手机黑客如何毁掉你的生活?
加密货币托管公司BitGo的工程师主管肖恩·科赛(Sean Coonce)在五月上了“昂贵的”网络安全教育一课,攻击者在24小时内从他的Coinbase账户窃取了价值超过10万美元的比特币。
令人惋惜的是,这起网络盗窃案并非毫无作案踪迹可寻,在账户失窃的前一晚,科赛的手机曾经出现信号消失的情况,当时他只将这简单地归结为手机故障。次日清晨,他的Gmail账号被盗。“这本来是一场可以避免的网络攻击。”回想起事发前的种种讯号,科赛为自己淡薄的防范意识感到懊恼。
无独有偶,同样遭受黑客攻击的还有马修·米勒(Matthew Miller),在这场网络攻击中,他损失的包括Gmail、Twitter账户,以及家庭银行账户中的2.5万美元。黑客同时注销了米勒Gmail账户关联的所有谷歌服务,并删除了他的推文、屏蔽了他将近1万名的推特粉丝。
这些事件为我们敲响了网络安全的警钟。本期全媒派(ID:quanmeipai)带你看看网络时代,手机黑客是如何毁掉你的生活的。
米勒的故事或许会让我们回想起2014年演员林更新微博和邮箱被盗一事,作案人接连盗取了其贴吧、微博、邮箱账户,并通过其微博发布不实内容,同时将其邮箱中的保密文件散布到公共网络。
在作案人的道歉书中,我们可以意识到的两点是:第一,当下的网络安全环境远比我们想象的更加糟糕,一名普通的高中生即可获取他人的信息并对其网络账号进行破解;第二,在网络信息安全的多米诺骨牌中,手机号码已经成为了最关键的一环。
我们将以手机号码为切入口的网络攻击行为统称为“SIM-Swap”,这类攻击的可怖之处在于,几乎所有的网络服务都需要基于手机号码进行个人身份验证。在这类攻击面前,即使是Google和Twitter之流的互联网巨鳄,依然束手无策。
Google方面回应,账号被盗者可以填写索赔表来寻求Google方面的赔偿, 与此同时,Google认为“大多数用户认同将短信和邮件作为账户的两个密保途径”。很显然,这样的判断与“SIM-Swap”中的实际情况背道而驰,一旦SIM卡被攻击,无论是短信还是邮件,其保密功能均将形同虚设。
溯源“SIM-Swap”爆发的本质,电信运营商源头的信息泄露是造成近来网络攻击频发的最根本原因之一。美国的头部电信运营商AT&T和T-Mobile均被爆出过用户数据泄露丑闻,被泄露的信息具体包括用户的姓名、手机号码、话费账单、家庭住址等。尤其是T-Mobile,它曾经在2018年遭受过一次大规模的黑客攻击,造成超过250万名客户的信息泄露,但在此事之后,T-Mobile并没有任何作为。
“保护SIM卡”已经成为了一项迫在眉睫的社会运动,从运营商的角度来看,通过增加端口验证、个人识别码等额外的安全措施进行SIM卡保护是有意义的,但是很遗憾,目前并没有任何一家运营商在这方面付诸实际行动。
从个人的角度来看,网络安全警钟亦应当时时长鸣。
科赛在博客中写道,尽管运营商、网络服务商和设备制造商们可以通过加强安全防范措施来降低网络攻击行为发生的风险,但从根本上讲,最大的安全漏洞依然是心存侥幸的人性。 即使是如科赛这般的高级网络技术人才,依然会在维护网络安全这件事上变得“懒惰”。 而曾因为盗取加密货币被捕的黑客丹尼尔(Daniel)也在接受媒体采访时表示: “只能怪大多数人没有很好地保护自己的网络财产。 ”尽管这种观点不值得认同,但依然提示我们要提高对虚拟财产安全的重视程度。
最后,作为一些不得不“妥协”于糟糕信息安全现状的提醒: 在不能确保网络环境绝对安全的情况下,人们应当尽可能地减少由浏览器或其他网络工具自动储存密码或访问权限的机会。 此外,人们也可以通过USB安全密钥等形式为电子邮件账户、网上银行账户等进行二次加密,确保黑客无法远程窃取信息。 人性之“恶”与人性之“懒惰”共同催化了网络攻击行为,在我们无法终结“恶”的情况下,只能暂时选择放弃“以安全换便利”的老路,尽管我们始终坚信,安全与便利并非不可兼得。
