编者按:宅客问答是雷锋网(公众号:雷锋网)宅客频道推出的一个问答新栏目。我们询问的对象是中国所有的黑客。如果你对神秘的黑客十分好奇,有很多问题,可以在微信公众号“宅客频道”(微信ID:letshome)回复“问答”留言,每期我们将选取关注度较高的一些问题,请黑客回答。
上期主题是:黑客最不想听到的一句话是什么?里面抖了很多网安圈的八卦——《男默女泪,黑客听了这些话要暴走|宅客问答》然后收到了读者的热情投票,其中,这个问题关注度较高:
黑客会更担心自己被入侵,信息泄露吗?
为此,雷锋网宅客频道采访了知道创宇公司安全服务部信息安全工程师星尘,为了配合这个主题,星尘甚至不打算上真名。
1
星尘,90后,上初中时就进入了黑客的世界,不过,当时他只是一名菜鸟旁观者。
星尘深刻了解到黑客世界的“残酷”是自己不小心“中了毒”。
那时,他在逛论坛,期待学习更多黑客技术提升本领时,眼睛一亮,发现了一款“特别好”的软件,提供软件的论坛用户将这款软件描绘得“天上有、地上无”。天真的星尘为了顺利运行软件,关闭了杀毒软件,满心欢喜的等待运行。
后果可想而知。
这款软件暗藏了“灰鸽子”,在某种程度上,灰鸽子被定义为一款集多种控制方式于一体的木马程序。
星尘急了,但怎么也卸不掉,无可奈何之下找到了木马植入者的联系方式,打算“以情动人”。两人开始聊天,虽然对方是个比自己还小 4、5 岁的“小朋友”,星尘受到了一些“刺激”,一来二去,发现对方只是在做测试,他成功打动了对方,说服对方撤掉了自己电脑上的灰鸽子。
自此,星尘变得更加警惕:不要随意下载软件。
然后,他俩成了好朋友。
2
如果说,第一个故事启蒙了星尘的“安全忧患”意识,那么,第二个故事则让他明确在复杂的网络世界中黑与白的界限,以及不注重隐私保护的后果。
初尝技术滋味的星尘十分兴奋,那时,他非常关注网络上的一位喜欢已久的歌手。
每一个小粉丝都有敬业地搜集偶像信息的心路历程。星尘发现,这位歌手喜欢写博客,而且在博文间留下了一些线索,通过这些蛛丝马迹,可以检索到这位歌手的手机号。
懵懂的星尘如发现新大陆一般激动,没有经过什么思考,就拨通了歌手的电话。
对方惊慌失措。
星尘很后悔,直言当年年少无知,但这也让他体会到:不要在网上泄露个人隐私信息,实在有必要放联系方式时,应该准备一个小号。
3
雷锋网采访当天,星尘上午 8 点左右收到一个长辈的微信,这位长辈收到了一封邮件,表示不敢点,机智地将邮件转发给了星尘。星尘测试后,发现果然是个钓鱼网址。
具体检测过程是这样的:
1)打开邮件。
2)点开“验证并更新我的账户”,出现了这个网站:
3)输入测试密码。
4)提示成功。
5)在地址栏修改后缀,就变成了另一个邮箱。
星尘说,这是一个很拙劣的钓鱼网站。首先,从地址栏看,和正经的官方地址栏不同;其次,页面出现的是繁体字,和大陆地区使用习惯不符合;再者,地址栏可以修改,修改页面也和平常遇到的账号密码修改提示有异。
值得警惕的是,该钓鱼邮件可能是“有针对性”的钓鱼。雷锋网了解到,星尘的长辈在一家进出口贸易公司公司,要处理公司大大小小的事情,因为会将自己的邮箱地址公布在附有公司信息的页面。现在,经常有针对公司重点部门员工发送钓鱼邮件的事情发生,比如,财务部门、人力部门。2016年起,还有针对性的勒索木马朝这些重点对象进军。在套取邮箱地址和密码后,攻击者能做的事情非常多,比如,获取邮箱内的业务往来信息、人事信息、金融信息等,造成财产损失。
所以,星尘提醒,要做到“公私信息”分离,并谨慎点击邮件中的链接,注意甄别是否为钓鱼邮件。
4
作为一名安全服务部信息安全工程师,星尘已经多次参加了客户要求的渗透测试。
渗透测试到底是如何进行的?知道了渗透测试的流程,似乎就可以反推,如果不注意隐私保护,攻击者就可以长驱直入。
1)信息收集:在网上暴露的信息,比如,HR 招聘、商务人员合作留下的公司邮箱、手机号、微信号、QQ号等,一个普通人在社交网站晒出的照片、发布的信息,随意填写的一份问卷调查,办好的一张会员卡,甚至在赛博世界留下的一次不慎的评论……都可能暴露自己的信息。测试员会伪装成客户,与这些人联系,获取相应信息;
2)伪造目标公司的内部邮箱地址及内部工作人员,仿造官方页面,编造故事,诱使目标对象点击钓鱼邮件及链接,获取目标对象的邮箱账号和密码;
3)翻看邮箱内容,进一步套取对方OA 系统账号和密码,挖掘OA 漏洞,获取服务器权限,进一步渗透。
……
当然,这只是一个流程简述,但是,不仅是普通人,很多目标公司管理层压根没意识到隐私保护与防范被社工、渗透的重要性,让星尘欣慰的是,有一家目标在被渗透后的第二天就在某网站发布了安全人员的招聘信息。
你问我答
【左:堇年,右:星尘(这么多年来,第一次有人要求雷锋网编辑用dog表情包给他打码)】
1.可以提一些隐私保护的建议吗?
星尘:个人邮箱和工作邮箱不要混用;
养成经常修改密码、不同账号设置不同密码、不用弱密码的好习惯,谨慎访问安全级别比较低的网站,如果要在这种网站设置账号和密码,不要用自己的常用复杂密码,防止撞库;
我有很多黑客网友,但是我们互不知道自己的真实姓名、年龄等,如果可以,不要告诉网友真实个人信息,尤其是名字比较特别的那种同学,千万不要告诉陌生人名字,一搜一个准,你又不像我们 CEO 赵伟,多么普通的名字;
开发票时,拿同事的名片(坑同事,开玩笑),专门制作相关名片开具信息的卡片,不要使用名片;
快递单上的收件人不填写真名(吐槽:中国邮政除外,不填写真名会被多次教育),尽量不填写家庭地址,使用公司地址,点外卖也一样;
使用一些安全防护产品,在不熟悉的设备上登录账号密码时添加动态验证码认证。
星尘的萌妹子同事堇年附加了一个建议:笔记本摄像头记得封上,如果能忍住“自拍”的冲动,手机摄像头也可以贴上;在外不要乱扫二维码。
2.恶搞过同事吗?
星尘:有个同事,上厕所不锁电脑屏幕,被我们猜到开机密码后,登陆进去把他的电脑密码换掉了,所以我现在不仅在公司,即使在家都会养成离开即锁屏的好习惯。
3.有什么信息保护的极端案例吗?
星尘:我有一个做网络安全的朋友,对世界感到绝望,不相信任何移动电子支付手段,绝对不在各种移动支付平台上绑定自己的银行卡,所以每次找我们“发红包”,再给我们现金。