酷应用

一个硅谷实习生竟是顶级黑客？网络安全风险多！

百家作者：硅谷洞察 2017-11-02 03:20:42

硅谷Live / 实地探访 / 热点探秘 / 深度探讨

网络有风险，行走需谨慎。

今天，小探给大家说一个故事。这个故事教育我们，不要轻易小看你身边的实习生 ……

2015 年夏天，硅谷一家知名网络安全公司火眼（FireEye）来了一个实习生 Morgan Culbertson，计算机名校卡内基梅隆大学电子与计算机工程专业，大三。长这样：

（图片来自网络）

20 岁的 Morgan 其实大二时就已经在火眼实习了，他研究了 4 个月的“手机恶意软件”。这次，他到了精英的“高级持续性威胁”团队，专门研究黑客技术。

但同事们并不知道的是，原来 Morgan 还是一位世界顶级的黑客。直到有一天，FBI 把 Morgan 带走了……

原来，Morgan 19 岁时就开发了针对安卓系统的恶意软件 Dendroid。Dendroid 可隐藏在正常软件内而不被防毒软件扫描到，可远程对手机进行短信侦听、通话录音，窃取文件，还能拍照片，甚至能创立对话框来询问用户的账户和密码。在 2014 年的黑市上，一个 Dendroid 卖 300 美元(用比特币交易），可控制 1500 部手机；源代码卖 6.5 万美元，购买者可以据此开发自己的版本……

（Dendroid的界面）

Morgan 被 FBI 盯上的真正原因，其实是他去参加了被美国司法部认定是世界上800多个黑客技术论坛里”讲英语的黑客论坛中最复杂的一个“——Darkode。

在Darkode里，黑客要通过“事实”来建立“信誉”，以赢得相应的黑市权限。后来，联邦调查局在2015年与澳大利亚，巴西，哥伦比亚，芬兰，德国，尼日利亚等多国联合执法，围剿了这一黑客论坛暨网络黑市。这位看起来乖巧、聪明的硅谷实习生 Morgan 和其他 60 多名黑客一起被逮捕了.....

你看，手机短信、通话录音被监听，文件被窃取，还不能被杀毒软件扫到，并不是什么难事，一个大三的实习生就能办到。更别提普通人花上 2000 块就可以买到这种软件，按一个软件可控制 1500 部手机来算，坏人黑掉一部手机的成本大概是一块三毛 rmb！

到底网络有什么风险？怎么躲避风险？小探今天给你整理了一把！

1. 泄漏密码？美国司法部都曾栽过

你可能曾经遇到有人冒充网游管理员跟你要密码，或者冒充朋友在QQ上跟你借钱，你给吗？傻子都知道不要给，但是，偏偏美国司法部栽在这里了。所以说，小心使得万年船啊……

2016 年 2 月，某黑客拿到了美国司法部的一个 email 地址和密码，然后打电话称自己是新来的员工，不知道怎么登录内网。司法部的人问他有没有秘钥码（一种类似U盘的硬件秘钥），黑客说没有。然后司法部的人大方地告诉黑客，“你用我的秘钥码吧”。。。

就这样，这个黑客接触到了约1T的内部数据，并在有限的时间内，下载了200G的敏感信息，这黑客还在推特上公布了2万名联邦调查局员工和9千名国土安全局员工的个人信息，包括姓名、电话、电子邮件、工作描述……

图片来自网络（黑客的Twitter账户已被封）

这种攻击方式正好利用了内部人员的失误，业界称之为“Social Engineering”，很多企业、机构和个人都中过此招，变招很多，要是遇到假冒身份的，还请多加留意啊！

2. 密码设置，别再12345了

就算你不给别人密码，黑客也有可能破解你的密码？为啥？还不是因为你的so easy吗！

密码安全公司 Keeper 曾整理了1000多万个在2016年被破解的全世界网络人民都常用的密码，发现17%的账户用了“123456”做密码。看看下面这些密码，你中招没：

划重点：密码要够长，多种字符，别用单词，要定期更换，还要好记。不要所有账户都用一个密码，也别告诉别人！比如小探的密码是 1712JFD180jin!!，你猜是什么意思？

黑客是怎么破解密码的？方法有很多，比如密码字典破解，“撞库”，和暴力破解等。“撞库”是指黑客用已掌握的账户名和密码组合去别的平台“撞”，看哪些登录可以成功。所以啊，请尽量不要重复使用账户名和密码了！

3. 防毒 = 在病毒里裸奔

防毒软件总是在新病毒出现后才有马后炮似的更新，然而没有它，就像让电脑在千千万万已知的恶意软件和网络攻击里裸奔，像这样：

（小探编译制作）

虽说，防毒软件也不一定很有用，毕竟你要时不时查毒、杀毒，甚至有时也会被劫持，但是基本的防御措施，怎么也得有一个。

说说你们都用了啥好用的杀毒软件不？

4. 严防钓鱼网站和邮件，别乱点！

在美国的朋友们应该都知道，美国很很狠著名的征信公司Equifax前阵子被黑了，1.4亿用户的姓名和社保号被泄露（要知道，美国人口总共才3.2亿啊……）。

事情发生后，Equifax 赶紧建立了一个网站与用户沟通，网址是：www.equifaxsecurity2017.com。但是！黑客也建了一个钓鱼网站，网址www.securityequifax2017.com。很相似是不是？小探第一眼差点没认出来。。。

更让人哭笑不得的是，Equifax 公司的官方推特号，竟然连续两周向公众推送了黑客的钓鱼网站！(Equifax 管理官推的小编饭碗保住了吗？)

（Equifax 在推特向粉丝推送钓鱼网站）

因为钓鱼式攻击有多种形式。比如一个假的银行网页，网址和网页设计都跟真的很相近，诱骗你输入自己的网银账号、密码、短信验证码...或者一个来历不明的网站诱你下载视频。所以，请不要点击来历不明或可疑的网站、链接、邮件。

5. 短信有可能被侦听！

相信大家已经习惯网购时发来的各种短信验证码了，但你知道吗？你的短信验证码也可能会被监听！没错，那个硅谷实习生开发的黑客软件Dendroid 就可以做到。

别以为这只会发生在国外噢，最近国内媒体就报道，赵女士无端收到一条支付码验证短信，没理会，然后信用卡就通过网络支付平台就被盗刷了。好在风控部门发现可疑行为打电话询问，才避免了第二笔盗刷的的损失。

像这种可以侦听短信的恶意软件，其实网上还有很多。

（截图：能够监听任何移动电话的软件！）

比如有技术的黑客开发了恶意软件，免费公开到网上，或是像上文提到的Dendroid似的公开售卖。任何人只要有了这些恶意软件，用些钓鱼网站或邮件诱骗你下载，就可以控制你的手机。所以，在收到莫名的验证短信时，不要马上删除，而要多想几种可能。如果可行，请尽量选用那种硬件的二次验证。

你可能好奇，Morgan 这位黑客实习生后来怎样了？受审后，法官念其初犯和认错态度较好，Morgan 被判3年假释（probation）和300个小时的社区服务，当然，他也从卡内基梅隆大学转去某社区大学了。。。

小探今天介绍了五种重要的网络安全技巧，分别是：设置好复杂的密码，别乱透露密码，别乱点网址，要用好二次验证！那么，上网的你曾被黑过吗？怎么黑的？欢迎留言讨论。

想和探长聊一聊？来加探长个人微信号 svinsight