【翻墙问答】黑客透过木马全程监控手机 杀毒软件加良好习惯免陷钓鱼陷阱

2020-09-25
电邮
评论
Share
打印
2017年9月20日,一家网络安全公司的工作人员正在讲解伊朗黑客的攻击技术。(美联社)
2017年9月20日,一家网络安全公司的工作人员正在讲解伊朗黑客的攻击技术。(美联社)

问:之前的翻墙问答,已经告诫听众不能信任国内电讯运营商,不建议使用短信作二步认证之用。近日伊朗当局派出的黑客,被发现出新招,就算是透过海外电讯公司的网络以短信进行二步,认证号仍然会被黑客拦截。能否介绍一下具体情况?

李建军:在之前的翻墙问答中所介绍黑客偷取二步认证短信招数,必须有电讯公司配合才成功,因为是在电讯网络层面拦截二步认证所使用的密码短信,而并非软件层面去进行拦截。因此,我们解释过,对在国内的人而言,因为使用的是中国国有电讯公司的网络,透过短信进行二步认证就十分之危险。我们甚至分析过,香港的大部分电讯网络也会随著《国安法》的实施而变得不可靠。但如果你身在海外,基本上不会受太大影响。

但这次发现中,揭发伊朗当局所聘用的黑客透过向目标人物的手机加载有毒软件,达致监控目的。黑客所发明的木马程式,不但可以藉长期监视目标对象的手机短信收件箱,比当事人更快一步截取短信密码,并且能偷走你的Telegram或其他相类程式的帐户。有别于透过电讯公司偷取用户的验证短信,因为木马程式神不知鬼不觉在被监控人的手机内部执行,所以就算使用海外的电讯网络,都不保证百分百安全。因此,现时已不建议再继续使用短信作为二步认证的工具;甚至用软件来作二步认证工具,都不保证百分百安全——因为我们并不知道,透过这种木马技术监控手机的最新手法,是否已经具备控制用作产生二步认证密码的程式运作。

问:如何可以防止黑客透过木马程式去突破二步认证的保护?

李建军:当然技术上最一劳永逸的做法,就是使用硬体金钥,因为要突破硬体金钥的保护,就只要派人亲身抢劫你手上的金钥。只不过,并非所有网络服务都支援硬体金钥,主流的网站如脸书、谷歌支持硬体金钥,但Telegram暂时未支援硬体金钥。所以,硬体金钥并不能够完全解决伊朗人发明的木马偷窃二步认证密码做法。

针对未能够改用硬体金钥的网站或网络服务,除了在可以选择情况下,避免使用短信作为二步认证工具,更重要是不要胡乱进入可疑的网站、打开不可靠的电邮附件、接收不明来历的软件,以免黑客可以藉这些方式将木马病毒安装入你的手机。

即便是由中国政府或国有企业网站开发的应用程式,也应避免安装在你用作执行二步认证软件用的同一部手机上——因为伊朗同中国政府关系密切,中国当局可能已获得相关木马技术,并且将木马同时写入中国政府或国有企业开发的应用程式之中。如果你用作二步认证之用的手机,装有中国政府或企业相关的应用程式,这其实是风险奇高的事。

问:使用防毒软件,又能否防止有人在手机中安装木马,窃取二步认证密码?

李建军:用防毒软件,的确可以查出你手机中有否有木马。只不过,如果你用的防毒软件为中国公司推出,恐怕没有意义——这些防毒软件公司有可能监守自盗,也有很大机会要接受中国当局指令,在防毒、杀毒软件中不要视中国政府所编写的木马列为病毒予以清除。

就算用西方国家推出的防毒软件,都要留意有关公司,有否选择与中国当局合作,或者假定所有政府推出的应用程式都没有安全问题。

总而言之,可以利用防毒软件去协助你防止或侦测木马病毒,但必须谨慎选择软件,以及不要完全依赖防毒软件,去为你的手机作出基本防卫。防毒软件有时候会为用户带来虚假的安全感,过于依赖反而会令木马有机可乘。维持良好的使用习惯,提升自己的分析和判断力,不要随便进入电邮或短信上的可疑连结,以及避免安装可疑或不必要的政府软件,这些做法更为有效、更重要。

Edge及Safari用户可直接点击收听
其他浏览器用户请点此下载播放插件

完整网站