多年的经验告诉我们,即使是经验最丰富的老用户也无法保护自身免遭针对性黑客攻击。随着我们的日常生活与互联网和其他网络愈来愈息息相关,在线安全也就成为了亟须解决的问题。
如今,几乎每个人都有自己的邮箱、社交媒体和网银账号。人们通常在线订购商品、使用移动网络验证身份(例如,双因素认证解决方案)以及做一些其他重要事情。但不幸的是,所有这些系统均或多或少存在不安全性。
我们的在线互动越多,则越可能成为狡猾网络黑客的目标;安全专家们则将这一现象称为”攻击面”。攻击面越大—则越容易遭受网络攻击。通过了解以下三个发生在三年前的案例故事,你将能彻底明白这些网络攻击的实施方式。
如何盗窃账号:黑客入侵或只需一个电话?
其中网络黑客使用的最强大工具之一就是”黑客入侵”,又称社交工程。2016年2月26日,Fusion的编辑Kevin Roose决定检验这一工具是否真如传说中的那般强大。社交工程黑客Jessica Clark和安全专家Dan Tentler应邀接受了这项挑战。
Jessica立下承诺:只需一个电话就能黑客入侵Kevin的邮箱,最后她如愿成功完成了挑战。首先,她的团队制作了一个长达13页的个人资料,内容涵盖叫做Roose这个人的完整信息,比如:他的喜好与厌恶等等内容。所有这些资料均从公共资源获得。
一切准备停当后,Jessica假用Kevin的手机号码拨通了电话公司的号码。为了增加真实感,她还有意在电话旁播放婴儿哭闹的视频。
Jessica自称是Roose的妻子,表示她和她的”丈夫”打算申请贷款,但自己因为年轻又疲于照顾孩子因此忘了他们经常使用的邮箱地址。她的巧令言辞加上电话那头孩子的哭闹声,很快就说服了客服重置邮箱密码,进而获得其目标邮箱的访问权。
Dan Tentler则是利用网络钓鱼完成挑战。首先,他注意到Kevin在Squarespace上开有博客,因此向他发送伪造该博客平台的所谓”官方电邮”。在邮件中,”Squarespace管理员”要求用户为了”安全”起见升级SSL证书。事实上所附文件与安全保护毫无关系,而是让Tentler能获取Kevin的PC电脑访问权。之后,Dan创建了几个伪造的弹出窗口要求Roose填写具体的登录凭证—接下来一切就变得轻松简单了。
Tentler成功获取了Kevin的银行数据、邮箱和网店的登录凭证,以及信用卡资料和社会安全号。此外,Dan还盗取了Roose的不少照片及截屏。在整整48小时的黑客入侵过程中,这一切都是每2分钟自动进行一次的。
如何在一晚上成功抢劫软件工程师
2015年春天,软件开发者Partap Davis不幸损失了3000美元。在晚上短短的几个小时时间,一个不明身份的网络黑客成功盗取了他的2个邮箱账号、电话号码和推特账号。该名网络犯罪分子聪明地绕过了双因素认证系统,并将Partap的比特币电子钱包一卷而空。你可以想象,第二天早上Davis看到这一切后的沮丧心情。
值得注意的是,Patrap Davis是一名经验非常丰富的互联网用户:他总是选择可靠的密码且从不点击任何恶意链接。他的邮箱采用Google的双因素认证系统保护,如果用新电脑登录时,还必须输入6位数字并发送到他的手机号码。
Davis的主要存款是他的3个比特币钱包,采用Authy移动应用的另一项双因素认证服务进行安全保护。尽管Davis采用了所有这些合理的安全保护措施,但依然未能避免针对性黑客攻击。
在该事件发生后,Davis非常恼火并花了几周时间试图找出背后的犯罪分子。此外,他还向The Verge编辑发出了求助。最终,他们一道设法努力找出了这一黑客攻击的运行方式。
由于Davis使用Patrap@mail.com作为其主邮箱地址。而在这之后,所有邮件均进入了另一个名字相似的Gmail邮箱里(而Patrap@gmail.com之前已被他人注册)。
有那么几个月时间,所有人都认为只需从Hackforum购买一个特殊脚本,就能利用Mail.com密码重置页的弱点实施针对性攻击。显然,这一脚本也被用来绕过双因素认证和更改Davis密码。
在这之后,网络黑客请求对Davis的AT&T账号设置新密码,并要求客服将Davis的所有来电转至长滩的一个电话号码。客服在收到邮件确认后,同意由犯罪分子控制进入来电。因此一旦拥有这一功能强大的工具,绕过Google的双因素认证并获取Davis的Gmail账号访问权将不再是难事。
由于短信还是依然发送到Davis的原有手机号码,而网络黑客则利用Google辅助功能的缺陷绕过短信认证。它能提供语音朗读确认码服务。Gmail就是这样被黑客入侵的,而唯一能阻止黑客攻击的工具就只有Authy应用了。
要想解决这一障碍,不法分子只需使用mail.com邮箱地址在其手机上重置这一应用,就能重新收到语音版的确认码。在绕过了所有安全保护措施后,网络黑客得以更改Davis其中一个比特币钱包的密码,进而利用Authy和mail.com邮箱地址将全部比特币一卷而空。
但其他两个账户的资金却未能成功转移。其中一个网络服务规定,在密码重置后48小时内不得取款。而另一个则要求提供Davis驾照的扫描件,显然网络黑客无法提供。
毁掉他人生活的恶意黑客攻击
在几年前,所有当地的咖啡店和饭店纷纷开始向他们送匹萨、馅饼和其它各类食品外卖,但问题是他们从未订购过这些东西。每次Paul和Amy Strater都不得不向送外卖的人连声抱歉,并拒绝接收。
不久之后,情况变得更加严重,大量鲜花以及砂和砾石、两辆卡车以及其它从未订购过的商品和服务纷纷踏至而来。但相比他们接下来三年的悲惨遭遇,这还只是冰山的一角。
Paul Strater是在当地电视台工作的一名广播工程师,而他的妻子Amy Strater,此前则是一家医院的管理人员,却成为了身份不明的网络黑客(或黑客小组)攻击的受害人,所幸他们的儿子Blair并没有受到这方面的骚扰。此外,当局甚至还收到了由他们署名的炸弹威胁。网络黑客还使用Amy的账号发布针对一所小学的攻击计划。甚至标题还清楚写有”我将屠光整所学校”这样血腥的字样。警察三天两头光顾他们的家,这根本无助于改善他们与邻居的关系,邻居们甚至怀疑这家人是否在从事什么不法活动。
这些犯罪分子甚至还黑客入侵了特斯拉汽车的官方账号并发布了一条消息:鼓动特斯拉车的爱好者向Straters一家打电话,因为这样可以获得一辆免费的特斯拉汽车。Straters一家每周末都是在接听陌生人电话中度过的,他们最多的时候每分钟需要接听5个电话,全部来自特斯拉汽车的狂热者们,因为他们都想免费得到一辆特斯拉汽车。有一个人甚至还亲自来到Straters的家中,并要求他们打开车库,因为他怀疑自己的免费特斯拉汽车就藏在里面。
Paul也曾尝试过努力:他更改了所有账号的密码,并要求本地饭店的经理不要再送外卖到他的家里,除非他预先全额支付。此外,他还联系到了奥斯威戈警察局,并要求警察局一旦接到有他们一家的关紧急情况报警,在派遣增援警力前必须首先打电话向他本人核实。在这段煎熬的时间里,Paul和Amy的婚姻也不幸走到了尽头。
但攻击并未因此停下来。Amy的社交媒体账号也遭到黑客入侵并被用来发布一系列种族言论。不久之后Amy因此丢了工作。尽管她主动向公司老板透露有人正在摧毁她和她家人的正常生活,但她最终还是被炒了鱿鱼。
幸好,Amy及时地重新获得对自己英领账号的控制,并设法删除了她的推特账号。但很长一段时间,Amy都因为自身的遭遇而无法找到工作。她不得不去开优步专车以满足日常开销,但仍入不敷出,并随时可能失去她的家。
“当你Google她的名字时,过去还能看到她发表的学术文章和做过的善举,但现在,只剩下网络黑客的内容充斥着整个屏幕。”她的儿子Blair向Fusion透露道。
有些网络犯罪分子认为Blair Strater之所以遭到这样长时间的恶意攻击,是因为他们在网络犯罪分子圈子里没有朋友。甚至还有人认为Straters夫妻是为在他们儿子的”罪行”赎罪,因为他们自己与这些网络黑客没有任何瓜葛。
那么,我们到底该采用哪些安全保护措施呢?
这些案例无一都在告诉我们,一旦成为针对性黑客攻击的目标,几乎没有任何办法保护自己。因此如果你有什么私人秘密的话,千万不要放到互联网上。幸运的是,专业网络罪犯对大多数普通大众并没有什么兴趣。我们每个人都需要强有力的安全保护措施,以防范将普通公众作为攻击目标的网络犯罪分子。事实上互联网上有许多这样的”安全专家”,幸运的是,他们所采用的方法也非常简单。
为此,我们提供的安全建议如下: