【翻墙问答】防范政府黑客以DNS骑劫建立影子网域盗取用户个资

问：近年不少保安专家都指出，有黑客建立一种名为影子网域（Domain Shadowing）的网站，利用DNS劫持技术将网络流量送到不明来历的地方，而背后涉及的黑客甚至得到国家政府支持。到底影子网域是怎样的一回事？而一般网民又可以如何预防？

李建军：所谓影子网域，那就是黑客成功劫持DNS后，并未有完全篡改一些知名网站的主网域，而是建立一些子网域，装成知名网站旗下子网站，再引诱网民前往这些由黑客建立的子网站，再偷取资料。

如果在中国的情况，就有可能是中国当局建立一个恍如谷歌新服务的网站。平时，你使用GMail之类服务时，并不会受影响，仍然连接正宗的网站。只不过，一旦黑客利用假子网域发出电邮，声称有新服务要你试，而用户假如不慎登入这些网站，你的谷歌户口登入名称和密码就会遭到盗窃。

在西方国家，这类影子网域本来已经很难侦测，只有大概十分一的影子网域被查出来，而在中国就更难查，因为中国本来就是DNS污染的重灾区，背后原因是中国当局使用DNS劫持技术达致网络审查的目的，因此，在中国的听众，只能尽量翻墙上网，再使用谷歌、Cloudflare等公司的可靠公共DNS服务，才能将自己被劫持的机会减到最低。

问：针对中国的特殊国情，网民有甚么方法自保？又甚至即使不慎进入有问题的网站，并且让黑客成功套取到帐户名称和密码等重要资料，如何能够将损失减至最低。

李建军：你的登入名称和密码是通往你其他个资的大门，因此黑客对它们最感兴趣。但假如你能再加上一层保安，那么黑客的黑手将不能伸向你的其它资料。不少知名网站及网上服务有提供硬件二步认证功能，那么你可尽量使用硬件二步认证功能，并且设定为每次登入都要求硬件二步认证。因为只要二步认证硬件，例如USB金钥仍然在你手上，黑客即使盗取了你的登入名称和密码仍然得物无所用，唯有派人强抢或偷走你的二步认证硬件才会令整件事破功，而一般黑客不会采取这两种手段，首先，要偷走你的二步认证硬件并非易事，单单要知道你身上有甚么物件具备有关功能就不容易，因为现时无论Andorid手机、iOS手机都具备二步认证能力，而硬件USB金钥，外貌与USB「手指」差不多。所以，几乎只有公安强抢，并严刑迫供的情况下，才可能抢走正确用作登入之用的二步认证硬件。

硬件二步认证虽有不便，但建议大家要避免使用手机短信作二步认证，手机短信二步认证在西方世界已经公认不安全，尤其在中国就更不安全，因为中国所有电讯公司都是国有企业，只要当局成功骗得你的密码，以及知道你的手机号码，再进一步透过电讯公司对二步认证作出拦截，就可以将你的帐户偷走，或成功进入你的户口偷资料。

中国有手机实名制，公安要知道你的手机号码并非一件困难的事情，除非你的手机是长期使用海外漫游。至于手机应用程式产生的一次性密码，肯定比手机短信安全，但如果你手机被偷仍然会是十分之麻烦。

问：以上建议可以帮助我们预防被黑客透过影子网域盗取个资，但我担心自己可能早已中招，有甚么途径可以自测？既然影子网域利用的是DNS骑劫技术，我是否可以通过了解自己所处电讯网络的DNS纪录进行求证？

李建军：其实你可以去一些大型的DNS查询网站，输入主域名查阅完整的DNS纪录，再利用自己电脑里面与DNS有关的指令或程式，比照同一主域名在你身处电讯网络的纪录，如果你身处的电讯网络纪录，出现一些不寻常的子域名，或者子域名被指到中国一些古怪IP，你几乎可以百分百肯定，你身处的电讯网络DNS一定有问题，必须先翻墙再利用翻墙主机本身DNS来解读网域。只不过，这种核对纪录的方法，只适用于对作业系统，以及基本互联网概念有认识的人，而且这需要人手一步一步做，这并非每一个人有这个技术以至能力，去检查当局有否在一些大网站上「加料」，建立一系列根本用作钓鱼用途的伪主机。因此，使用谷歌、Cloudflare等公司提供的公共DNS是最洽当。