相比制作恶意软件,网络钓鱼操作简单,相对便宜,且不会留下可追踪的线索。当网络钓鱼和恶意软件结合,如诈骗电子邮件及其附件,黑客得以通过用户本身控制用户的电脑。
用户是网络钓鱼中最薄弱的环节,用户期望依靠科技公司避免风险,但科技公司无法提供可靠的更新来改变或阻止用户行为。作者建议用户了解电脑及网络钓鱼的机制,启用双重验证、避免重复密码、采用密码管理器等措施,避免成为攻击目标。
1973年的经典盗窃题材电影《骗中骗》中,大萧条背景下,罗伯特·雷德福德和保罗·纽曼扮演的两个骗子为了诈骗一个腐败的银行家,在芝加哥的某个地下室中打造了一个虚拟的世界:他们建了一个场外博彩室,雇了演员,为了使现场更加可信,甚至还招募了假的执法人员来假装进行突击搜查。
这部电影之所以令人难忘,是因为它是同类型电影中最好的作品之一,剧本妙趣横生,同时也因为两个角色的伪装工作做得非常细致。
但之后,骗局都变了,无论是长线还是短线。在这个时代,网上的钓鱼网站就相当于《骗中骗》的情况:一个存在于网络上的虚假现实,用来获取登录信息和密码、银行账号等珍贵信息,以及现代生活中其他有用的秘密。
这些网站的建造过程并不在我们的视线范围内,但就像《骗中骗》的博彩室一样,这些骗局的每个细节都完美无缺,或是在最后一刻完美地契合在一起。
这可能是定义网络钓鱼的最佳方式:一套针对你的设计,用来骗取你的信息;有可能是由骗子设计的,也有可能是由意图实施干预的政府工作(或与之合作)的间谍或代理设计的,这比戴着草帽、得意笑着的保罗·纽曼更加险恶。
但也许它看起来并非如此险恶,因为网络钓鱼是非常容易成功的:十分简单,相对便宜,可以说,要是哪个国家还没有把钓鱼作为其间谍战略的一部分,都可以炒了它的情报机构。
计算机安全通常针对恶意软件:攻击计算机程序错误以控制计算机,并将控制权交给其他人的软件。
恶意软件是复杂的软件,它可以悄悄地接管一台电脑而不被发现,它可以做任何事情,从复制你键入的每一个字母,到观看你打开的每一页,到打开相机和麦克风并录制你的视频,再到加密你的硬盘并就你计算机上的内容对你进行勒索。
但是全新的恶意软件是很难写的,再加上要发现或购买一个供恶意软件秘密进入电脑的安全漏洞,这得雇些天才程序员花上好一段时间才行。这会昂贵到肉疼,且往往会留下线索,让人能够追溯到恶意软件的作者。
网络钓鱼不攻击计算机,而是攻击使用计算机的人。
一个暑期实习生仅仅在几个星期内就能成功建立一个有效的钓鱼网站。如果你想做一个钓鱼网站,可以从保存浏览器中的完整网页着手,该操作将为你提供图片、文本和代码,正是这些元素构建了你现在正在阅读的网页。
如果本文包含帐户登录名,你可以将其放在你控制的服务器上,也可以注册另一个域,如http://tehatlantic.com。如果你能够诱使某人在tehatlantic.com上使用他们在TheAtlantic.com上的用户名和密码,那么你就能获得这些信息。
这种网络钓鱼最初主要是一种面向大众的财产偷窃计划。MicrosoftResearch的首席研究员科马克·赫利说:“网络钓鱼已经改变了很多。大约十年前,他们普遍会使图盗取银行账户、PayPal、eBay的密码。我认为这一威胁基本上已经被消除:垃圾邮件过滤器如今更善于发现威胁;浏览器内置了警告机制;银行已经增强了对欺诈行为的监管。”
但上述模式并为针对特定目标。而诱使某人在电子邮件或其他地方点击一个钓鱼链接则是有针对性的攻击,也被称为鱼叉式网络钓鱼:了解某人的生活和习惯,知道什么样的电子邮件会让他们不假思索地点击。
为一个人或一种人建立现实。骗局开始了,布景建好了,演员雇好了,这些都通过网络浏览器完成。
2016年初,奥地利航空零部件制造商FACC的电子邮件服务器上收到一封钓鱼邮件,请求紧急付款,这是所谓的“假总裁”骗局的一部分。“假总裁”骗局中,通常有一位权威人士发出紧急信息,称需要AP立即将资金汇入某境外账户。
FACC收到电子邮件之后操作了该次电汇,该公司损失了4,000多万欧元,并解雇了CEO。
2016年,希拉里·克林顿竞选团队主席约翰·波德斯塔受到鱼叉式网络钓鱼攻击,该事件十分有名:他收到了一封电子邮件,称有人试图在乌克兰登录他的Gmail账户。
2018年末,Microsoft发现并关闭了六个域名,Microsoft认为这些域名是由一个被称为俄罗斯陆军主要情报局,或格鲁乌(GRU)的组织创建的,其目标是保守党的智库(美国国际共和学会和哈德逊研究所)和美国参议院。
我们目前还不清楚这些钓鱼网站到底是什么样子,也不知道它们是如何工作的。据Microsoft所知,还没有人受到这些网站攻击,但他们也不知道还有多少人会被鱼叉式钓鱼电子邮件或虚假电话诱骗,点击恶意链接。
赫利研究了网络钓鱼经济学以及安全建议的有效性,说道:“直至今日,网络钓鱼中真正的问题是……针对证书的鱼叉式网络钓鱼。这仍然是其在企业网络中站稳脚跟的一个非常成功的媒介,虽然只是少数,但很难被发现。”
在政治和工业间谍事件中,每一个潜在的受害者都值得研究和了解,来为他们的私人定制骗局建造一个合适的场景。
网络钓鱼和恶意软件并不是唯一的选择。将网络钓鱼与恶意软件相结合是最有效的方法,通常是以精心制作的电子邮件形式,且附件中往往含有一份重要的、紧急的文档。
但这不是一份文件,或者说不仅仅是一份文件。这是一个恶意软件,当你点击附件时,你告诉你的电脑你想安装这个软件,但你实际上并不知道这是软件。
电脑服从了你的指令,并通过这样的操作无形中把自己交给了发给你软件的人。这种方法通过你来控制你的电脑,曾被用来对付全世界的记者和活动家,可能还有很多其他人,但我们知道的只有记者和活动家。
更可怕的是,在大多数情况下,一个像样的假网站使攻击者无需昂贵且可检测的恶意软件,就能得到他们需要的任何东西。
你只是点击了一个链接,输入了用户名和密码,也许页面会显示一个错误,其中包含指向真正网站的链接,但这只是网络生活中的一个小插曲,一会儿就被忘记了。想到这可能就会使人感到不知所措。
你理所当然地认为应当有人来解决这个问题,而你所说的“人”指的是科技公司。
Microsoft、Google或任何一家科技公司最多只能尝试检测恶意软件和网络钓鱼网站,并阻止它们与互联网对话——堵塞通往场外博彩地下室的大门。
这被称为“黑洞”,但因为在互联网上建一百座地下室并不比建一座难多少,所以把解决问题的任务抛给科技公司也行不通。用户是网络钓鱼中最薄弱的环节,科技公司无法提供可靠的更新来改变或阻止用户行为。
赫利说:“我们确实在技术修复方面进行了大量投入,比如更好的威胁检测、更好的网络保护、进行了例如AccountGuard项目和捍卫民主项目等的努力,以及鼓励对高价值账户进行双因素认证。
但也含有教育成分;我们希望实施保护,让用户不再发起技术支持请求,但这样又是行不通。”
AccountGuard和捍卫民主项目是Microsoft针对其最脆弱的(和政治性的)客户提供的产品,但即便如此,大多数服务仍包括推荐、最佳实践、网络研讨会和通知:试图修补用户方面的漏洞。
许多安全专业人士和媒体的建议告诫人们要时刻保持警惕,注意每一个细节。这是个糟糕的建议。我是一个专业人士,在这个领域有多年的经验,我不会费心仔细检查我的电子邮件或仔细阅读我的所有网址:我有其他正事要做。
作为一种在现代电子邮件中应对持续攻击的策略,这种方法已经失败了,即使是用来应对过去10年中那种业余的大规模网络钓鱼攻击也是不够的。
鱼叉式网络钓鱼,特别是政治鱼叉式网络钓鱼,更难被防范、捕捉。安全建议前后不一,其想法很难实施,没有意义,也不起作用,导致了灾难,但安全和IT部门的愤怒程度堪比复兴主义传教士,对人们大喊大叫。这令人疲惫不堪。
根据你所使用的电脑的工作原理养成一些好习惯相对容易,比无谓偏执更有效。
尽可能在使用的网站上启用双重身份验证,包括诸如RSA令牌、Yubikeys、GoogleAuthenticator和SMS验证码之类的东西,它们能够创建登录所需的密码和用户名以外的内容,如果你的用户名和密码被盗或遭到泄露,它们能够保证攻击者仍然无法接管您的帐户。
进行应用软件更新。或者,更佳做法是,赫利建议让你的电脑为你做这件事。“我想鼓励大家使用自动更新……一旦发现问题,我们就投入巨资(修复)。你会希望Microsoft的所有善举都是有效的。”
设置需要用户方最少操作的常规备份。赫利说,“你不必担心勒索软件(或盗窃,或磁盘崩溃)……你总能拿回你的东西。使用长、复杂且独特的密码,但也不要给自己造成困扰。赫利说:“把密码写下来,或使用密码管理器。”
我强烈建议使用密码管理器,但并不只是为了安全。密码管理器操作简单,可以在你以前使用过的站点上自动填写密码,很省力。
你现在使用的浏览器或操作系统中很可能内置了一个密码管理系统,但是如果你想更加优雅地进行密码管理,你可以使用一个在线密码管理系统,在不同设备之间进行同步。
不要重复使用同样的密码,如果重复了,马上去网站上更改你的密码。这会带来一两个小时的痛苦,但只有一次。你自己不太可能把你的密码泄露到互联网上,但是你使用的网站在某个时候肯定会泄露你的密码。
你会收到一些链接,指向你拥有注册账户的网站,不要点击,你有自己的书签和浏览器历史记录,这些链接肯定会跳转到正确的网站。如果你收到一封来自银行或智库雇主的电子邮件,请用你的网络浏览器登录。你无论如何都会走到这一步,所以不如点击你自己的链接。
要改变下面这个习惯需要一些努力,但这种操作最能保护你免受恶意软件的攻击:不要在你自己的电脑上打开电子邮件的附件。让人们把文件放在一个文件柜网站上,比如Dropbox,然后在一个远程服务中打开文档,比如Google文档,让它变成别的IT部门的问题。
不要试图做到完美,只需要试着把自己变成对骗子来说过于昂贵的行骗目标。让他们付出足够努力,你就不值得他们费心了。现在,大多数计算机用户,不管是政治顾问、CEO、科学家还是研究人员,都不太难被欺骗。
了解了所有这些,那些网络钓鱼活动的新闻就呈现了不同的基调。与其问:“为什么有俄罗斯相关团体对美国的政治开展网络钓鱼?”不如问:“为什么没有更多的政府对美国公司和机构进行网络钓鱼?”
也许他们正在这么做,只是我们没有注意到。不管是什么原因,人们需要谈谈网络钓鱼问题了,就像他们需要更新他们的软件一样。因为努力理解复杂的现象,是人类随着时间的推移而进行自我更新的方式,我们也以此方式,使黑客攻击人类的代价和难度堪比攻击计算机。