前言

作為一個(gè)快畢業(yè)的菜狗，最近在給學(xué)校社區(qū)新人做入門培訓(xùn)的PPT。群里問(wèn)了一圈，大部分同學(xué)對(duì)如何保護(hù)個(gè)人隱私這個(gè)話題比較感興趣。于是，我通過(guò)分享一些和隱私相關(guān)的安全事件,去讓更多對(duì)安全感興趣的同學(xué)，知道隱私保護(hù)的重要性。

我們生活在個(gè)人信息泛濫的網(wǎng)絡(luò)時(shí)代下，這就使得"灰黑人員"可以輕松這些隱私信息，并利用它們來(lái)謀取利益。隱私泄露在任何時(shí)間、任何地點(diǎn)都存在。因此，隱私保護(hù)就像一場(chǎng)漫長(zhǎng)的馬拉松，對(duì)每個(gè)人來(lái)說(shuō)都是一場(chǎng)漫長(zhǎng)的"持久戰(zhàn)"。

隱私

說(shuō)到隱私保護(hù)，我們要明白個(gè)人隱私泄露會(huì)造成什么樣的危害及怎么去保護(hù)我們的個(gè)人隱私。常見(jiàn)的個(gè)人隱私泄露，就是網(wǎng)上人們常說(shuō)的"開(kāi)盒"和身份欺騙，更深層次的隱私泄露就是攻防演練當(dāng)中的"弱口令"和溯源。但是你會(huì)發(fā)現(xiàn)我們一旦開(kāi)始注意隱私的保護(hù)后，也會(huì)出現(xiàn)一些讓我們感到頭疼的事情，這些我們放在后面說(shuō)，我們需要先對(duì)這些名詞有一些概念。

• 什么是個(gè)人隱私?答：是指公民個(gè)人生活中不愿為他人(一定范圍以外的人)公開(kāi)或知悉的秘密，且這一秘密與其他人及社會(huì)利益無(wú)關(guān)。判斷信息是否屬于個(gè)人隱私核心就在于，公民本人是否愿意他人知曉，以及該信息是否與他人及社會(huì)利益相關(guān)(列如：姓名、身份證號(hào)碼、家庭地址、電話號(hào)碼、電子郵件地址、社交媒體賬號(hào)、銀行賬戶信息、個(gè)人愛(ài)好.......)。
• 什么是身份欺騙?答：身份欺騙是指一個(gè)人故意偽裝成另一個(gè)人或冒用他人的身份，以獲取不法利益或進(jìn)行欺詐行為的行為。這種行為通常涉及偽造身份文件、盜用他人的個(gè)人信息、冒用他人的身份進(jìn)行交易或行為等手段。
• 什么是隱私保護(hù)?答：隱私保護(hù)是指保護(hù)個(gè)人的個(gè)人信息和私密信息不被未經(jīng)授權(quán)的個(gè)人、組織或機(jī)構(gòu)獲取、使用或泄露的一種措施和原則。隱私保護(hù)是一種基本的人權(quán)，旨在確保個(gè)人對(duì)其個(gè)人生活和信息的控制權(quán)，以及維護(hù)個(gè)人的尊嚴(yán)、自由和安全。隱私保護(hù)涉及到個(gè)人信息的收集、存儲(chǔ)、處理和傳輸?shù)确矫妗?/li>

危害

我們先來(lái)講講大家都知道的身份欺騙，這個(gè)名詞說(shuō)白了就是我們常說(shuō)的詐騙。身份欺騙可以有多種形式。其中最常見(jiàn)的形式是利用他人的個(gè)人信息，例如：姓名、身份證號(hào)碼、聲音和相貌等，以冒充他人進(jìn)行欺騙活動(dòng);另一種形式是偽造他人身份文件，例如：假造身份證、駕駛證、公檢法人員的執(zhí)法證件等，進(jìn)行非法活動(dòng);此外，還有一些更高級(jí)的手段，例如：社會(huì)工程學(xué)(即通過(guò)與個(gè)人交流、獲取信息、建立信任關(guān)系等方式)，獲取攻擊目標(biāo)的敏感信息，以進(jìn)行欺騙或攻擊。

生活當(dāng)中最常見(jiàn)的案例是，2022年2月，江西省某市受害人洪某某下載了一款名為“京東.J. R”的仿冒App，受到“額度高”“利息低”等表述誘導(dǎo)，注冊(cè)賬戶并申請(qǐng)貸款。平臺(tái)謊稱其賬號(hào)異常，需轉(zhuǎn)賬到所謂的“銀保監(jiān)會(huì)賬戶”進(jìn)行驗(yàn)證，洪某某先后多次轉(zhuǎn)賬，合計(jì)被騙5萬(wàn)元。但是我們換一個(gè)角度，在攻防演練時(shí)期，們通過(guò)社會(huì)工程學(xué)(社會(huì)工程學(xué))去誘導(dǎo)運(yùn)維人員下載惡意的APP，也是一種不錯(cuò)的思路。但是通常大家都軟件需要升級(jí)為名，給運(yùn)維人員發(fā)送一個(gè)補(bǔ)丁，然后扔出一個(gè)祖?zhèn)骰鸾q的"白加黑"DLL，大功告成。

接下來(lái)我們講一講攻防演練當(dāng)中的弱口令和溯源問(wèn)題。弱口令大家都知道，但是我要說(shuō)的弱口令可不是這么簡(jiǎn)單。

眾所周知，現(xiàn)在的安全軟件設(shè)置密碼都需要大小寫、數(shù)字、特殊字符混合，才可以注冊(cè)成功。相比于傳統(tǒng)的弱口令(例如：admin、123456、1qaz2wsx......)企業(yè)出現(xiàn)的弱口令，常常是和隱私信息相關(guān)的，比如"@"字符和企業(yè)大小寫會(huì)經(jīng)常出現(xiàn)于運(yùn)維人員設(shè)置的密碼當(dāng)中，這個(gè)時(shí)候其他密碼片段就極有可能是由運(yùn)維人員的隱私信息構(gòu)成的。如果我們知道運(yùn)維人員泄露的個(gè)人隱私和愛(ài)好，我們就可以輕松獲得密碼和提示詞(如下圖所示)。

攻擊者通常會(huì)使用如下方法，對(duì)目標(biāo)企業(yè)進(jìn)行身份欺騙攻擊(他們通常會(huì)使用OSNIT工具，不間斷的對(duì)企業(yè)人員泄露的信息進(jìn)行收集和整理。這個(gè)過(guò)程一般會(huì)持續(xù)相當(dāng)長(zhǎng)一段時(shí)間)，通常攻擊者都會(huì)收到不錯(cuò)的反饋效果。

例如：2021年4月，安全研究人員發(fā)現(xiàn)了一種商業(yè)電子郵件泄露(BEC)的釣魚(yú)攻擊，它會(huì)誘騙攻擊目標(biāo)在其設(shè)備上安裝惡意代碼。 攻擊目標(biāo)首先會(huì)收到一封空白電子郵件，其主題行涉及"某行業(yè)內(nèi)幕"。該電子郵件包含一個(gè)看起來(lái)像 Excel 電子表格文件 (.xlsx) 的附件。實(shí)際上“電子表格”其實(shí)是一個(gè)偽裝的.html文件。 攻擊目標(biāo)繼續(xù)打開(kāi)(偽裝的).html文件后，將會(huì)被定向到包含惡意代碼的網(wǎng)站。該代碼會(huì)觸發(fā)彈出知，告訴用戶他們已從Microsoft 365注銷，并邀請(qǐng)他們重新輸入登錄憑據(jù)。最后攻擊者通過(guò)這種方式獲取了攻擊目標(biāo)的Microsoft 365密碼，成功登錄微軟郵箱。

• 網(wǎng)絡(luò)釣魚(yú)：網(wǎng)絡(luò)釣魚(yú)電子郵件會(huì)誘騙個(gè)人隱私信息，例如密碼、信用卡號(hào)等。該網(wǎng)站看起來(lái)具有欺性，一旦輸入個(gè)人信息，攻擊者就可以利用這些信息來(lái)對(duì)目標(biāo)進(jìn)行攻擊。
• 社會(huì)工程：紅隊(duì)人員或者攻擊者會(huì)利用人們泄露個(gè)人隱私信息，誘騙該人提供密碼或其他敏感信息。
• 數(shù)據(jù)泄露：當(dāng)網(wǎng)絡(luò)犯罪分子未經(jīng)授權(quán)訪問(wèn)計(jì)算機(jī)或移動(dòng)設(shè)備并隨后利用安全漏洞時(shí)，就會(huì)發(fā)生數(shù)據(jù)泄露。然后，這種訪問(wèn)會(huì)提供個(gè)人信息供犯罪分子利用。
• 惡意軟件：惡意軟件是網(wǎng)絡(luò)犯罪分子在用戶不知情或未經(jīng)用戶同意的情況下安裝在計(jì)算機(jī)或手機(jī)上的惡意軟件。它可以竊取個(gè)人信息，例如：密碼、信用卡號(hào)、身份證號(hào)和銀行信息。

接下來(lái)我們講一講溯源，這是在攻防演練當(dāng)中一個(gè)紅隊(duì)成員攻擊成功后，因自己的疏忽泄露個(gè)人信息，導(dǎo)致自己被成功"捕獲"的故事。該紅隊(duì)成員利用社會(huì)工程學(xué)技巧偽造正常郵件內(nèi)容，繞過(guò)郵件網(wǎng)關(guān)的查殺，成功投遞到目標(biāo)郵箱，誘騙用戶點(diǎn)擊郵件鏈接或下載附件文件。我們通過(guò)查看郵件原文，獲取發(fā)送方釣魚(yú)網(wǎng)站域名或惡意附件樣本等信息。接著我們利用相關(guān)聯(lián)的域名/IP進(jìn)行追蹤后，再對(duì)釣魚(yú)網(wǎng)站進(jìn)行反向滲透獲取權(quán)限，進(jìn)一步收集攻擊者信息，最后通過(guò)對(duì)郵件惡意附件進(jìn)行分析，利用威脅情報(bào)數(shù)據(jù)平臺(tái)尋找同源樣本獲取信息，進(jìn)一步對(duì)攻擊者的畫像進(jìn)行勾勒，成功溯源。這個(gè)時(shí)候如果攻擊者使用"一次性域名"(注冊(cè)域名的郵箱地址同樣也屬于個(gè)人隱私)，那么我們的溯源將會(huì)變得非常困難。

防護(hù)

隱私保護(hù)對(duì)于個(gè)人和企業(yè)來(lái)說(shuō)是非常重要的。下面是一些關(guān)于隱私保護(hù)的，通過(guò)這些措施可以一定程度緩解個(gè)人和企業(yè)被身份欺騙的頻率，與此同時(shí)溯源工作也將變得困難：

(1) (個(gè)人)對(duì)于重要的網(wǎng)站和APP，密碼一定要設(shè)置獨(dú)立且不容易被猜測(cè)到。普通網(wǎng)站為了便于記憶可以使用簡(jiǎn)單有規(guī)律的密碼，但如果你記憶力好的話，建議每個(gè)密碼都不一樣。也可以考慮使用密碼管理軟件如1Password來(lái)幫助記憶密碼。

(2) (個(gè)人)不隨意透露身份證號(hào)碼、銀行賬戶等敏感信息，定期檢查自己的賬戶和信用報(bào)告。

(3) (個(gè)人)在陌生網(wǎng)絡(luò)中，訪問(wèn)https網(wǎng)站是相對(duì)可靠的，但前提是要足夠警惕瀏覽器是否出現(xiàn)任何異常情況。不要在陌生的電腦上輸入密碼等敏感信息，如果必須使用，輸入完后要清除記錄。在瀏覽器上輸入密碼時(shí)，記得使用隱身模式。

(4) (個(gè)人)對(duì)于不太可信的軟件，如果你使用虛擬機(jī)，可以安裝在虛擬機(jī)中，推薦使用VMwareWorkstation Pro。支持正規(guī)渠道下載軟件，包括Windows、Office等，因?yàn)楸I版和破解的軟件很難保證沒(méi)有安全問(wèn)題。

(5) (個(gè)人)手機(jī)鎖屏建議使用密碼，避免使用圖形密碼，因?yàn)閳D形密碼容易被陌生人窺視。使用安卓手機(jī)，盡量避免Root操作。

(6) (企業(yè))保持電腦的安全性，定期打補(bǔ)丁，并使用可信的安全軟件。盡量避免使用IE瀏覽器，除非某些情況下必須使用，推薦使用Firefox或Chrome瀏覽器?？梢栽贔irefox或Chrome上安裝Adblock Plus插件，它不僅可以屏蔽廣告，還可以防止被一些不良Cookies跟蹤。

(7) (企業(yè))避免在公共場(chǎng)所使用公共無(wú)線網(wǎng)絡(luò)，最好使用自己的流量。如果必須使用公共無(wú)線網(wǎng)絡(luò)，要注意不要登錄賬號(hào)等隱私信息?？梢允褂脼g覽器的隱身模式進(jìn)行簡(jiǎn)單的瀏覽。在外出時(shí)，手機(jī)和筆記本要關(guān)閉Wi-Fi功能，防止連接到陌生的Wi-Fi網(wǎng)絡(luò)中。如果發(fā)現(xiàn)連接到陌生Wi-Fi網(wǎng)絡(luò)，要保持警惕。

(8) (企業(yè))在訪問(wèn)https網(wǎng)站時(shí)要小心，需要確認(rèn)瀏覽器URL的準(zhǔn)確性。并且，不要過(guò)分依賴云同步，對(duì)于一些非常私密的信息，如果沒(méi)有加密保護(hù)的話，上傳到云端是不太可靠的，容易造成信息泄露。

(9) (企業(yè))實(shí)施多重身份驗(yàn)證 (MFA) ，在授予任何訪問(wèn)權(quán)限之前要求除密碼之外還需要另一種形式的驗(yàn)證，從而為您的帳戶添加了額外的安全層。這可能是發(fā)送到您的手機(jī)或電子郵件的代碼，也可能是指紋或面部識(shí)別掃描。

對(duì)抗

隱私泄露的代價(jià)很大，例如：2021年4月，英國(guó)鐵路運(yùn)營(yíng)商 Merseyrail 的幾名員工收到了一封來(lái)自老板電子郵件帳戶的電子郵件，這封非同尋常的電子郵件由冒充默西鐵路公司董事的攻擊者發(fā)送。目前尚不清楚 Merseyrail 的電子郵件系統(tǒng)是如何遭到破壞的(安全專家懷疑是魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊)，攻擊者還獲取了公司系統(tǒng)的訪問(wèn)權(quán)限。“Lockbit”團(tuán)伙不僅竊取了 Merseyrail 的個(gè)人數(shù)據(jù)，并索要贖金才能釋放這些數(shù)據(jù)。

當(dāng)然，為了防止身份欺騙攻擊，個(gè)人和企業(yè)可以采取一系列的措施解決(但是這會(huì)導(dǎo)致工作效率大大降低)。但是，魔高一尺，道高一丈，我們可以通過(guò)下列一個(gè)或多個(gè)標(biāo)準(zhǔn)，評(píng)估我們是否受到攻擊。

• 非辦公時(shí)間段日志記錄，出現(xiàn)密集通信或者活動(dòng)
• 態(tài)勢(shì)感知提示存在未經(jīng)授權(quán)的活動(dòng)
• 源IP地址不正確或者頻繁切換
• 頻繁收到二次驗(yàn)證碼
• 郵件出現(xiàn)"xx緋聞"、"績(jī)效"、"公司內(nèi)部福利"

點(diǎn)評(píng)

隱私保護(hù)不光需要我們個(gè)人的努力，也需要企業(yè)和政府的參與。企業(yè)可以加強(qiáng)身份驗(yàn)證措施，如使用雙因素認(rèn)證、人臉識(shí)別等技術(shù)，以確保用戶身份真實(shí)可靠。政府部門也應(yīng)加強(qiáng)對(duì)黑灰產(chǎn)的打擊力度，防止個(gè)人信息被倒賣。

我們要知道所有人都可能成為身份欺騙的被害者。我希望通過(guò)今天的分想，讓大家知道隱私保護(hù)的重要性。希望本文中提到的案例可以給大家啟發(fā)并做好自己和企業(yè)的隱私保護(hù)。

參考鏈接：

• https://www.infosecurity-magazine.com/news/identity-scams-2021-record-year/
• https://evilcos.me/yinsi.html
• https://geekplux.com/posts/internet-privacy
• https://tmp.bearblog.dev/how-i-stay-reasonably-anonymous-online/
• https://paper.seebug.org/1273/#2