刚在微博看到岚少发了个帖子说PSN账号被盗了我想知道，PSN盗号的机制是...

估计是邮箱被黑了吧……

还是开启两步验证保险

wang-1994 2017-02-17 15:58

@wang-1994 那就是说盗号的人首先是盗了你的邮箱然后发现你邮箱关联了PSN账号然后再进一步盗号？

bloodycao 2017-02-17 15:59

开启两步验证
不上某些不可名状网站
不下载不可名状的软件
每天查看绑定邮箱
密码设计的复杂点
密码经常更换

watarasejyun 2017-02-17 16:00修改

@watarasejyun 我的意思是，这些盗号人是无差别盗号还是比如说我就是专门盯上了胜负师这种等级高的号，想方设法去盗号

bloodycao 2017-02-17 16:01

盗号不是都是广撒网钓鱼嘛。认准一个号盗难度非常高。

minnaha 2017-02-17 16:03

@bloodycao 我觉得可能是邮箱密码很早就泄漏了，然后有什么组织专门盗psn号，然后正好被黑了，专门盯着某一个人来盗号难度有点大，毕竟psn上不会显示邮箱啊（除非Sony那边泄漏了什么）

wang-1994 2017-02-17 16:06

mersang 2017-02-17 16:07

邮箱信息泄露，然后大规模撞库psn，被撞到就改密码咯

youmenjun 2017-02-17 16:11

我也不懂被盗的逻辑...

除非是弱密码，且psnid用的密码就是他邮箱的密码，否则怎么会被盗。

而且定向是不可能的，因为并没有id和邮箱的关联关系

jimmyleohk 2017-02-17 16:11

你们每次说完这种事儿我都可害怕了

woshiliuwa 2017-02-17 16:13

哎盗号为了啥呢

captain_bajeena 2017-02-17 16:14

最简单就是把号借给别人耍，然后被背刺了

hlx199612 2017-02-17 16:15修改

@bloodycao 无差别的。。。

watarasejyun 2017-02-17 16:17

系统植入某些东西，能够突破记录关键字识别后将一定段落发出去吧，早期白帽子教学盗支付宝账号就看过
我被盗的东西可多了……微博、国内邮箱、QQ、战网等游戏账号都被盗过
总不能要求谁都能一眼发现系统进程里哪些不是关键进程，或者感觉到有脚本在运行……

luna_noire 2017-02-17 16:22修改

话说，被盗号这种事情可以报警处理吗？毕竟帐号里的东西价值不低啊。

taco_fff 2017-02-17 16:22

@taco_fff 可以报警，数字财产受保护，但中国的网警不负责追回财产，能配合抓到人就已经是运气了。数字财产受保护这条其实一般是用在纠纷上而不是刑事案件上

luna_noire 2017-02-17 16:26修改

@luna_noire 你说的几个我都没被盗过...

jimmyleohk 2017-02-17 16:27

想问..被盗的损失是什么...盗号的帮你刷白金吗..啊!浪子回头什么的就靠盗号的了!

spiritlyx617 2017-02-17 16:39

现在索尼保护措施就是，没事就发个邮件强制你改密码

cunhanjp 2017-02-17 16:41

@luna_noire 那如果盗号者在异国作案呢？岂不是国际案件，办案效率更低，更不可能追查到？(我好像发现了不得了的致富信息)

taco_fff 2017-02-17 16:42

不是根据密码表去撞库偷到的吗

adsaracai 2017-02-17 17:28

@adsaracai

对于密码总用固定几种的人来说社工库确实直接就破了

luna_noire 2017-02-17 17:39

杯了个具，我这种国行机用外服号的还开不了两步认证，啥时候退出了连登都登不上。

nicolas_chan2 2017-02-17 18:08

盗号干啥呢？找几个100%的号给他开坑五六十个？

maodouwudi 2017-02-17 18:25

由于网络的普及，像一些支付ID，游戏ID，水果ID等等导致邮箱的价值在不断提升，肯定会有职业的盗号者靠这个吃饭

，以及现在很多网站注册都要求什么手机号或QQ号微博号等，账号一大堆，自然很多人图方便，密码邮箱都统一

，而这些网站里有很多无良的，或出售这些资料，一次泄露，职业盗号者顺藤摸瓜下你的一大堆ID都面临被盗

所以尽量开启手机验证，主要活跃在国内的用户，尽量用谷歌或微软的邮箱当主力或安全邮箱，在国内盗号市场中，显然QQ网易这些吸走了大部分盗号主力军

，另外彻底删除透露ID的邮件，会透露ID的订阅也要取消，密码绝对不要统一，怕记不住可以小异，例如根据网站特点中间加个数字或大小写字母，例如B站我就在中间加个Y（逸）后面加个233，斗鱼我前面加个666后面加个3614

，各种安全问题不要统一，抄写下来放在自己家，别没事截图传网盘，非大型门户或不常用的网站用风格完全不同的ID和小号邮箱，再加强自己识别假冒网站信息的能力，不要相信天上掉馅饼，这样你基本就免疫了盗号

，当然面对三次元抢号的还是会丢

ikergutierrez 2017-02-17 18:26

@jimmyleohk PSN貌似在某个平台改密码是不需要验证生日的
只要能登陆邮箱直接能改

wyyu 2017-02-17 19:13

@nicolas_chan2
国行机同样可以启用二步验证，只要你没事不注销登入就屌事没有，就算万一那天出了什么意外也可以在网页后台停用后再登入。

maoyuqi7 2017-02-17 19:26

首先明确，这事显然不关索尼防护措施是否到位的问题。
一般最先从一个防护不到位的小网站泄露出某个账号和密码，由于人喜欢多个网站用同一个账号密码，或者只做简单修改便于记忆，于是作案者可以拿这个密码尝试去试邮箱，甚至从密码信息中提取你社交账号来猜测是否是你，然后再从社交账号相关信息中提取关键信息尝试破解密码。这个社工过程如果顺利的话那么拿到邮箱基本就已经拿到几乎所有账号的使用权了，因为几乎所有网站都有通过邮箱更改密码的功能。记得某些苹果手机用着用着就被莫名其妙远程锁定敲诈的案例么？大概就是这个原理。至于一些使用木马程序、记录键盘等等手段，现在已经很少用了，成功率不高。
说下防护手段，针对psn账户，如上面人所说，开启两步验证。
通用方法一般是，密码分强中弱3个级别，密码最好和你个人信息无关，邮箱使用强密码，且多个邮箱密码无任何关联，中等为关系到钱财的相关账号，最弱的是无关紧要的论坛等等。可以用软件或者excel做记录，什么网站用什么密码，到时候紧急情况便于补救。另外，每3个月修改一次密码，前后不要有关联，建议随机数。
最后，可以百度一些社工库网站，用你的个人信息或者用过的账号密码去试试看，看自己信息泄露没有。

mordom0404 2017-02-17 19:40修改

@jimmyleohk 我就被盗过QQ 其他除了太久没登录忘了密码基本是没差了……上次科学上网想起来了许久没上的谷歌姬

zyuyi007 2017-02-17 20:16

盗这个有什么用啊，你要说steam还可能是为了库存

v838monova 2017-02-17 20:20

@dev01991122 我得说，如果机器被偷了咋办？

人不盗号直接入手岂不是自己也没辙了

zyuyi007 2017-02-17 20:21

@spiritlyx617 @maodouwudi @v838monova 如果里面有过万的游戏呢认证离线就玩到爽

luna_noire 2017-02-17 20:24修改

@v838monova 首先他得有台索尼系列的游戏主机或者掌机

zyuyi007 2017-02-17 20:22

@zyuyi007 那就是另外一回事了

不过站内不是出过不少相关事例么，账号被盗主机被解绑。道高一尺魔高一丈，有的时候真的没办法，要是像2011年那样再来一次黑客攻击也没人受得了。

dev01991122 2017-02-17 20:26

最基本的就是重要账户和一般论坛等密码要错开，而且不能太简单。
最好有1Password、KeePass这种能生成唯一指定密码的软件，有条件的话邮箱用开了两步验证的Gmail。

而且Gmail也可以用OTP，省去了短信验证码的问题，想保证安全还是有很多方法的。

shirasagi_rina 2017-02-17 20:46

@v838monova 淘宝早年就有用另类方式卖美服点卡的，拍下后会给你一个有对应余额的psn账号（余额一般不会精确到你拍下的金额，但一定不少于你拍下的金额，以此种方式购买的余额，其价格要比序列号形式的点卡低上许多），然后让你绑定ps3去商店消费购买，相信此计放到现在的ps3上仍能可行，不过这些账号的来源那就很难说清楚了，js也不会告诉你，所以不排除是盗来的可能，当然主流观点是黑卡，可你问我黑卡怎么来，盗号技术一定在其中扮演重要角色了，具体参考2011年psn史上最大最恶骇客事件