，或者伪装成“你”进行非法活动。

由此可见，若不做好平时的隐私保护，将会产生非常大的影响。毫不夸张地说，其实各位的信息大概率也已经处于暴露状态了。往事不可谏，来者犹可追，已经泄露的信息我们可能无法挽回，但仍可以从现在开始尽可能减少后续影响。

近年来网络诈骗的手法层出不穷，且大有“与时俱进、不断进步”的趋势。时下常见的诈骗形式包括但不限于刷单、假冒客服、理财投资、订单退款、AI视频等，无论哪种诈骗形式，都利用了对受骗目标的信息获取量，通过人性心理弱点配合话术，获得其信任进行诈骗。

例如通过虚拟或国外号码拨打电话过来，以个人支付宝、JD金条、分期乐等借款平台违规为由申请注销，否则影响征信，笔者也收到过类似的诈骗电话。

当然，诈骗者通常都会现有信息进行一步步诱导，找您提供其他敏感信息或骗取钱款。因此针对网络诈骗的防范，有几个核心原则，大家一定要记牢：

1、要钱？没有！只要是通过电话、网络通讯工具通知要求转钱、提供短信验证码、个人身份信息的一律不理会。切记无论任何渠道都不给陌生人转账。

2、仔细核对电话来源。如果担心自己或家人没有安全防范意识，不知该如何判定，可以利用现在智能手机自带的拦截和识别功能，可在一定程度上避免一些恶意来电。

顺便提醒大家：

一般京东之类400开头客服电话不会主动外呼，外呼客服号码为固定短号。

在此例举一些常见的银行客服电话：

如农业银行:95599、建设银行:95533、中国银行:95566、工商银行:95588、交通银行:95559、招商银行:95555、华夏银行:95577、兴业银行:95561、中信银行:95558、民生银行:95568、上海浦东发展银行:95528、光大银行:95595、邮政储蓄银行:95580……

上述仅列举部分，其余类似的内容大家可自行百度核查对应单位的官方咨询电话，确保来源可靠性。

3、安装国家反诈中心APP，软件真的很好用！不仅能够自动识别是否为可疑诈骗电话，还可以辅助监测手机整体安全状况，如有疑似涉及诈骗的情况，反诈专员还会及时电话联系，给予提醒，五星强推！

4、不随意透露个人信息。身份证号、银行卡号、验证码等个人信息绝不泄露，如果是官方的话一般会报号码跟您确认，或者只跟您确认其中几位数字。

5、不随意下载未经安全检测的app，此外对于各类视频会议软件进行共享视频、远程操作等请求，非必要一定要拒绝。

6、如果收到电话提到征信信息也不要紧张害怕，任何人无权删除或修改，如对个人征信存疑可登录征信中心查询。

7、不贪财好色，杜绝一些看似低风险高盈利事宜，或黄色内容的广告。

01、软件授权防护

在平时网上冲浪时，我们需警惕来历不明的软件资源链接，特别是一些未通过应用市场安全认证的应用程序，通常都会存在非法获取个人信息的情况。

对此我们可以从两个方面入手：

一、下载国家反诈中心APP，该APP可以自动检测所安装和即将安装的APP的安全性，为你识别其风险，并且可对支付社交账号进行核验，确保是否为正常合规的账户，很大程度上降低被诈骗的风险，避免我们的个人信息不被恶意程序窃取。

2、遵循权限最小化原则，不随意赋予APP一些敏感权限，例如通讯录读取、获取地址位置、相机功能等，谨慎考虑是否有该功能需求。可自行在手机设置-应用管理那进行权限更改，一般初次安装使用APP时，也会提示是否给予对应的权限功能。

02、IP防护

在平时网上冲浪进行一些非官方操作时（包括发邮件，访问不明连接），特别是使用家里宽带上网的，建议挂一下代理，避免真实IP地理信息泄露。因为通过社工手段进行IP定位，就可以毫不夸张地精准定位到你所在的具体位置，甚至小区门牌号都有可能。

对于IP信息保护我们可以通过以下几点来防范：

1、发现陌生网址，切勿直接打开，可将地址复制到虚拟机中进行操作或者使用手机网络进行访问，因为手机网络不同于宽带网络，是基于附近基站提供网络信号，IP为动态可变动，并且定位位置也比较模糊。

2、日常发送邮件，建议使用具备发信IP代理的软件，例如某讯邮箱就具备，而163邮箱的话会自动携带你的真实IP，回复陌生邮件时，建议开代理发送。

3、有的客户端软件会通过一些bug来探测对端的IP，比如某鹅软件，因此平时若用固定网络上网时，建议设置代理IP进行聊天（当然这会导致很不便捷，此条仅为建议，可自行选择）。

4、关闭相机地理位置记录功能。用手机拍摄的照片，默认exif里是有照片拍摄时GPS的地址，如果我们在上传到朋友圈或者相册的时候选择“上传原图”，那么这些图片就会泄露你的GPS地址。

03、社交软件防护

很多人都习惯于在网络互动娱乐软件（如某音、某手等）上分享自己的生活动态，为了能更好的分享娱乐，该系列软件通常都会提供诸如通讯录匹配、附近人推荐的功能。若我们开启了该功能，就很有可能被恶意人员借此来追溯到我们的社交账号，并从中获取有用的信息。

因此，对于娱乐性的社交分享软件平时使用可以注意以下几点：

1、 在分享生活动态时，尽量不要在视频或者照片中出现可能会暴露自己的地标位置、车牌号等，尽量避免定位具体所在位置。

2、 审查隐私功能，做好隐私设置，例如适当关闭添加的方式、附近匹配等，减少账号的暴露面。

3、 上传图片到相册、朋友圈的时候，不要选择原图，不要在社交软件上留下自己常用的QQ、邮箱等敏感信息，若必要发送，建议私信发。

4、 不同的社交软件，建议不要采用相同的ID，这样会容易被不法分子在获取到一个ID后通过搜索匹配后发现自己在其他平台的账号。这点尤其需要注意，笔者之前做溯源时就经常很多人习惯用同一个ID作为自己的网络名。

04、生活软件防护

随着各类生活软件逐渐活跃在大众视野，极大便捷了我们的生活：出门无需携带过多现金，一切可线上支付；吃饭可以点外卖；买东西可以点配送；送礼物可以寄快递等。随之而来的我们的信息暴露面也在不断扩大，并且泄露暴露的是敏感度较高的生活地址、办公地址以及个人姓名、手机号等，因此在日常生活中我们也需要时刻提高警惕，以下是笔者建议的一些自我保护核心要点：

1、审查隐私功能，做好隐私设置，适当关闭软件添加好友方式、真实姓名展示等，减少个人信息暴露面，尤其是支付宝等交易软件。

2、在网上购物、点外卖时，要留意收货地址，如果有代收点或者快递存放点，尽量优先填写，或可写到某楼层，不建议具体到某门牌号，同时收件人信息尽量不要用真实姓名。

3、在收到快递、外卖时，应及时将订单撕除，或将敏感信息部分删除，避免恶意人员利用。虽然有些平台会自动对部分个人信息进行屏蔽处理，但更多时候还是以明文信息展示。不法分子通过购买物品信息可以推测出诸如用餐时间范围、性别、家中人数等情况。

本文主要是笔者的一些经验总结，防护措施也主要面向非安全人员，所以表述略显通俗，涉及专业知识浅显，必然存在着诸多不足，仅做参考学习。毕竟相比安全圈大佬，民众的安全意识还是普遍较低，希望通过本文的分享，能为大家提供到切实帮助。