一个硅谷实习生竟是顶级黑客?网络安全风险多!

百家 作者:硅谷洞察 2017-11-02 03:20:42



硅谷Live / 实地探访 / 热点探秘 / 深度探讨



网络有风险,行走需谨慎。




今天,小探给大家说一个故事。这个故事教育我们,不要轻易小看你身边的实习生 ……


2015 年夏天,硅谷一家知名网络安全公司火眼(FireEye)来了一个实习生 Morgan Culbertson,计算机名校卡内基梅隆大学电子与计算机工程专业,大三。长这样:


(图片来自网络)


20 岁的 Morgan 其实大二时就已经在火眼实习了,他研究了 4 个月的“手机恶意软件”。这次,他到了精英的“高级持续性威胁”团队,专门研究黑客技术。


但同事们并不知道的是,原来 Morgan 还是一位世界顶级的黑客。直到有一天,FBI 把 Morgan 带走了……


原来,Morgan 19 岁时就开发了针对安卓系统的恶意软件 Dendroid。Dendroid 可隐藏在正常软件内而不被防毒软件扫描到,可远程对手机进行短信侦听、通话录音, 窃取文件,还能拍照片,甚至能创立对话框来询问用户的账户和密码。在 2014 年的黑市上,一个 Dendroid 卖 300 美元(用比特币交易),可控制 1500 部手机;源代码卖 6.5 万美元,购买者可以据此开发自己的版本……


(Dendroid的界面)


Morgan 被 FBI 盯上的真正原因,其实是他去参加了被美国司法部认定是世界上800多个黑客技术论坛里”讲英语的黑客论坛中最复杂的一个“——Darkode。


在Darkode里,黑客要通过“事实”来建立“信誉”,以赢得相应的黑市权限。后来,联邦调查局在2015年与澳大利亚,巴西,哥伦比亚,芬兰,德国,尼日利亚等多国联合执法,围剿了这一黑客论坛暨网络黑市。这位看起来乖巧、聪明的硅谷实习生 Morgan 和其他 60 多名黑客一起被逮捕了.....


你看,手机短信、通话录音被监听,文件被窃取,还不能被杀毒软件扫到,并不是什么难事,一个大三的实习生就能办到。更别提普通人花上 2000 块就可以买到这种软件,按一个软件可控制 1500 部手机来算,坏人黑掉一部手机的成本大概是一块三毛 rmb!


到底网络有什么风险?怎么躲避风险?小探今天给你整理了一把!


1. 泄漏密码?美国司法部都曾栽过


你可能曾经遇到有人冒充网游管理员跟你要密码,或者冒充朋友在QQ上跟你借钱,你给吗?傻子都知道不要给,但是,偏偏美国司法部栽在这里了。所以说,小心使得万年船啊……


2016 年 2 月,某黑客拿到了美国司法部的一个 email 地址和密码,然后打电话称自己是新来的员工,不知道怎么登录内网。司法部的人问他有没有秘钥码(一种类似U盘的硬件秘钥),黑客说没有。然后司法部的人大方地告诉黑客,“你用我的秘钥码吧”。。。


就这样,这个黑客接触到了约1T的内部数据,并在有限的时间内,下载了200G的敏感信息,这黑客还在推特上公布了2万名联邦调查局员工和9千名国土安全局员工的个人信息,包括姓名、电话、电子邮件、工作描述……


图片来自网络(黑客的Twitter账户已被封)


这种攻击方式正好利用了内部人员的失误,业界称之为“Social Engineering”,很多企业、机构和个人都中过此招,变招很多,要是遇到假冒身份的,还请多加留意啊!


2. 密码设置,别再12345了


就算你不给别人密码,黑客也有可能破解你的密码?为啥?还不是因为你的so easy吗!


密码安全公司 Keeper 曾整理了1000多万个在2016年被破解的全世界网络人民都常用的密码,发现17%的账户用了“123456”做密码。看看下面这些密码,你中招没:



划重点:密码要够长,多种字符,别用单词,要定期更换,还要好记。不要所有账户都用一个密码,也别告诉别人!比如小探的密码是 1712JFD180jin!!,你猜是什么意思?


黑客是怎么破解密码的?方法有很多,比如密码字典破解,“撞库”,和暴力破解等。“撞库”是指黑客用已掌握的账户名和密码组合去别的平台“撞”,看哪些登录可以成功。所以啊,请尽量不要重复使用账户名和密码了!


3. 防毒 = 在病毒里裸奔


防毒软件总是在新病毒出现后才有马后炮似的更新,然而没有它,就像让电脑在千千万万已知的恶意软件和网络攻击里裸奔,像这样:


(小探编译制作)


虽说,防毒软件也不一定很有用,毕竟你要时不时查毒、杀毒,甚至有时也会被劫持,但是基本的防御措施,怎么也得有一个。


说说你们都用了啥好用的杀毒软件不?


4. 严防钓鱼网站和邮件,别乱点!


在美国的朋友们应该都知道,美国很很狠著名的征信公司Equifax前阵子被黑了,1.4亿用户的姓名和社保号被泄露(要知道,美国人口总共才3.2亿啊……)。


事情发生后,Equifax 赶紧建立了一个网站与用户沟通,网址是:www.equifaxsecurity2017.com但是!黑客也建了一个钓鱼网站,网址www.securityequifax2017.com。很相似是不是?小探第一眼差点没认出来。。。


更让人哭笑不得的是,Equifax 公司的官方推特号,竟然连续两周向公众推送了黑客的钓鱼网站!(Equifax 管理官推的小编饭碗保住了吗?)


(Equifax 在推特向粉丝推送钓鱼网站)


因为钓鱼式攻击有多种形式。比如一个假的银行网页,网址和网页设计都跟真的很相近,诱骗你输入自己的网银账号、密码、短信验证码...或者一个来历不明的网站诱你下载视频。所以,请不要点击来历不明或可疑的网站、链接、邮件。


5. 短信有可能被侦听!


相信大家已经习惯网购时发来的各种短信验证码了,但你知道吗?你的短信验证码也可能会被监听!没错,那个硅谷实习生开发的黑客软件Dendroid 就可以做到。


别以为这只会发生在国外噢,最近国内媒体就报道,赵女士无端收到一条支付码验证短信,没理会,然后信用卡就通过网络支付平台就被盗刷了。好在风控部门发现可疑行为打电话询问,才避免了第二笔盗刷的的损失。


像这种可以侦听短信的恶意软件,其实网上还有很多。


(截图:能够监听任何移动电话的软件!)


比如有技术的黑客开发了恶意软件,免费公开到网上,或是像上文提到的Dendroid似的公开售卖。任何人只要有了这些恶意软件,用些钓鱼网站或邮件诱骗你下载,就可以控制你的手机。所以,在收到莫名的验证短信时,不要马上删除,而要多想几种可能。如果可行,请尽量选用那种硬件的二次验证。



你可能好奇,Morgan 这位黑客实习生后来怎样了?受审后,法官念其初犯和认错态度较好,Morgan 被判3年假释(probation)和300个小时的社区服务,当然,他也从卡内基梅隆大学转去某社区大学了。。。


小探今天介绍了五种重要的网络安全技巧,分别是:设置好复杂的密码,别乱透露密码,别乱点网址,要用好二次验证!那么,上网的你曾被黑过吗?怎么黑的?欢迎留言讨论。



想和探长聊一聊?来加探长个人微信号 svinsight




推荐阅读


卫哲 | 王刚 | 姚劲波

胡海泉 | 朱啸虎

区块链报告 | 脑机接口报告 

硅谷人工智能 | 斯坦福校长

王者荣耀 | 返老还童 




关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接