駭客偷你的密碼幹什麼?

發表於2022-11-27

週三的新聞聽起來像是標準的矽谷冷笑話。俄羅斯駭客竊取了600萬LinkedIn賬戶密碼。難道他們把“世界上最大的職業網路”誤翻成了“大家都在用的職業網路”?他們下一步要黑哪一家,谷歌+麼?竊取這些賬戶之後,他們還打算幹嘛,到黑市上賣簡歷嗎?嫌LinkedIn邀請註冊郵件還不夠多,所以要利用聯絡人列表來發垃圾郵件麼?

 

漠不關心者有之,冷嘲熱諷者有之,但是還有一小掇人高度重視這次LinkedIn被攻擊事件:安全專家。

上文幾個惡搞問題最有可能的答案是:不、不、是的、是的。第一個問題,俄羅斯駭客又不傻,他們才不關心你到底有沒有在用LinkedIn。第二個問題,他 們並沒有緊接著攻擊谷歌——谷歌太難攻了——而是攻擊了人氣很旺的約會網站一派和諧(eHarmony)。第三個問題,竊取簡歷等個人資訊幾乎可以肯定是 駭客計劃的一部分,那可是潛在的金礦。第四個問題,偽裝熟人發郵件是駭客請君入甕的主要手段。這比自稱是奈及利亞王子的郵件可信多了。

目前還不清楚此次攻擊所造成的影響。LinkedIn和一派和諧現在還沒有給個說法,也許是因為他們根本還沒查出來究竟哪裡出了問題。不過電腦保安方面的專家越來越肯定,這起事件本身遠比這兩家公司所說的要複雜險惡。

警告:註冊了LinkedIn或者一派和諧的使用者要小心了。如果你在其他網站上用了同樣的使用者名稱,特別是像貝寶(Paypal)和臉譜這樣的高危網站——就更要特別小心了。如果註冊了這兩個網站,就要馬上去改密碼。(別輕舉妄動,先看完這篇文章再改!)

最初的攻擊報導顯示,約有650萬LinkedIn使用者密碼被放到了網上,不過還沒有電子郵箱地址可以追溯到具體賬號。這看上去讓人鬆了一口氣,不過又引 出了一大串疑問:駭客把大家的密碼放出來給所有人看,這葫蘆裡究竟賣的是什麼藥?這些密碼一旦公之於眾,誰還會繼續用呢?如果沒有遭到“破解洩漏”的使用者 密碼就安全嗎?

安全專家作了這樣一個驚人的假設:駭客把這些密碼公佈出來,是為了讓公眾幫助他們破解其中一部分密碼。如果使用者密碼不在公佈之列,很有可能意味著使用者的賬 戶已經不安全了。駭客有可能已經暗中掌握了密碼。如果假設成立,駭客沒有公佈電子郵箱地址等個人資訊也就合情合理了。駭客並非沒有得到這些個人資訊,而是 他們將其“雪藏”了,為的是有朝一日能到黑市上賣給犯罪駭客組織。

賽門鐵克專家馬裡安·梅里特(Marian Merritt)稱,有組織的駭客攻擊大多是由犯罪團伙策劃的,意在謀財。其次是“駭客活躍分子”組織所為,比如“匿名(Anonymous)”和 “LulzSec”。這些團伙的主要目標是噁心、揭露、阻遏以及恐嚇他們的攻擊目標,主要與駭客意識形態格格不入的大公司。攻擊LinkedIn的手法跟 LulzSec有相似之處,比如去年夏天索尼公司100萬使用者個人資訊失竊。不過,沒有任何駭客活躍分子聲稱對此事負責,而且這些資料最先公佈在俄羅斯專 注於密碼破解論壇的事實表明,公開密碼只是此番攻擊的副產品,而決不是主要目標。

這些網路騙子拿到密碼想幹什麼呢?資料安全企業Sophos的高階安全顧問切斯特·維斯涅夫斯基(Chester Wisniewski)說,用途很多。對於全世界的駭客來說,大批次洩漏的密碼正好可以拿來更新他們所謂的“彩虹表(rainbow table)”——巨大的資料庫,可作為破解加密密碼的數字鑰匙,稱之為“雜湊(Hash)”。最安全的網站使用另一層密碼加密,稱之為“放鹽 (salting)”,如此一來,同樣是用了“123456”這串密碼,兩個使用者的雜湊是不一樣的。可是LinkedIn沒有這樣做,結果就是同樣的鑰匙 可以解鎖一大批使用同一個密碼串的使用者,此法不僅可以用在LinkedIn上,還可以用在採取同一種雜湊演算法的網站上。(一派和諧的演算法甚至更弱,同樣沒 有“放鹽”。)

如果駭客同時擁有使用者的電子郵箱地址和密碼——多數分析師懷疑他們會這麼做——這些資訊同樣可以直接針對LinkedIn和一派和諧使用者。網路騙子得手之 後,首先要做的是執行軟體,用同樣的電子郵箱地址和密碼組合來登入其他網站,看看是不是可以得到大家的財務或者社交賬號。

LinkedIn賬號上的個人資訊也是某種網路攻擊的理想目標,稱之為“魚叉式網路釣魚(spear phishing)”。前國家安全域性安全分析師馬庫斯·卡雷(Marcus Carey)說,釣魚者的如意算盤是引誘他人下載流氓軟體或者透過傳送貌似正常的郵件讓收件人洩露敏感資訊。馬庫斯如今是網路安全企業快 7(Rapid7)的研究員。這些訊息看上去是老闆或者同事發來的,或者偽裝成一封與使用者業務相關的電子郵件,比如要求報價或者特定服務。由於這類郵件不 像是垃圾郵件,攻擊目標往往會放鬆警惕。

因為魚叉式網路釣魚需要網路罪犯的照看和單獨關注,所以僅會針對高價值目標——比如專家或者企業高管。這些人恰好又是LinkedIn的核心會員。

還有一種釣魚幾乎始終伴隨著類似針對LinkedIn還有一派和諧的攻擊,從某種角度來說,它是最詭計多端的。網路上圖謀不軌者知道,很多人會讀到包括本 文在內的文章,並且會隨之修改密碼。正確的辦法是直接登入LinkedIn或者一派和諧網站去修改。錯誤的做法是點選一封看似來自官方的郵件中的連結,然 後被這個連結帶到一個冒充的官方網站,並且照上面的提示重置密碼。如果駭客在此之前沒有得到密碼,那麼只要使用者老老實實的照著他們設下的圈套輸入密碼,他 們就得逞了。別被騙了。密碼被人偷走就夠鬱悶的了。把密碼親自送上門就更悲摧了。

相關文章