现在是:
 设为首页   加入收藏
 
信息与网络建设管理中心
 首页 | 中心简介 | 机构设置 | 网络建设 | 通知公告 | 工作动态 | 政策法规 | 常用下载 | 网络安全 | 常见问题 | 服务邮箱 
-更多-
 
当前位置: 首页>>网络安全>>正文
 
一个硅谷实习生竟是顶级黑客?网络安全风险多!
2017-11-03 09:13   审核人:

        网络有风险,行走需谨慎。

       今天,小探给大家说一个故事。这个故事教育我们,不要轻易小看你身边的实习生 ……

       2015 年夏天,硅谷一家知名网络安全公司火眼(FireEye)来了一个实习生 Morgan Culbertson,计算机名校卡内基梅隆大学电子与计算机工程专业,大三。 长这样:

(图片来自网络)

      20 岁的 Morgan 其实大二时就已经在火眼实习了,他研究了 4 个月的“手机恶意软件”。这次,他到了精英的“高级持续性威胁”团队,专门研究黑客技术。

       但同事们并不知道的是,原来 Morgan 还是一位世界顶级的黑客。直到有一天,FBI 把 Morgan 带走了……

       原来,Morgan 19 岁时就开发了针对安卓系统的恶意软件 Dendroid。Dendroid 可隐藏在正常软件内而不被防毒软件扫描到,可远程对手机进行短信侦听、通话录音, 窃取文件,还能拍照片,甚至能创立对话框来询问用户的账户和密码。 在 2014 年的黑市上,一个 Dendroid 卖 300 美元(用比特币交易),可控制 1500 部手机;源代码卖 6.5 万美元,购买者可以据此开发自己的版本……

(Dendroid的界面)

      Morgan 被 FBI 盯上的真正原因,其实是他去参加了被美国司法部认定是世界上800多个黑客技术论坛里”讲英语的黑客论坛中最复杂的一个“——Darkode。

      在Darkode里,黑客要通过“事实”来建立“信誉”,以赢得相应的黑市权限。后来,联邦调查局在2015年与澳大利亚,巴西,哥伦比亚,芬兰,德国,尼日利亚等多国联合执法,围剿了这一黑客论坛暨网络黑市。这位看起来乖巧、聪明的硅谷实习生 Morgan 和其他 60 多名黑客一起被逮捕了.....

      你看,手机短信、通话录音被监听,文件被窃取,还不能被杀毒软件扫到,并不是什么难事,一个大三的实习生就能办到。更别提普通人花上 2000 块就可以买到这种软件,按一个软件可控制 1500 部手机来算,坏人黑掉一部手机的成本大概是一块三毛 rmb!

      到底网络有什么风险?怎么躲避风险?小探今天给你整理了一把!

1. 泄漏密码?美国司法部都曾栽过

      你可能曾经遇到有人冒充网游管理员跟你要密码,或者冒充朋友在QQ上跟你借钱,你给吗?傻子都知道不要给,但是,偏偏美国司法部栽在这里了。所以说,小心使得万年船啊……

      2016 年 2 月,某黑客拿到了美国司法部的一个 email 地址和密码,然后打电话称自己是新来的员工,不知道怎么登录内网。司法部的人问他有没有秘钥码(一种类似U盘的硬件秘钥), 黑客说没有。然后司法部的人大方地告诉黑客,“你用我的秘钥码吧”。 。。

      就这样,这个黑客接触到了约1T的内部数据,并在有限的时间内,下载了200G的敏感信息,这黑客还在推特上公布了2万名联邦调查局员工和9千名国土安全局员工的个人信息,包括姓名、电话、电子邮件、工作描述……

      图片来自网络(黑客的Twitter账户已被封)

      这种攻击方式正好利用了内部人员的失误,业界称之为“Social Engineering”,很多企业、机构和个人都中过此招,变招很多, 要是遇到假冒身份的,还请多加留意啊!

2. 密码设置,别再12345了

      就算你不给别人密码,黑客也有可能破解你的密码?为啥?还不是因为你的so easy吗!

     密码安全公司 Keeper 曾整理了1000多万个在2016年被破解的全世界网络人民都常用的密码,发现17%的账户用了“123456”做密码。看看下面这些密码,你中招没:

      划重点:密码要够长,多种字符,别用单词,要定期更换,还要好记。不要所有账户都用一个密码,也别告诉别人! 比如小探的密码是 1712JFD180jin!!,你猜是什么意思?

      黑客是怎么破解密码的?方法有很多,比如密码字典破解,“撞库”,和暴力破解等。“撞库”是指黑客用已掌握的账户名和密码组合去别的平台“撞”,看哪些登录可以成功。所以啊,请尽量不要重复使用账户名和密码了!

3. 防毒 = 在病毒里裸奔

      防毒软件总是在新病毒出现后才有马后炮似的更新,然而没有它,就像让电脑在千千万万已知的恶意软件和网络攻击里裸奔,像这样:

 

(小探编译制作)

      虽说,防毒软件也不一定很有用,毕竟你要时不时查毒、杀毒,甚至有时也会被劫持,但是基本的防御措施,怎么也得有一个。

      说说你们都用了啥好用的杀毒软件不?

4. 严防钓鱼网站和邮件,别乱点!

      在美国的朋友们应该都知道,美国很很狠著名的征信公司Equifax前阵子被黑了,1.4亿用户的姓名和社保号被泄露(要知道,美国人口总共才3.2亿啊……)。

      事情发生后,Equifax 赶紧建立了一个网站与用户沟通,网址是: www.equifaxsecurity2017.com 。 但是!黑客也建了一个钓鱼网站,网址 www.securityequifax2017.com 。很相似是不是?小探第一眼差点没认出来。。。

       更让人哭笑不得的是,Equifax 公司的官方推特号,竟然连续两周向公众推送了黑客的钓鱼网站! ( Equifax 管理官推的小编饭碗保住了吗?)

 

 

(Equifax 在推特向粉丝推送钓鱼网站)

      因为钓鱼式攻击有多种形式。比如一个假的银行网页,网址和网页设计都跟真的很相近,诱骗你输入自己的网银账号、密码、短信验证码...或者一个来历不明的网站诱你下载视频。 所以,请不要点击来历不明或可疑的网站、链接、邮件。

5. 短信有可能被侦听!

      相信大家已经习惯网购时发来的各种短信验证码了,但你知道吗?你的短信验证码也可能会被监听!没错,那个硅谷实习生开发的黑客软件Dendroid 就可以做到。

      别以为这只会发生在国外噢,最近国内媒体就报道,赵女士无端收到一条支付码验证短信,没理会,然后信用卡就通过网络支付平台就被盗刷了。好在风控部门发现可疑行为打电话询问,才避免了第二笔盗刷的的损失。

 

     像这种可以侦听短信的恶意软件,其实网上还有很多。

     比如有技术的黑客开发了恶意软件,免费公开到网上,或是像上文提到的Dendroid似的公开售卖。任何人只要有了这些恶意软件,用些钓鱼网站或邮件诱骗你下载,就可以控制你的手机。所以, 在收到莫名的验证短信时,不要马上删除,而要多想几种可能。如果可行,请尽量选用那种硬件的二次验证。

     你可能好奇,Morgan 这位黑客实习生后来怎样了?受审后,法官念其初犯和认错态度较好,Morgan 被判3年假释(probation)和300个小时的社区服务,当然,他也从卡内基梅隆大学转去某社区大学了。。。

     小探今天介绍了五种重要的网络安全技巧,分别是:设置好复杂的密码,别乱透露密码,别乱点网址,要用好二次验证! 那么,上网的你曾被黑过吗?怎么黑的?欢迎留言讨论。

 

 

 

                                                                    ----文摘

关闭窗口
通知公告 | 政策法规 | 中心简介

版权所有:黑龙江大学信息与网络建设管理中心 Copy Right @2015  IANBMC HU All Rights Reserved
地址:黑龙江省哈尔滨市南岗区学府路74号 电话:0451-86608011  技术支持:黑龙江大学信息与网络建设管理中心