硅谷Live / 实地探访 / 热点探秘 / 深度探讨
网络有风险,行走需谨慎。
今天,小探给大家说一个故事。这个故事教育我们,不要轻易小看你身边的实习生 ……
2015 年夏天,硅谷一家知名网络安全公司火眼(FireEye)来了一个实习生 Morgan Culbertson,计算机名校卡内基梅隆大学电子与计算机工程专业,大三。长这样:
(图片来自网络)
20 岁的 Morgan 其实大二时就已经在火眼实习了,他研究了 4 个月的“手机恶意软件”。这次,他到了精英的“高级持续性威胁”团队,专门研究黑客技术。
但同事们并不知道的是,原来 Morgan 还是一位世界顶级的黑客。直到有一天,FBI 把 Morgan 带走了……
原来,Morgan 19 岁时就开发了针对安卓系统的恶意软件 Dendroid。Dendroid 可隐藏在正常软件内而不被防毒软件扫描到,可远程对手机进行短信侦听、通话录音, 窃取文件,还能拍照片,甚至能创立对话框来询问用户的账户和密码。在 2014 年的黑市上,一个 Dendroid 卖 300 美元(用比特币交易),可控制 1500 部手机;源代码卖 6.5 万美元,购买者可以据此开发自己的版本……
(Dendroid的界面)
Morgan 被 FBI 盯上的真正原因,其实是他去参加了被美国司法部认定是世界上800多个黑客技术论坛里”讲英语的黑客论坛中最复杂的一个“——Darkode。
在Darkode里,黑客要通过“事实”来建立“信誉”,以赢得相应的黑市权限。后来,联邦调查局在2015年与澳大利亚,巴西,哥伦比亚,芬兰,德国,尼日利亚等多国联合执法,围剿了这一黑客论坛暨网络黑市。这位看起来乖巧、聪明的硅谷实习生 Morgan 和其他 60 多名黑客一起被逮捕了.....
你看,手机短信、通话录音被监听,文件被窃取,还不能被杀毒软件扫到,并不是什么难事,一个大三的实习生就能办到。更别提普通人花上 2000 块就可以买到这种软件,按一个软件可控制 1500 部手机来算,坏人黑掉一部手机的成本大概是一块三毛 rmb!
到底网络有什么风险?怎么躲避风险?小探今天给你整理了一把!
1. 泄漏密码?美国司法部都曾栽过
你可能曾经遇到有人冒充网游管理员跟你要密码,或者冒充朋友在QQ上跟你借钱,你给吗?傻子都知道不要给,但是,偏偏美国司法部栽在这里了。所以说,小心使得万年船啊……
2016 年 2 月,某黑客拿到了美国司法部的一个 email 地址和密码,然后打电话称自己是新来的员工,不知道怎么登录内网。司法部的人问他有没有秘钥码(一种类似U盘的硬件秘钥),黑客说没有。然后司法部的人大方地告诉黑客,“你用我的秘钥码吧”。。。
就这样,这个黑客接触到了约1T的内部数据,并在有限的时间内,下载了200G的敏感信息,这黑客还在推特上公布了2万名联邦调查局员工和9千名国土安全局员工的个人信息,包括姓名、电话、电子邮件、工作描述……
图片来自网络(黑客的Twitter账户已被封)
这种攻击方式正好利用了内部人员的失误,业界称之为“Social Engineering”,很多企业、机构和个人都中过此招,变招很多,要是遇到假冒身份的,还请多加留意啊!
2. 密码设置,别再12345了
就算你不给别人密码,黑客也有可能破解你的密码?为啥?还不是因为你的so easy吗!
密码安全公司 Keeper 曾整理了1000多万个在2016年被破解的全世界网络人民都常用的密码,发现17%的账户用了“123456”做密码。看看下面这些密码,你中招没:
划重点:密码要够长,多种字符,别用单词,要定期更换,还要好记。不要所有账户都用一个密码,也别告诉别人!比如小探的密码是 1712JFD180jin!!,你猜是什么意思?
黑客是怎么破解密码的?方法有很多,比如密码字典破解,“撞库”,和暴力破解等。“撞库”是指黑客用已掌握的账户名和密码组合去别的平台“撞”,看哪些登录可以成功。所以啊,请尽量不要重复使用账户名和密码了!
3. 防毒 = 在病毒里裸奔
防毒软件总是在新病毒出现后才有马后炮似的更新,然而没有它,就像让电脑在千千万万已知的恶意软件和网络攻击里裸奔,像这样:
(小探编译制作)
虽说,防毒软件也不一定很有用,毕竟你要时不时查毒、杀毒,甚至有时也会被劫持,但是基本的防御措施,怎么也得有一个。
说说你们都用了啥好用的杀毒软件不?
4. 严防钓鱼网站和邮件,别乱点!
在美国的朋友们应该都知道,美国很很狠著名的征信公司Equifax前阵子被黑了,1.4亿用户的姓名和社保号被泄露(要知道,美国人口总共才3.2亿啊……)。
事情发生后,Equifax 赶紧建立了一个网站与用户沟通,网址是:www.equifaxsecurity2017.com。但是!黑客也建了一个钓鱼网站,网址www.securityequifax2017.com。很相似是不是?小探第一眼差点没认出来。。。
更让人哭笑不得的是,Equifax 公司的官方推特号,竟然连续两周向公众推送了黑客的钓鱼网站!(Equifax 管理官推的小编饭碗保住了吗?)
(Equifax 在推特向粉丝推送钓鱼网站)
因为钓鱼式攻击有多种形式。比如一个假的银行网页,网址和网页设计都跟真的很相近,诱骗你输入自己的网银账号、密码、短信验证码...或者一个来历不明的网站诱你下载视频。所以,请不要点击来历不明或可疑的网站、链接、邮件。
5. 短信有可能被侦听!
相信大家已经习惯网购时发来的各种短信验证码了,但你知道吗?你的短信验证码也可能会被监听!没错,那个硅谷实习生开发的黑客软件Dendroid 就可以做到。
别以为这只会发生在国外噢,最近国内媒体就报道,赵女士无端收到一条支付码验证短信,没理会,然后信用卡就通过网络支付平台就被盗刷了。好在风控部门发现可疑行为打电话询问,才避免了第二笔盗刷的的损失。
像这种可以侦听短信的恶意软件,其实网上还有很多。
(截图:能够监听任何移动电话的软件!)
比如有技术的黑客开发了恶意软件,免费公开到网上,或是像上文提到的Dendroid似的公开售卖。任何人只要有了这些恶意软件,用些钓鱼网站或邮件诱骗你下载,就可以控制你的手机。所以,在收到莫名的验证短信时,不要马上删除,而要多想几种可能。如果可行,请尽量选用那种硬件的二次验证。
你可能好奇,Morgan 这位黑客实习生后来怎样了?受审后,法官念其初犯和认错态度较好,Morgan 被判3年假释(probation)和300个小时的社区服务,当然,他也从卡内基梅隆大学转去某社区大学了。。。
小探今天介绍了五种重要的网络安全技巧,分别是:设置好复杂的密码,别乱透露密码,别乱点网址,要用好二次验证!那么,上网的你曾被黑过吗?怎么黑的?欢迎留言讨论。
想和探长聊一聊?来加探长个人微信号 svinsight
推荐阅读