北晚新视觉 > 人文 > 人文

一张照片暴露信息、3.3秒解析密码:个人信息就这样被泄露了

2018-09-03 08:49 编辑:TF2018 来源:北京晚报

研究员试着给受害电脑发送了一封加密邮件。在电脑打开邮件的过程中,后台进行了解密操作。研究人员穿过了15厘米厚的墙壁,捕获了66次解密过程,仅仅用了3.3秒就最终得到了密钥。

作者:蔡文清


来源:新华社

诈骗电话是怎么进行伪装的

山东女孩徐玉玉遭遇诈骗电话后不幸身亡,引发过社会的广泛关注。有一部叫做《巨额来电》的电影曾批露过电信诈骗的内幕,让人想不到的是,诈骗电话的背后居然有着一整套分工,每个流程的实施者也都有着相应的称呼——菜商、卡头、话务员、车手、水房等。菜商出售公民信息;卡头办理用于转账的银行卡;话务员一般分为一线话务员和二线话务员,在这条拨打诈骗电话的流水线上,前者负责开场,后者紧跟收网;车手负责集中提取账款;水房负责洗钱……其中,菜商出售公民信息的实施整个诈骗行为的第一步。

当你的个人信息被骗子拿到后,这样的电话就来了:“喂,您好,这里是社保局,您办理的社保卡涉及多家医院骗保,社保局现将冻结您的医保卡账号……”“喂,您好,我是公安局刑侦支队民警,由于您的身份信息泄露,其名下银行卡涉及洗钱等犯罪活动……”

有受骗事主称,在接到一自称法院公证室的男子电话后,被以缴纳财产公证保全、缴纳无犯罪保证金、办理加急结案手续费等理由为名先后被骗200余万元。事主回忆称,一开始还很警觉,但仔细看手机上显示电话号码后,警惕就逐渐放松了:“骗子打来的电话就是社保局、公安、法院的电话号码啊。”

在这样的电信诈骗链条中,骗子要使用到的工具是改号软件。网络安全极客——《一本黑》作者东东做了一个实验:在网络通过关键词很容易就找到了贩卖改号软件的,120元买了软件,开户后里面竟然还有30元话费可以用。东东尝试了一下,通过这种软件可以将手机号修改成任意的11位号码,拨打这种电话的费用也只有每分钟0.95元。

为什么拨打出去的电话可以修改为任意的号码?东东说,改号软件其实就是一种网络电话,在通讯的过程中,有人人为地把其中的数据进行了修改,而来电显示就相当于一个数据包,这些数据都是可以被修改的。

实际上,这种改号软件主要是通过一个中间IP平台或者转换器来实现的,也就是说这个电话在打出去的时候并不是点对点式直拨电话来实现的,中间存在一个“传话人”,而这个传话人才有修改号码的权限。这种非法的改号技术运营商根本无法识别,所以也就不能对这种被改过的号码进行拦截或屏蔽。

针对这种经过改号软件修改号码的来电该如何辨别呢?东东说,最简单的方式就是回拨。假如对方的来电是通过改号软件修改过的,只要按照显示的号码回拨过去,对方是无法接听的。

一张照片也会暴露所有信息

前段时间引爆网络的“占座男”事件让人们领略了人肉搜索的威力,如今人肉搜索已经不新鲜了,取而代之的是人脸搜索。

极客“我堂堂一个熊猫”说,现在有一种搜索引擎,放上一张你的照片,就可以找到所有你发布过照片的社交媒体账号。如一家新加坡企业就推出了一款基于人脸识别的情报搜索工具,只要输入一张人脸照片和姓名,就能找到领英、推特、脸书、Google+、Instagram、微博、豆瓣等等数个社交媒体上的用户主页。这个软件还会综合这些社交媒体内容出具报告,报告中会包含性别、年龄、所在地、电子邮箱等等很多个人信息。还有一种App更为可怕,只需一张照片,就可以获知面孔主人在公开互联网上的所有信息。除了这两款,Facebook的DeepFace目前也已经能实现将人脸图片和社交网站用户精准匹配。总之人脸搜索并不是幻想,而是真真切切发生于我们身边。

“我堂堂一个熊猫”说,人脸搜索所带来的危害不仅仅是隐私暴露,隐私的暴露往往只是开端,真正的影响,来自人脸搜索这种人力无法完成的事情变得轻而易举之后,所产生的蝴蝶效应。比如当犯罪分子进行诈骗时,很可能偷偷拍下一张目标受害者的照片,然后进行人脸搜索,从而在微博、豆瓣上获知一些隐私信息,以此博得受害者的信任,来伪装很久没有联系过的老熟人。而在受害者的概念里,自己的微博、豆瓣上并没有很多粉丝,所以这些社交网站中透露信息的一定是足够安全的,所以能获知这些信息的肯定是亲朋好友。

曾经有过这样的案例:骗子通过获取父母朋友圈的晒娃照片,假称将孩子绑架,发给不善于使用社交媒体的爷爷奶奶来勒索赎金。而现在,不法分子利用这些人脸搜索软件所获得的信息,这种骗术将更具欺骗性。

如何应对这种人脸搜索?“我堂堂一个熊猫”说,首先要提升网络安全意识,明白一张照片可能会让屏幕另一端的陌生人发现你的真实身份,别随便就发自拍。同时社交媒体网站也有责任提醒用户,个人照片的发布有可能存在被人脸搜索的风险。此外,也可以从技术手段进行防范,例如社交媒体可以设置权限,防止人脸图像被第三方爬虫抓取;同时也可以利用神经迁移算法对照片进行一些处理,只要进行一些像素点上的轻微改变,就可以在不影响人眼效果的前提下“骗过”AI算法。

另外,有些软件对恶意的人脸搜索提前进行了预防,比如前面提到过的Facebook的DeepFace,如果有照片被他人上传时就会对用户进行提醒,用户可以选择申诉侵犯隐私删除照片,或是为自己的面孔打码,某种程度上讲,这也是算是保护自己隐私,逆向人脸搜索了。

网络密码怎么轻易被破解了

互联网时代,账号相当于一道门,而密码就是钥匙。现实生活中,大多数人不管是QQ、微信、还是电商平台都是使用的同一个密码,这也就导致了只要知道你其中的一个密码,那么你其他平台的密码也就形同虚设。

网络安全极客东东说了这样一件事:小李接到声称是一家电商平台客服的电话,说其购买的产品有质量问题,为不影响其购物体验,平台已为其办理了退款手续,并愿进行三倍的价格做出赔付,还发给小李一个赔付链接。小李开始挺警惕,觉得可能是诈骗电话,但电话那头的“客服”却不急不躁:“先生,我们已经为您办理了退款手续,您可以登陆自己平台的账号进行查看,平台已经为您上传了赔付入口,只要点击申请即可获得我们平台的三倍赔付。”小李带着疑惑登陆了自己的平台账号,果真在订单的页面看到了“退款中”三个字。并在自己的收货地址处看到了“客服”所说了赔付入口。于是彻底打消了疑虑的小李按照“客服”的指示进入所谓的“赔付入口”,输入自己的各种账号密码,最终帐号被盗刷。

所谓的“客服”到底是如何成功钓到小李的敏感信息的呢?东东说,在黑客技术里有两个专有词汇--“拖库”和“撞库”。黑客用技术手段入侵一个防护性能比较低的网站或平台,取得大量用户的账号和密码的行为,就叫做“拖裤”。然后拿这些账号和密码到其他网站,例如支付宝、QQ、微信、淘宝进行批量尝试登陆的行为,就叫做“撞库”。 撞库时,只要匹配成功,那黑客就可以拿这些账号数据贩卖给诈骗团伙,然后对账号的主人进行精准诈骗。这是黑客窃取个人信息最常用的手法之一,只要拿到一批可以登陆的用户账号和密码,就可以盗取更多的个人信息。

东东说,对那些总爱使用同样密码的人来说,黑客只要知道你其中的一个密码,那么你的其他平台也就大门顿开了。

有时登录一个账号,光有手机号码还不够,还需要验证码,东东说,有的平台针对验证码没有做防护策略,即验证码没有时效性,可以一直的重复输入。黑客就可以通过类似“枚举”的方式把验证码“猜”出来,加上该平台的验证码只有四位数,这就大大降低了“猜测”的难度。在拿到验证码以后,黑客就可以登入受害者的账号,从而实施诈骗。

有没有办法来破解这些黑操作?东东说,可以在各大平台发布“蜜罐”。这是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析。然后整合大数据,对诈骗团队的手法、技术、团队进行分析,并查找信息泄露的源头,当平台发生内鬼窃取数据的时候会做出应急响应,将威胁情报反馈给平台的安全防护端,从信息泄露的源头上进行防范。同时对已知的诈骗团伙和可疑的网络电话进行监控,如果发现某平台的用户正在遭遇电话诈骗,第一时间向该平台发出通知,并且提供被诈骗用户的联系方式,促使平台第一时间通告用户。在此基础上帮助平台寻找数据泄露点,及时修复漏洞。并向公安机关提供破案线索。

没有联网电脑竟然也被黑了

一直以来,拿到一台电脑上的密钥方法无非有以下三种:一是直接拿到这台电脑,然后输入木马病毒进行盗取;二是通过互联网入侵目标电脑,远程安装木马病毒窃取密钥。这是大多数黑客都会采用的方法;三是如果目标电脑不联网,则需要通过能够接触到互联网的介质,如U盘等,把病毒摆渡进目标电脑。其中后一种技术难度很高,貌似只有美国攻击伊朗核电站等少数几个成功案例。而现在,随着一种黑科技的诞生,宣告即使普通人一台根本不联网的电脑,也没有秘密可言了。

以色列的“白帽子黑客”(安全研究员)研究出了一种高能的玩法,只需要在你的隔壁放一个大号“听诊器”,根据你电脑工作时散发出的电磁波,就可以捕捉到你的密码信息。

这种攻击方法的特殊之处在于:速度奇快,只需几秒,密钥到手;根本不涉及密码破译,而是直接捕捉密码明文。所谓隔墙有耳,探囊取物;不需要电脑联网,也不需要接触“受害电脑”。

更可怕的是,做出这个设备,只需要3000美金的成本,它就可以精确地捕捉周围电脑工作时的电磁波,并且放大分析。

研究员试着给受害电脑发送了一封加密邮件。在电脑打开邮件的过程中,后台进行了解密操作。而正是这短短几秒的解密过程,散发出的电磁波里携带了“秘密”。窃听器分析这几秒钟的电磁波之后发现,每当出现窄频信号的时候,就标志着解密了一段密码。把这些窄频信号放在一起进行解析之后,密文信息就这样轻松地“流淌”了出来。研究人员穿过了15厘米厚的墙壁,捕获了66次解密过程,仅仅用了3.3秒就最终得到了密钥。

如果这种技术将来被黑客利用,细思极恐。网络极客东东说,互联网时代的到来使我们每个人都处于信息的洪流之中,这其中就藏着一双双狡诈的眼睛,他们随时盯着你的一举一动,看准时机便伸出罪恶之爪。你不经意泄露的每条信息,都可能成为他们的目标,这些信息收集起来,就能对你进行完整的画像,为你定制专属骗局,试图榨干你身上的每一丝价值。在此大背景下,我们必须加强网络安全意识,一点一点加以防范,努力填补自己信息使用方面的漏洞,才有可能安全自保。

(原标题:看看这些“陷阱” 你能否一一识破?)

来源:北京晚报

编辑:TF2018

相关阅读

北晚新视觉网版权与免责声明:

一、凡本站中注明“来源:北晚新视觉网或北京晚报”的所有文字、图片和音视频,版权均属北晚新视觉网所有,转载时必须注明“来源:北晚新视觉网”,并附上原文链接。

二、凡来源非北晚新视觉网或北京晚报的新闻(作品)只代表本网传播该消息,并不代表赞同其观点。

如因作品内容、版权和其它问题需要同本网联系的,请在见网后30日内进行,联系邮箱:takefoto@vip.sina.com。