Add study notes for 2025-08-14

Author: AutoBot42

mega16.md

@@ -15,6 +15,43 @@ Web3 纯小白
 ## Notes
 
 <!-- Content_START -->
+# 2025-08-14
+
+# 常见网络安全风险与防护措施
+
+## 钓鱼攻击（Phishing）
+攻击者通过伪造官方网站、社交账号、邮件、短信等，诱导受害者点击恶意链接、输入敏感信息（如助记词、私钥、账号密码），或下载恶意软件。
+
+- 伪造邮件/网站： 攻击者会仿冒知名企业、学校、项目方的邮箱或网站，发送“面试通知”“奖学金发放”“账号异常”等紧急信息，诱导你点击钓鱼链接。
+- 社交平台钓鱼： 在微信群、QQ 群、Telegram、Discord 等社群中，冒充官方人员、HR、学长学姐，发布虚假招聘、空投、福利活动。
+- 假冒客服/好友： 通过盗号、伪造头像昵称等方式，冒充你信任的人，诱导你转账或泄露信息。
+
+
+## 恶意软件/木马（Malware & Trojan）
+- 伪装成面试/学习软件： 攻击者将木马程序伪装成“面试专用软件”“学习资料”“破解工具”等，诱导学生下载安装。
+- 剪贴板劫持： 木马常驻后台，监控剪贴板内容，一旦检测到钱包地址，自动替换为攻击者地址。
+- 浏览器扩展/插件后门： 通过伪装成热门插件，窃取浏览器中的敏感数据。
+- 远程控制： 木马获取系统权限后，可远程操控电脑，窃取文件、录屏、键盘记录等。
+
+## 社交工程攻击（Social Engineering）
+- 冒充 HR/导师/同学： 通过社交平台、邮件、电话等方式，冒充你信任的人，获取信任后诱导你操作。
+- 群聊钓鱼： 在微信群、QQ 群、Telegram、Discord 等群聊中，冒充管理员、官方人员，发布钓鱼链接或虚假活动。
+- “好友”求助： 盗取你好友账号后，以“急需用钱”“帮忙测试”“转发链接”等理由诱导你转账或点击恶意链接。
+
+## 供应链/第三方依赖攻击
+- 恶意浏览器插件/扩展：攻击者在 Chrome 商店等平台上传带有后门的插件，诱导用户安装。
+- 开源库后门：攻击者在常用开源库、依赖包中植入恶意代码，影响大量下游用户。
+- 官方渠道被劫持：即使是“正规商店”下载的软件，也可能因被攻击而批量感染。
+
+## 地址污染与扫描木马（Clipper/Scanning Bots）
+- 剪贴板劫持：木马监控剪贴板，一旦检测到钱包地址，自动替换为攻击者地址。
+- 输入框监听：恶意软件监听浏览器或输入法，实时获取输入内容。
+
+## 传统隐私与账号安全风险
+- 弱密码/密码复用：多个平台使用相同密码，一旦某个平台泄露，其他账号也被攻破。
+- 邮箱/SIM 卡劫持：通过社工、运营商漏洞等手段，劫持你的邮箱或手机号，重置所有账号密码。
+- 双因素认证缺失：未开启 2FA，账号易被盗。
+
 # 2025-08-13
 
 ## 社区运营核心职责