前言
作为一个快毕业的菜狗,最近在给学校社区新人做入门培训的PPT。群里问了一圈,大部分同学对如何保护个人隐私这个话题比较感兴趣。于是,我通过分享一些和隐私相关的安全事件,去让更多对安全感兴趣的同学,知道隐私保护的重要性。
我们生活在个人信息泛滥的网络时代下,这就使得"灰黑人员"可以轻松这些隐私信息,并利用它们来谋取利益。隐私泄露在任何时间、任何地点都存在。因此,隐私保护就像一场漫长的马拉松,对每个人来说都是一场漫长的"持久战"。
隐私
说到隐私保护,我们要明白个人隐私泄露会造成什么样的危害及怎么去保护我们的个人隐私。常见的个人隐私泄露,就是网上人们常说的"开盒"和身份欺骗,更深层次的隐私泄露就是攻防演练当中的"弱口令"和溯源。但是你会发现我们一旦开始注意隐私的保护后,也会出现一些让我们感到头疼的事情,这些我们放在后面说,我们需要先对这些名词有一些概念。
- 什么是个人隐私?答:是指公民个人生活中不愿为他人(一定范围以外的人)公开或知悉的秘密,且这一秘密与其他人及社会利益无关。判断信息是否属于个人隐私核心就在于,公民本人是否愿意他人知晓,以及该信息是否与他人及社会利益相关(列如:姓名、身份证号码、家庭地址、电话号码、电子邮件地址、社交媒体账号、银行账户信息、个人爱好.......)。
- 什么是身份欺骗?答:身份欺骗是指一个人故意伪装成另一个人或冒用他人的身份,以获取不法利益或进行欺诈行为的行为。这种行为通常涉及伪造身份文件、盗用他人的个人信息、冒用他人的身份进行交易或行为等手段。
- 什么是隐私保护?答:隐私保护是指保护个人的个人信息和私密信息不被未经授权的个人、组织或机构获取、使用或泄露的一种措施和原则。隐私保护是一种基本的人权,旨在确保个人对其个人生活和信息的控制权,以及维护个人的尊严、自由和安全。隐私保护涉及到个人信息的收集、存储、处理和传输等方面。
危害
我们先来讲讲大家都知道的身份欺骗,这个名词说白了就是我们常说的诈骗。身份欺骗可以有多种形式。其中最常见的形式是利用他人的个人信息,例如:姓名、身份证号码、声音和相貌等,以冒充他人进行欺骗活动;另一种形式是伪造他人身份文件,例如:假造身份证、驾驶证、公检法人员的执法证件等,进行非法活动;此外,还有一些更高级的手段,例如:社会工程学(即通过与个人交流、获取信息、建立信任关系等方式),获取攻击目标的敏感信息,以进行欺骗或攻击。
生活当中最常见的案例是,2022年2月,江西省某市受害人洪某某下载了一款名为“京东.J. R”的仿冒App,受到“额度高”“利息低”等表述诱导,注册账户并申请贷款。平台谎称其账号异常,需转账到所谓的“银保监会账户”进行验证,洪某某先后多次转账,合计被骗5万元。但是我们换一个角度,在攻防演练时期,们通过社会工程学(社会工程学)去诱导运维人员下载恶意的APP,也是一种不错的思路。但是通常大家都软件需要升级为名,给运维人员发送一个补丁,然后扔出一个祖传火绒的"白加黑"DLL,大功告成。
接下来我们讲一讲攻防演练当中的弱口令和溯源问题。弱口令大家都知道,但是我要说的弱口令可不是这么简单。
众所周知,现在的安全软件设置密码都需要大小写、数字、特殊字符混合,才可以注册成功。相比于传统的弱口令(例如:admin、123456、1qaz2wsx......)企业出现的弱口令,常常是和隐私信息相关的,比如"@"字符和企业大小写会经常出现于运维人员设置的密码当中,这个时候其他密码片段就极有可能是由运维人员的隐私信息构成的。如果我们知道运维人员泄露的个人隐私和爱好,我们就可以轻松获得密码和提示词(如下图所示)。
攻击者通常会使用如下方法,对目标企业进行身份欺骗攻击(他们通常会使用OSNIT工具,不间断的对企业人员泄露的信息进行收集和整理。这个过程一般会持续相当长一段时间),通常攻击者都会收到不错的反馈效果。
例如:2021年4月,安全研究人员发现了一种商业电子邮件泄露(BEC)的钓鱼攻击,它会诱骗攻击目标在其设备上安装恶意代码。 攻击目标首先会收到一封空白电子邮件,其主题行涉及"某行业内幕"。该电子邮件包含一个看起来像 Excel 电子表格文件 (.xlsx) 的附件。实际上“电子表格”其实是一个伪装的.html文件。 攻击目标继续打开(伪装的).html文件后,将会被定向到包含恶意代码的网站。该代码会触发弹出知,告诉用户他们已从Microsoft 365注销,并邀请他们重新输入登录凭据。最后攻击者通过这种方式获取了攻击目标的Microsoft 365密码,成功登录微软邮箱。
- 网络钓鱼:网络钓鱼电子邮件会诱骗个人隐私信息,例如密码、信用卡号等。该网站看起来具有欺性,一旦输入个人信息,攻击者就可以利用这些信息来对目标进行攻击。
- 社会工程:红队人员或者攻击者会利用人们泄露个人隐私信息,诱骗该人提供密码或其他敏感信息。
- 数据泄露:当网络犯罪分子未经授权访问计算机或移动设备并随后利用安全漏洞时,就会发生数据泄露。然后,这种访问会提供个人信息供犯罪分子利用。
- 恶意软件:恶意软件是网络犯罪分子在用户不知情或未经用户同意的情况下安装在计算机或手机上的恶意软件。它可以窃取个人信息,例如:密码、信用卡号、身份证号和银行信息。
接下来我们讲一讲溯源,这是在攻防演练当中一个红队成员攻击成功后,因自己的疏忽泄露个人信息,导致自己被成功"捕获"的故事。该红队成员利用社会工程学技巧伪造正常邮件内容,绕过邮件网关的查杀,成功投递到目标邮箱,诱骗用户点击邮件链接或下载附件文件。我们通过查看邮件原文,获取发送方钓鱼网站域名或恶意附件样本等信息。接着我们利用相关联的域名/IP进行追踪后,再对钓鱼网站进行反向渗透获取权限,进一步收集攻击者信息,最后通过对邮件恶意附件进行分析,利用威胁情报数据平台寻找同源样本获取信息,进一步对攻击者的画像进行勾勒,成功溯源。这个时候如果攻击者使用"一次性域名"(注册域名的邮箱地址同样也属于个人隐私),那么我们的溯源将会变得非常困难。
防护
隐私保护对于个人和企业来说是非常重要的。下面是一些关于隐私保护的,通过这些措施可以一定程度缓解个人和企业被身份欺骗的频率,与此同时溯源工作也将变得困难:
(1) (个人)对于重要的网站和APP,密码一定要设置独立且不容易被猜测到。普通网站为了便于记忆可以使用简单有规律的密码,但如果你记忆力好的话,建议每个密码都不一样。也可以考虑使用密码管理软件如1Password来帮助记忆密码。
(2) (个人)不随意透露身份证号码、银行账户等敏感信息,定期检查自己的账户和信用报告。
(3) (个人)在陌生网络中,访问https网站是相对可靠的,但前提是要足够警惕浏览器是否出现任何异常情况。不要在陌生的电脑上输入密码等敏感信息,如果必须使用,输入完后要清除记录。在浏览器上输入密码时,记得使用隐身模式。
(4) (个人)对于不太可信的软件,如果你使用虚拟机,可以安装在虚拟机中,推荐使用VMwareWorkstation Pro。支持正规渠道下载软件,包括Windows、Office等,因为盗版和破解的软件很难保证没有安全问题。
(5) (个人)手机锁屏建议使用密码,避免使用图形密码,因为图形密码容易被陌生人窥视。使用安卓手机,尽量避免Root操作。
(6) (企业)保持电脑的安全性,定期打补丁,并使用可信的安全软件。尽量避免使用IE浏览器,除非某些情况下必须使用,推荐使用Firefox或Chrome浏览器。可以在Firefox或Chrome上安装Adblock Plus插件,它不仅可以屏蔽广告,还可以防止被一些不良Cookies跟踪。
(7) (企业)避免在公共场所使用公共无线网络,最好使用自己的流量。如果必须使用公共无线网络,要注意不要登录账号等隐私信息。可以使用浏览器的隐身模式进行简单的浏览。在外出时,手机和笔记本要关闭Wi-Fi功能,防止连接到陌生的Wi-Fi网络中。如果发现连接到陌生Wi-Fi网络,要保持警惕。
(8) (企业)在访问https网站时要小心,需要确认浏览器URL的准确性。并且,不要过分依赖云同步,对于一些非常私密的信息,如果没有加密保护的话,上传到云端是不太可靠的,容易造成信息泄露。
(9) (企业)实施多重身份验证 (MFA) ,在授予任何访问权限之前要求除密码之外还需要另一种形式的验证,从而为您的帐户添加了额外的安全层。这可能是发送到您的手机或电子邮件的代码,也可能是指纹或面部识别扫描。
对抗
隐私泄露的代价很大,例如:2021年4月,英国铁路运营商 Merseyrail 的几名员工收到了一封来自老板电子邮件帐户的电子邮件,这封非同寻常的电子邮件由冒充默西铁路公司董事的攻击者发送。目前尚不清楚 Merseyrail 的电子邮件系统是如何遭到破坏的(安全专家怀疑是鱼叉式网络钓鱼攻击),攻击者还获取了公司系统的访问权限。“Lockbit”团伙不仅窃取了 Merseyrail 的个人数据,并索要赎金才能释放这些数据。
当然,为了防止身份欺骗攻击,个人和企业可以采取一系列的措施解决(但是这会导致工作效率大大降低)。但是,魔高一尺,道高一丈,我们可以通过下列一个或多个标准,评估我们是否受到攻击。
- 非办公时间段日志记录,出现密集通信或者活动
- 态势感知提示存在未经授权的活动
- 源IP地址不正确或者频繁切换
- 频繁收到二次验证码
- 邮件出现"xx绯闻"、"绩效"、"公司内部福利"
点评
隐私保护不光需要我们个人的努力,也需要企业和政府的参与。企业可以加强身份验证措施,如使用双因素认证、人脸识别等技术,以确保用户身份真实可靠。政府部门也应加强对黑灰产的打击力度,防止个人信息被倒卖。
我们要知道所有人都可能成为身份欺骗的被害者。我希望通过今天的分想,让大家知道隐私保护的重要性。希望本文中提到的案例可以给大家启发并做好自己和企业的隐私保护。
参考链接:
- https://www.infosecurity-magazine.com/news/identity-scams-2021-record-year/
- https://evilcos.me/yinsi.html
- https://geekplux.com/posts/internet-privacy
- https://tmp.bearblog.dev/how-i-stay-reasonably-anonymous-online/
- https://paper.seebug.org/1273/#2
