三个月内,你必遭网路勒索 – 十分钟搞懂网路安全

阿茂传简讯给我,说手机被骇,电话簿可能外泄,如果收到他的性爱录影,那是修图的。
 
过去几个星期,我接触了至少四宗网路勒索、诈骗案,其他还有:
  1. 某脸友发文说收到骇客警告,说已入侵电脑,取得性爱录影,不付钱就公开。
  2. 某大公司Instagram帐户被盗。
  3. 我收到恐吓电邮,说已盗取网站资料,必须付款,否则外泄,破坏我公司的形象。朋友的公司也遇到过类似的勒索案。
 
网路勒索和诈骗,就像电脑hard disk坏掉那样,你以为自己不会那么倒霉,偏偏就发生了,你才悔恨怎么没花些许时间做好备份。网路勒索和诈骗越来越猖獗,都是有系统地自动化进行,你我中招是迟早的事。
 
为了方便讨论,我把勒索、诈篇都统称为网路诈骗就好。诈骗能得逞,未必是因为骗徒厉害,而是因为用户疏忽。阿茂受害让我看不过眼,于是我写《讲人话》系列之二,看能不能在十分钟内说明白网路安全,让每个读者都能做好基本防护。
 
内容从两个重点来谈罢了:
  1. 知彼:敌人是谁?
  2. 知己:必须做什么?绝对不能做什么?
 
知己”知彼“,先了解敌人:到底什么是骇客?
 
骇客是对电脑系统认识极深极广的人,拥有专门知识能破解手机、电脑的防护,进入你的系统为所欲为。讲人话:骇客是超级开锁佬。
 
我不会hacking,也不认识骇客,没法具体告诉你为什么在键盘上敲敲打打就能盗取你的资料,总之他们能够做到。但hacking是很考功夫的,比起开锁困难得多。假设我是超级开锁佬,要我花时间、冒风险去开你家的锁,我愿意吗?这就要看你家里究竟有什么宝藏。也许你家里真的藏了很多钞票吧,但此刻我并不认识你,也不知道你家藏了钱,所以我是没有动机贸然对付你的。
 
骇客神秘且“高级”,我内心深处崇拜他们的知识,骇客若要出手,会选择收获丰富的目标,比如大公司的伺服器,费事理会我们这些凡人。骇客把偷到的资料卖给其他骗子,骗子再用资料进行诈骗。依我估计,大家平常遇到的诈骗案背后,黑手多数不是骇客,以骗子为多,
 
案例分析
 
阿茂遇到的诈骗案相当典型,就说已经骇入电脑或手机,知道他看什么色情网站,还装了spyware骑劫摄像头,拍下他的”反应“,若不付钱就公开。本来这样的电邮大可当作垃圾邮件置之不理,恐怖的是骗徒附上了他的密码,表示真的拥有他的资料。这样,阿茂就有理由相信骇客是真的。是吗?
 
也许是,也许不是。阿茂值得骇客费功夫吗?不值得。如果密码是真的,比较有可能是从其他网站泄漏的。骗徒买了这些资料,广发诈骗电邮,然后等着看谁上钩。也就是说,骗徒只掌握了他的密码和电邮,没有其他了。
 
你要怎样避免这些困扰呢?首先,从密码做起。关于密码,你应该已非常熟悉,不必解释太多。它就是你家的锁头,如果你能确实知道你把门锁得牢靠,骗徒就不能恐吓你说曾经进入你的房子。今天首先要谈的,就是怎样上好锁。(阿茂,请你听好好来)
 
”知己“知彼:你的密码有多安全?
 
骇客怎样破解密码?一种方法叫蛮力攻击(brute force attack),用电脑自动生成字串轮流尝试:aaaaaaaa、aaaaaaab、aaaaaaac……
 
越复杂的密码就越安全,这是个很简单的数学题,如果你只用8个英文字母,虽说能有2千亿种组合,以当今电脑的速度,几分钟就破解了。如果你把它加长到至少10字元,含大小字母,含符号和数字,组合之多变成得以兆计,要破解得耗上几十年。那时候阿茂90岁,除了他自己没人有兴趣重温那性爱录影。
 
现在重要的网站如银行等都会逼你使用复杂的密码,但是越复杂的密码也越难记忆,因此,你很可能会把相同的密码用在多个网站。也就是说,你在每一道门用的锁头都是一样的,只要骗徒偷到关键的那把钥匙,全部门都能打开。怎么办呢?
 
马上要做的事:启动“双因素认证” Two Factor Authentication(讲人话:一道门、两把锁)
 
密码是第一把锁,另一把通常是你的手机。感谢银行推动,大家其实都对这操作很熟悉,即是要交易前要先输入传到手机的OTP(One-time Password)。道理很简单,如果骗徒取得你的密码,但没有你的手机,就没法进入帐户。
 
谷歌老早就推出“两把锁”功能,根据报告显示能100%阻绝骇客,但至今却只有一成用户启动罢了。要保护你的帐户,第一件该做的事就是为谷歌、脸书等重要帐户启动“两把锁”。为什么这两个帐户特别重要?因为许多网站都依赖谷歌、脸书登录。到Google -> Settings -> Security、Facebook -> Settings -> Security,找Two Factor Authentication选项,跟着步骤做一次就可以了。
 
这里先提出第一个“绝不教条”:绝对、永远、不能把OTP给任何人。如果你老公传简讯给你,说他掉进海里了,阎罗王说要有OTP才肯放他一马,你就由他去吧,祝他一路走好,准备另觅新欢。
 
律师朋友告诉我最近这个案子,阿某收到“朋友”从脸书来讯,说在购物平台中奖了,但必须介绍阿某加入才能领奖,购物平台会传OTP给阿某确认。阿某一时不疑有他,透露了OTP。原来骗徒盗用阿某的信用卡购物,阿某因而损失几万块钱,而且购物平台和银行都不需负责,因为”有人“输入了正确的OTP。
 
考虑要做的事:千道门、千把锁,请你开始用Google Password
 
这个做法,很多人会嫌麻烦,但这是最理想的,也就是不重复使用密码,让每个帐户的密码都不一样。如此,若你的一个密码被盗,只会影响你的一个帐户。我几乎能肯定你的密码早已泄漏过了,但这不是你的错,是骇客入侵公司的伺服器。你的密码曾经被偷吗?到这里输入你的电邮就知道了 https://www.avast.com/hackcheck。 
 
记得我说骇电脑很费事吗?骇客不愿意花时间破解你的电脑,但很愿意去破解大公司的电脑,因为一次过可以偷百万笔资料,Adobe、Malindo、Dropbox都曾是目标,你的资料就是在这样的情况下泄漏的。(但就算曾经被偷,也不必太惊慌,慢点我再解释为什么。)
 
我大约有百多个各类网路帐户,每个密码都不一样。哇!怎么记得呀?不是非常麻烦吗?其实一点也不麻烦,因为有工具帮你处理。如果你使用Google Chrome,它内建Google Password,每次开新帐户或更换密码,Google Password都会自动建议安全密码,并把它储存起来。
 
以后要登录相关网站时,Google Password也会自动填写。你只要记得你的谷歌帐号的总密码就可以了,其他的交给谷歌处理。Google Password不止能用在Chrome,也能在Android App中自动填写密码
 
Google Password的缺点是只能在Chrome和Android使用,离开了谷歌的环境,你就得手动抄贴。如果你同时也使用其他浏览器如Microsoft Edge,或者苹果手机,Google Password就不那么完美。我使用的是跨平台的LastPass,功能比谷歌更完善些。当然,也还有其他选择。
 
但这样不是把所有鸡蛋放在一个篮子里吗?谷歌内部员工不就知道我所有密码了吗?万一谷歌被骇怎办?简短版答案:不,谷歌内部员工完全无法看到你的密码。如果你要知道为什么,读下一段;如果你怕头痛,可跳过。
 
为什么谷歌内部员工读不到你的密码
 
一般来说,信誉良好的网路公司如谷歌不会原原本本地储存密码。当你储存密码在云端伺服器时,比如abcd*1234吧,它会经过数学运算”加密“(hashing),也许最终变成9876%zxcv,谷歌内部员工最多只能看到9876%zxcv,无法还原为abcd*1234。像Google Password这样的服务储存多个密码,要解密就得用你的总密码为钥匙,总密码又经过hashing,所以内部员工无法盗用你的密码,大可放心。
 
前面说大公司资料库外泄,你的密码被偷也不必太惊慌,就是这个理由。被偷的往往是经过加密的密码,骇客也一样看不到。他要使用就必须解密,如果你使用复杂的密码(比如Google Password自动生成的那些),他也许要花几百年才能成功。话虽如此,若获知密码被盗,最好还是马上更新。
 
回到讲人话的部分
 
密码安全了,接下来就是自卫。要能自卫,先搞懂对手的招数。骇客要入侵你的电脑或帐户,一般上只有几个办法:
  1. 买到你外泄的密码
  2. 骗你透露密码
  3. 骗你安装骇客软件
 
关于第一种情况,你只要做到前述基本的密码功夫,大致安全了,因为骇客很难解密。骇客用不了你加密的密码,就只好骗你透露原有密码。
 
第二种情况,他们一定得通过电邮、简讯等方法联络你,通常内容设计得像正规公司,比如银行吧,你按了他们提供的链接,会去到设计得和原有银行网站一模一样的页面,你若没注意到网址,填入用户名称和密码,他们就偷到了你的登录资料。
 
第三种情况,骇客骗你安装骇客软体。他们在电邮里引发你的好奇心,比如说”这裸照是你吗?“,或者介绍什么好康,你若按了链接安装软件,就很“大镬”了。只要骇客能在你的电脑或手机安装他们的软件,就能为所欲为。但是,若你不安装,骇客基本上是没辙的,如今电脑和手机的保安十分完善,骇客是超级开锁佬,并非万能魔术师,要入侵相当麻烦。
 
所以,来到第二项绝不:绝对、永远、不能通过不明电邮里的链接安装软件,除非你能200%确认寄发者是谁。要安装软件,一定要辨识清楚来源是官网;若在手机,则一定要从Google Play或App Store安装。这当然有例外的情况,如果你的科技常识足够、懂得辨识真伪,还是可以自行判断什么软件能安装。
 
从第二项绝不,可延伸到第三项绝不:绝不安装盗版软件。你有没有想过,究竟谁那么有空提供软件破解版?有那么多”好人“吗?骇客和骗徒会在盗版软件中偷偷加入病毒和其他恶意软体,其害处轻则无端端显示广告,重则盗取电脑资料。
 
总结
 
自保网路安全,只需要做到几个基本重点:
  1. 使用安全密码,启动”两把锁“。
  2. 不重复使用密码,使用Google Password或其他密码服务。
  3. 三个绝不:不透露密码和OTP、不安装不明软件、不用盗版
 
具备了以上常识,不止可保护你不会轻易被骇,也能保你不轻易遭受恐吓。比如说我收到了前述那封恐吓电邮吧,我知道自己的密码十分安全,我也知道不曾安装来历不明的软件,就知道被骇的可能性非常低,不会因惊慌而就范。又以阿茂性爱短片勒索的例子来看,骗子其实拿不出证据,纯粹以言语恐吓罢了。阿茂若确知自己做好安全措施,就不必害怕。
 
总结后的花絮一:怎样保护你的私密录影
 
顺便说说大多人最害怕的,不是银行资料被盗,而是自己最私密的影像外泄。这要保护很容易:不要拍,就没事啦!
 
你保护的不是你的档案,你要保护的是你自己。你的亲密对象,谁知道会不会在分手后变成仇家?好啦,假设你还是要拍,那么请你不要储存在电脑硬碟,而储存在不连线的外挂硬碟。这个硬碟也有遗失或被偷的可能,所以要用加密软件给所有档案上锁。用Zip软体是可以设定密码加密的。
 
绝对不要让这些照片经过网际网路的任何一条电缆,不要存在云端,不要通过电邮或聊天工具传送。虽说加密技术发达,但谁说得准呢?照片从你这端去到另一端,中间不知经过几个伺服器,谁知道中途有谁拦截?(顺便一提,微信没有加密,Telegram的一般聊天也没有。)
 
总结后的花絮二:其他小常识
 
  • 你删掉的档案,其实可以还原。电脑硬碟存资料的办法分”目录“和”内容”两部分,你删档时系统只删目录,内容其实还在影碟上,直到被其他资料覆盖为止。所以,通过深度搜寻是可能还原已删档案的–陈冠希就是这样中招。电脑要卖,硬碟要用完全safe format。
  • 其实你不需要再买防毒软件了,很多年前微软就在视窗内建了基本防毒功能,只要你平常不用盗版,不安装来历不明的软件,是不会轻易中毒的。那么,为什么市面上还有那么多防毒软件在卖呢?和拜神的道理一样,给了香油钱,买个安心罢了。
  • 养成锁屏的习惯:Windows-L。你正在使用电脑,忽然有事需要走开,比如去吃午餐吧,这时候如果有人来操作你的电脑,是门户大开的。离开电脑时,记得同时按下Windows键和L键,便可锁屏,外人就不能乱碰你的东西。
 
 
总结后的花絮三:阿茂后来怎样了
 
阿茂没付钱,因为没钱付;因为知道他没钱,也没朋友肯借钱给他。但大家都劝他不要担心,因为他长那个样子,没有人相信他有机会拍性爱录影,如果骇客发来,那不用说一定是假的。就算是真的,大家也实在不想看。
 
 
 
 
 2020.07刊于访问

1 thought on “三个月内,你必遭网路勒索 – 十分钟搞懂网路安全

欢迎留言讨论