研究員試著給受害電腦發送了一封加密郵件。在電腦打開郵件的過程中,後臺進行了解密操作。研究人員穿過了15釐米厚的牆壁,捕獲了66次解密過程,僅僅用了3.3秒就最終得到了密鑰。
詐騙電話是怎麼進行偽裝的
山東女孩徐玉玉遭遇詐騙電話後不幸身亡,引發過社會的廣泛關注。有一部叫做《鉅額來電》的電影曾批露過電信詐騙的內幕,讓人想不到的是,詐騙電話的背後居然有著一整套分工,每個流程的實施者也都有著相應的稱呼——菜商、卡頭、話務員、車手、水房等。菜商出售公民信息;卡頭辦理用於轉賬的銀行卡;話務員一般分為一線話務員和二線話務員,在這條撥打詐騙電話的流水線上,前者負責開場,後者緊跟收網;車手負責集中提取賬款;水房負責洗錢……其中,菜商出售公民信息的實施整個詐騙行為的第一步。
當你的個人信息被騙子拿到後,這樣的電話就來了:“喂,您好,這裡是社保局,您辦理的社保卡涉及多家醫院騙保,社保局現將凍結您的醫保卡賬號……”“喂,您好,我是公安局刑偵支隊民警,由於您的身份信息洩露,其名下銀行卡涉及洗錢等犯罪活動……”
有受騙事主稱,在接到一自稱法院公證室的男子電話後,被以繳納財產公證保全、繳納無犯罪保證金、辦理加急結案手續費等理由為名先後被騙200餘萬元。事主回憶稱,一開始還很警覺,但仔細看手機上顯示電話號碼後,警惕就逐漸放鬆了:“騙子打來的電話就是社保局、公安、法院的電話號碼啊。”
在這樣的電信詐騙鏈條中,騙子要使用到的工具是改號軟件。網絡安全極客——《一本黑》作者東東做了一個實驗:在網絡通過關鍵詞很容易就找到了販賣改號軟件的,120元買了軟件,開戶后里面竟然還有30元話費可以用。東東嘗試了一下,通過這種軟件可以將手機號修改成任意的11位號碼,撥打這種電話的費用也只有每分鐘0.95元。
為什麼撥打出去的電話可以修改為任意的號碼?東東說,改號軟件其實就是一種網絡電話,在通訊的過程中,有人人為地把其中的數據進行了修改,而來電顯示就相當於一個數據包,這些數據都是可以被修改的。
實際上,這種改號軟件主要是通過一箇中間IP平臺或者轉換器來實現的,也就是說這個電話在打出去的時候並不是點對點式直撥電話來實現的,中間存在一個“傳話人”,而這個傳話人才有修改號碼的權限。這種非法的改號技術運營商根本無法識別,所以也就不能對這種被改過的號碼進行攔截或屏蔽。
針對這種經過改號軟件修改號碼的來電該如何辨別呢?東東說,最簡單的方式就是回撥。假如對方的來電是通過改號軟件修改過的,只要按照顯示的號碼回撥過去,對方是無法接聽的。
一張照片也會暴露所有信息
前段時間引爆網絡的“佔座男”事件讓人們領略了人肉搜索的威力,如今人肉搜索已經不新鮮了,取而代之的是人臉搜索。
極客“我堂堂一個熊貓”說,現在有一種搜索引擎,放上一張你的照片,就可以找到所有你發佈過照片的社交媒體賬號。如一家新加坡企業就推出了一款基於人臉識別的情報搜索工具,只要輸入一張人臉照片和姓名,就能找到領英、推特、臉書、Google+、Instagram、微博、豆瓣等等數個社交媒體上的用戶主頁。這個軟件還會綜合這些社交媒體內容出具報告,報告中會包含性別、年齡、所在地、電子郵箱等等很多個人信息。還有一種App更為可怕,只需一張照片,就可以獲知面孔主人在公開互聯網上的所有信息。除了這兩款,Facebook的DeepFace目前也已經能實現將人臉圖片和社交網站用戶精準匹配。總之人臉搜索並不是幻想,而是真真切切發生於我們身邊。
“我堂堂一個熊貓”說,人臉搜索所帶來的危害不僅僅是隱私暴露,隱私的暴露往往只是開端,真正的影響,來自人臉搜索這種人力無法完成的事情變得輕而易舉之後,所產生的蝴蝶效應。比如當犯罪分子進行詐騙時,很可能偷偷拍下一張目標受害者的照片,然後進行人臉搜索,從而在微博、豆瓣上獲知一些隱私信息,以此博得受害者的信任,來偽裝很久沒有聯繫過的老熟人。而在受害者的概念裡,自己的微博、豆瓣上並沒有很多粉絲,所以這些社交網站中透露信息的一定是足夠安全的,所以能獲知這些信息的肯定是親朋好友。
曾經有過這樣的案例:騙子通過獲取父母朋友圈的曬娃照片,假稱將孩子綁架,發給不善於使用社交媒體的爺爺奶奶來勒索贖金。而現在,不法分子利用這些人臉搜索軟件所獲得的信息,這種騙術將更具欺騙性。
如何應對這種人臉搜索?“我堂堂一個熊貓”說,首先要提升網絡安全意識,明白一張照片可能會讓屏幕另一端的陌生人發現你的真實身份,別隨便就發自拍。同時社交媒體網站也有責任提醒用戶,個人照片的發佈有可能存在被人臉搜索的風險。此外,也可以從技術手段進行防範,例如社交媒體可以設置權限,防止人臉圖像被第三方爬蟲抓取;同時也可以利用神經遷移算法對照片進行一些處理,只要進行一些像素點上的輕微改變,就可以在不影響人眼效果的前提下“騙過”AI算法。
另外,有些軟件對惡意的人臉搜索提前進行了預防,比如前面提到過的Facebook的DeepFace,如果有照片被他人上傳時就會對用戶進行提醒,用戶可以選擇申訴侵犯隱私刪除照片,或是為自己的面孔打碼,某種程度上講,這也是算是保護自己隱私,逆向人臉搜索了。
網絡密碼怎麼輕易被破解了
互聯網時代,賬號相當於一道門,而密碼就是鑰匙。現實生活中,大多數人不管是QQ、微信、還是電商平臺都是使用的同一個密碼,這也就導致了只要知道你其中的一個密碼,那麼你其他平臺的密碼也就形同虛設。
網絡安全極客東東說了這樣一件事:小李接到聲稱是一家電商平臺客服的電話,說其購買的產品有質量問題,為不影響其購物體驗,平臺已為其辦理了退款手續,並願進行三倍的價格做出賠付,還發給小李一個賠付鏈接。小李開始挺警惕,覺得可能是詐騙電話,但電話那頭的“客服”卻不急不躁:“先生,我們已經為您辦理了退款手續,您可以登陸自己平臺的賬號進行查看,平臺已經為您上傳了賠付入口,只要點擊申請即可獲得我們平臺的三倍賠付。”小李帶著疑惑登陸了自己的平臺賬號,果真在訂單的頁面看到了“退款中”三個字。並在自己的收貨地址處看到了“客服”所說了賠付入口。於是徹底打消了疑慮的小李按照“客服”的指示進入所謂的“賠付入口”,輸入自己的各種賬號密碼,最終帳號被盜刷。
所謂的“客服”到底是如何成功釣到小李的敏感信息的呢?東東說,在黑客技術裡有兩個專有詞彙–“拖庫”和“撞庫”。黑客用技術手段入侵一個防護性能比較低的網站或平臺,取得大量用戶的賬號和密碼的行為,就叫做“拖褲”。然後拿這些賬號和密碼到其他網站,例如支付寶、QQ、微信、淘寶進行批量嘗試登陸的行為,就叫做“撞庫”。 撞庫時,只要匹配成功,那黑客就可以拿這些賬號數據販賣給詐騙團伙,然後對賬號的主人進行精準詐騙。這是黑客竊取個人信息最常用的手法之一,只要拿到一批可以登陸的用戶賬號和密碼,就可以盜取更多的個人信息。
東東說,對那些總愛使用同樣密碼的人來說,黑客只要知道你其中的一個密碼,那麼你的其他平臺也就大門頓開了。
有時登錄一個賬號,光有手機號碼還不夠,還需要驗證碼,東東說,有的平臺針對驗證碼沒有做防護策略,即驗證碼沒有時效性,可以一直的重複輸入。黑客就可以通過類似“枚舉”的方式把驗證碼“猜”出來,加上該平臺的驗證碼只有四位數,這就大大降低了“猜測”的難度。在拿到驗證碼以後,黑客就可以登入受害者的賬號,從而實施詐騙。
有沒有辦法來破解這些黑操作?東東說,可以在各大平臺發佈“蜜罐”。這是一種對攻擊方進行欺騙的技術,通過佈置一些作為誘餌的主機、網絡服務或者信息,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析。然後整合大數據,對詐騙團隊的手法、技術、團隊進行分析,並查找信息洩露的源頭,當平臺發生內鬼竊取數據的時候會做出應急響應,將威脅情報反饋給平臺的安全防護端,從信息洩露的源頭上進行防範。同時對已知的詐騙團伙和可疑的網絡電話進行監控,如果發現某平臺的用戶正在遭遇電話詐騙,第一時間向該平臺發出通知,並且提供被詐騙用戶的聯繫方式,促使平臺第一時間通告用戶。在此基礎上幫助平臺尋找數據洩露點,及時修復漏洞。並向公安機關提供破案線索。
沒有聯網電腦竟然也被黑了
一直以來,拿到一臺電腦上的密鑰方法無非有以下三種:一是直接拿到這臺電腦,然後輸入木馬病毒進行盜取;二是通過互聯網入侵目標電腦,遠程安裝木馬病毒竊取密鑰。這是大多數黑客都會採用的方法;三是如果目標電腦不聯網,則需要通過能夠接觸到互聯網的介質,如U盤等,把病毒擺渡進目標電腦。其中後一種技術難度很高,貌似只有美國攻擊伊朗核電站等少數幾個成功案例。而現在,隨著一種黑科技的誕生,宣告即使普通人一臺根本不聯網的電腦,也沒有秘密可言了。
以色列的“白帽子黑客”(安全研究員)研究出了一種高能的玩法,只需要在你的隔壁放一個大號“聽診器”,根據你電腦工作時散發出的電磁波,就可以捕捉到你的密碼信息。
這種攻擊方法的特殊之處在於:速度奇快,只需幾秒,密鑰到手;根本不涉及密碼破譯,而是直接捕捉密碼明文。所謂隔牆有耳,探囊取物;不需要電腦聯網,也不需要接觸“受害電腦”。
更可怕的是,做出這個設備,只需要3000美金的成本,它就可以精確地捕捉周圍電腦工作時的電磁波,並且放大分析。
研究員試著給受害電腦發送了一封加密郵件。在電腦打開郵件的過程中,後臺進行了解密操作。而正是這短短几秒的解密過程,散發出的電磁波里攜帶了“秘密”。竊聽器分析這幾秒鐘的電磁波之後發現,每當出現窄頻信號的時候,就標誌著解密了一段密碼。把這些窄頻信號放在一起進行解析之後,密文信息就這樣輕鬆地“流淌”了出來。研究人員穿過了15釐米厚的牆壁,捕獲了66次解密過程,僅僅用了3.3秒就最終得到了密鑰。
如果這種技術將來被黑客利用,細思極恐。網絡極客東東說,互聯網時代的到來使我們每個人都處於信息的洪流之中,這其中就藏著一雙雙狡詐的眼睛,他們隨時盯著你的一舉一動,看準時機便伸出罪惡之爪。你不經意洩露的每條信息,都可能成為他們的目標,這些信息收集起來,就能對你進行完整的畫像,為你定製專屬騙局,試圖榨乾你身上的每一絲價值。在此大背景下,我們必須加強網絡安全意識,一點一點加以防範,努力填補自己信息使用方面的漏洞,才有可能安全自保。
(原標題:看看這些“陷阱” 你能否一一識破?)
閱讀更多 北晚新視覺網 的文章
