【翻墙问答】防范政府黑客以DNS骑劫建立影子网域盗取用户个资

2022.09.23
Share on WhatsApp
Share on WhatsApp
【翻墙问答】防范政府黑客以DNS骑劫建立影子网域盗取用户个资 2020年8月4日,相片设于中国红客联盟东莞分部,该组织以发动民族主义网络战闻名于世,相中人网名「王子」的黑客是组织法人。
法新社

问:近年不少保安专家都指出,有黑客建立一种名为影子网域(Domain Shadowing)的网站,利用DNS劫持技术将网络流量送到不明来历的地方,而背后涉及的黑客甚至得到国家政府支持。到底影子网域是怎样的一回事?而一般网民又可以如何预防?

李建军:所谓影子网域,那就是黑客成功劫持DNS后,并未有完全篡改一些知名网站的主网域,而是建立一些子网域,装成知名网站旗下子网站,再引诱网民前往这些由黑客建立的子网站,再偷取资料。

如果在中国的情况,就有可能是中国当局建立一个恍如谷歌新服务的网站。平时,你使用GMail之类服务时,并不会受影响,仍然连接正宗的网站。只不过,一旦黑客利用假子网域发出电邮,声称有新服务要你试,而用户假如不慎登入这些网站,你的谷歌户口登入名称和密码就会遭到盗窃。

在西方国家,这类影子网域本来已经很难侦测,只有大概十分一的影子网域被查出来,而在中国就更难查,因为中国本来就是DNS污染的重灾区,背后原因是中国当局使用DNS劫持技术达致网络审查的目的,因此,在中国的听众,只能尽量翻墙上网,再使用谷歌、Cloudflare等公司的可靠公共DNS服务,才能将自己被劫持的机会减到最低。

问:针对中国的特殊国情,网民有甚么方法自保?又甚至即使不慎进入有问题的网站,并且让黑客成功套取到帐户名称和密码等重要资料,如何能够将损失减至最低。

李建军:你的登入名称和密码是通往你其他个资的大门,因此黑客对它们最感兴趣。但假如你能再加上一层保安,那么黑客的黑手将不能伸向你的其它资料。不少知名网站及网上服务有提供硬件二步认证功能,那么你可尽量使用硬件二步认证功能,并且设定为每次登入都要求硬件二步认证。因为只要二步认证硬件,例如USB金钥仍然在你手上,黑客即使盗取了你的登入名称和密码仍然得物无所用,唯有派人强抢或偷走你的二步认证硬件才会令整件事破功,而一般黑客不会采取这两种手段,首先,要偷走你的二步认证硬件并非易事,单单要知道你身上有甚么物件具备有关功能就不容易,因为现时无论Andorid手机、iOS手机都具备二步认证能力,而硬件USB金钥,外貌与USB「手指」差不多。所以,几乎只有公安强抢,并严刑迫供的情况下,才可能抢走正确用作登入之用的二步认证硬件。

硬件二步认证虽有不便,但建议大家要避免使用手机短信作二步认证,手机短信二步认证在西方世界已经公认不安全,尤其在中国就更不安全,因为中国所有电讯公司都是国有企业,只要当局成功骗得你的密码,以及知道你的手机号码,再进一步透过电讯公司对二步认证作出拦截,就可以将你的帐户偷走,或成功进入你的户口偷资料。

中国有手机实名制,公安要知道你的手机号码并非一件困难的事情,除非你的手机是长期使用海外漫游。至于手机应用程式产生的一次性密码,肯定比手机短信安全,但如果你手机被偷仍然会是十分之麻烦。

问:以上建议可以帮助我们预防被黑客透过影子网域盗取个资,但我担心自己可能早已中招,有甚么途径可以自测?既然影子网域利用的是DNS骑劫技术,我是否可以通过了解自己所处电讯网络的DNS纪录进行求证?

李建军:其实你可以去一些大型的DNS查询网站,输入主域名查阅完整的DNS纪录,再利用自己电脑里面与DNS有关的指令或程式,比照同一主域名在你身处电讯网络的纪录,如果你身处的电讯网络纪录,出现一些不寻常的子域名,或者子域名被指到中国一些古怪IP,你几乎可以百分百肯定,你身处的电讯网络DNS一定有问题,必须先翻墙再利用翻墙主机本身DNS来解读网域。只不过,这种核对纪录的方法,只适用于对作业系统,以及基本互联网概念有认识的人,而且这需要人手一步一步做,这并非每一个人有这个技术以至能力,去检查当局有否在一些大网站上「加料」,建立一系列根本用作钓鱼用途的伪主机。因此,使用谷歌、Cloudflare等公司提供的公共DNS是最洽当。

新增评论

请将评论填写在如下表格中。 评论必须符合自由亚洲电台的 《使用条款》并经管理员通过后方能显示。因此,评论将不会在您提交后即时出现。自由亚洲电台对网友评论的内容不负任何责任。敬请各位尊重他人观点并严守事实。