看到网上讨论民主党总统候选人希拉莉的电邮门,其实咱们小百姓也可以有电邮门呢,不过咱们的所谓门,不是由水门事件沿袭而来代表丑闻的门,而是开门揖盗的门,就是说如果对自己的电邮安全不注意,往往等于把家里的大门向强盗敞开的意思。在这里就讲个我自己开门揖盗的故事。
话说不久前的一个星期日,如同以往的周末一样,我起床比较晚,大约9:00来钟才起来,从楼上卧室下到二楼的办公室,像往常一样打开台式电脑,循着老习惯,又去查看我们在网上的一个替代货币交易账户,想查查比特币的市值。账户名和密码早就登录在案,以往只要揿一下登录键就好,结果这次却发现进不去了。 我们家儿子思想比较活跃,有啥新鲜事都想试试。两三年前比特币、莱特币等替代货币水涨船高,儿子跟风买了一些,没过多少时间,价值翻倍,用赚得的利润出去旅游一番,不亦乐乎。儿子嫌单纯买卖不过瘾,又开始自己采掘。刚开始时用计算机显卡,但很快利润就跟不上电耗,于是儿子拉着我们合伙买了一台专门采掘莱特币的机器。 有了机器,就在网上建了一个莱特币交易账户,到这次出事以前,机器采掘的数千莱特币,一半换成美元,另一半换成比特币,统统存放在这个交易账户里。 以前除了计算机中过病毒,其他还没出过什么事情。道听途说的也知道有身份盗窃(identity theft)、勒索软件(ransomware)等等,但因为自己还从未中过招,所以这次进不去账户,就没朝那些坏的方面想。也正因为以前没有吃过教训,对电邮安全注意不够,我的电邮账户没有设置二元认证 (Two-factor Authentication)。 像无数其他网站一样,这个莱特币交易网站个人账户的密码栏下设有一个按键,如果账户持有人忘记了密码,揿一下这个键,网站就会给与交易账户绑定的电邮地址发一个电邮,电邮内含一个允许账户持有人更换密码的链接。现在我进不去账户了,只以为是账户的密码记录出了差错,想当然地觉得只要换一下密码就好。于是揿了更换密码键,再打开绑定电邮账户,果然收到了含有更换密码链接的信。按部就班地给账户换了一个新密码,一试,果然又能进交易账户了。浏览一番,看看账户里没啥变化,就马上登出。 接下来移位客厅沙发,一面看电视,一面从手机上再次打开那个和交易网站绑定的电邮账户,准备查查电邮,却赫然发现电邮账户里面已经面目全非,所有电邮,无论新旧,统统不翼而飞。到了这时,我仍然没有意识到大祸已临头,还以为是电邮网站出了故障,于是就让家里领导从她的Gmail邮箱向我的Yahoo邮箱发封电邮试试。我收到了这封电邮,但是紧接着,我家领导就收到一封不是我写的,但却是从我的Yahoo邮箱发寄到她的电邮账户里的信,信中说,要想我账户不受干扰,就必须给他送五个比特币。 (“Give me 5 bits not to harass your account bitcoin address: ......”) 至此我才终于意识到,我的电邮被黑了。 这很像我听说过的勒索软件中招的过程。但是我对这一切是否因为勒索软件存有很大疑惑。我所听说过的勒索软件案例,如果被勒索者乖乖交钱,黑客并不对其账户内容做手脚。 而我早上进不去交易账户,刚刚更换账户密码,就发现电邮账户被黑,马上又收到勒索信,这一系列事件让我直觉地认为黑客的目标其实是我的网上交易账户。我以前每登录一次交易账户,交易网站都会送一份确认登录的电邮,电邮中含有我的交易账户户名。黑客一定是先窃得了我的电邮密码,得以进入我的电邮账户,从电邮账户中存放的过往交易账户登录确认信中又得到我的交易账户名,再利用交易账户的更换密码键和对我的电邮账户的掌控更换了交易账户密码,这才是我早上无法进入交易账户的真正原因。而我后来用同样的方法更换密码使黑客意识到我可能已经发现了他在黑我的交易账户,他送这封勒索信,目的应该是声东击西,把我弄糊涂,为他在交易账户里做手脚争取时间。如果我猜得不错,黑客肯定已经又更改了交易账户的密码。于是我试着进入交易账户,果然又进不去了。 这里要加一句,即便我曾把过去所有的交易账户登录确认信都从电邮信箱删除,也不能阻止黑客获得我的交易账户户名。这是因为一旦黑客通过窃取的电邮密码进入电邮账户,就可以很容易地要求提供电邮服务的网站恢复以往的所有电子邮件。我想这些黑客一定有快速审阅邮件的软件,用以发现诸如交易网站邮件一类令他们感兴趣的信息。 黑客的锲而不舍让我不安。我当初是给交易账户设了二元认证的。这是一种电子短信(SMS)二元认证,就是说要登录账户,又或者要在账户里进行交易转账等操作,交易网站会往绑定的手机上发送含有一次性密码的电子短信,只有把一次性密码输入认证,才能操作。但是黑客的再次改变密码说明他并没有因为二元认证知难而退。这大大增加了我的危机感。 把早上发生的一系列事件的关系大概缕清后,一个问题冒了出来:我的电邮账户没有设置二元认证,黑客既然已经通过窃得的电邮账户密码,进入了我的电邮,那么他要改变电邮账户密码应该是件再容易不过的事。假如黑客利用可以进入我的电邮账户的方便,在更改了交易账户密码以后马上更换电邮账户的密码,就可以把我锁在电邮账户外面,使我无法再更改交易账户密码,而他就可以在我的交易账户里为所欲为。 他为什么不这样做呢? 无论如何,既然还没有黑客试图把我锁在电邮账户外的迹象,我就决定自己来试试,把黑客锁在电邮账户外面,结果却发现黑客之所以无法改变电邮账户的密码,是因为这个Yahoo的电邮账户当初乃是从AT&T接续过来的,由于这个历史,要改变密码,就要联系AT&T,而且是联系AT&T的真人代表。如今在计算机上办事都是和机器对话,要找个真人还挺不容易,而且即便联系上AT&T的真人代表,AT&T也肯定要求出示认证材料,黑客没有认证材料,自然无法改变密码。这也解释了为什么黑客会把电邮账户里面所有的电邮统统删除了:他肯定是又通过改变密码进入了交易账户,同时为了防止我再次改变密码,在无法改变电邮密码的情况下,只好通过不断删除邮箱里邮件的笨办法,以图达到阻止我接收交易网站发来的改变密码的电邮的目的。 我稍稍尝试着联系AT&T无果后就果断放弃了,因为我知道此时必须分秒必争地把黑客的行动能力限制住,否则很可能万事皆休。也因为时间紧迫,直接求助于交易网站行不通。这个交易网站设在境外,网站服务不能即时提供,送一封咨询过去,往往要等24小时甚至更长才有回复。另外我也没有去尝试通过改变交易账户密码的方法进入账户去把里面的财产转出来,因为转移财产需要繁复的操作,而黑客正在和我法宝尽出地激烈争夺对账户的控制权,双方每改变一次账户密码,都会把对方自动从账户里踢出去,做转移财产的操作显然会很难。但是从另一个角度想,黑客肯定也正想着把我交易账户里的财产转移到他的账户里去呢,也许正因为我一度改变了账户密码,打乱了他的转产操作,给我争取了时间也说不定。反正我当时根本不清楚黑客是否已经把账户里的财产偷走了,无非就是死马当作活马医。 就当时的情况看,一方面黑客不大可能分分秒秒把电邮信箱看牢,也就是说我仍可能再次改变密码进入交易账户。但黑客一旦发现,必然会试图把我踢出来,所以我一旦进入,所能做的只能是最简单的操作。此时我想到,既然不能通过改变电邮密码和交易账户密码的方法把黑客赶走,那么干脆就把和交易账户绑定的电邮账户换成另一个,毕竟黑客知道我其他电邮账户密码的可能性微乎其微,而且我还可以马上更改其他电邮账户的密码。然而我想到这点的同时又一个问题冒了出来:黑客为什么不把绑定的电邮换成自己的呢? 黑客的心思我一时猜不透,反正我自己来试试吧。 于是我再次通过改变交易账户密码的法子登入账户,按照步骤填写发出更改电邮账户的要求,这时交易网站发来一个警告:为账户安全故,绑定电邮账户更改后,账户封闭两天。 啊,原来这就是黑客不愿意更改电邮账户的原因:他在那边忙着偷我的财产,当然不愿意账户在此时封闭,因为账户一封闭,我这个账户的真正主人就有时间向交易网站报警,这可对黑客大大不利。 对黑客不利自然对我有利,于是我果断按下更换电邮的确认键,接下来应该做的就是通过新的电邮账户再次改变交易账户的密码。 但是黑客就是黑客,对网上的各种操作比我要精通得多。他不愿更改电邮账户,但他还是想出了反击我的其他办法。我通过再次改变交易账户密码以进入账户的尝试失败了,因为黑客从账户里封了我的IP地址,彻底切断了我同交易账户的联系。还没到一分钟,我家领导就收到黑客的又一封信,信中说:“我的耐心是有限的。电邮暴力是违法的。”(My patience is limited. The use of mailbox violence is prohibited.) 至此,我同黑客争夺交易账户的斗争打成了一锅粥。虽然交易账户设置了二元认证,但既然黑客能进入交易账户封锁我的IP地址,说明他不知用什么办法绕过了二元认证。但从黑客第二封电子信中气急败坏的口吻看,我改换绑定电邮的动作应该是给他造成了麻烦。现下黑客阻断了我同账户的联系,任何由我进行的针对账户的操作都已不可能,我唯一剩下能做的就是直接求助于交易网站,请他们恢复我对账户的控制权了。 另外既然闲下来了,我也就再次尝试同AT&T联系。辗转反复,总算接通一位真人代表,通过向AT&T的代表提供十年(!)前联网付费单的号码,证明了我才是该电邮账户的真正主人,终于得以改变电邮账户的密码。 接下来和交易网站打交道,在提供证据证明了我是账户的真正主人后,网站接通了我的IP地址,并允许我改变了账户密码。但是我用新换过的密码却仍然进不了账户:我竟然被二元认证挡住了。对此的解释只能是,黑客不仅没有受到我设置的二元认证的阻碍,而且在闯进入账户后,还设立了他自己的二元认证。眼下我想再进入账户,就只能请网站管理取消账户的二元认证,而这会导致账户封闭两星期。不过既然黑客曾如此深度地掌控账户,里面也许早已是空空如也,那么我早进晚进也就无所谓了。 长话短说,在黑客事件发生三个星期后,我终于又得以进入了自己的交易账户。尽管之前已经做好了财产已被洗劫一空的精神准备,但进入账户后,看到莱特币栏里空空如也,现金栏里只剩大约五元钱,心里还是很失落。想起财产页最上端有个财产总计,无精打采地瞥了一眼,赫然发现总计数目很大,甚至比黑客事件发生前还超出了数千元。仔细再看看财产细目就发现了原因,如今比特币栏里的数目比黑客事件前居然翻了一倍!调出账户交易史查阅,发现黑客在侵入账户当日,从9:29AM 到9:44AM之间的一刻钟内,把账户内所有的现金和莱特币都换成了比特币。当时比特币市值约430美元,到三星期后我再次能进入账户时已长到630美元,所以账户总值涨了数千元!另外这黑客看来居然是一位同胞,因为他在我的账户里的交易流水账都是中文的。 在账户里进行任何交易都需要二元认证,但是这个有大本领的黑客既然能绕过二元认证登陆账户,自然也可以绕过二元认证进行交易。事实是他把账户里所有现金和莱特币都换成了比特币,唯一剩下的一步就是把比特币转到他自己的电子钱包里去,而他却没能做到,他为什么会功亏一篑呢? 我此前还从未从这个交易账户向外转过资产,如今重掌账户,马上就着手把所有比特币转去一个新的境内网站账户。转账过程中发现,虽然没有设置二元认证,但如果要抽取资金,网站还是会往绑定电邮送一封含有确认键的认证信,只有收到了确认,网站才会允许资金转账。 此时回想,也许是我当初改变绑定邮箱的举动,使黑客无法收到网站送出的抽取资金的认证信,从而无法把已经兑换好的比特币抽逃到他自己的电子钱包里去。又或者是因为我和黑客反复争夺账户控制权的行为触发了账户自动封闭的机制,使得黑客功亏一篑。 另一方面,这个黑客的不幸还在于他太太太贪婪。他初入我账户时,里面已经有不少比特币摆在那里供他偷。假如他不是抱着偷光抢光的信念忙着把我账户里的现金和莱特币都换成比特币,而是一上来就把现成的比特币转入他的钱包,那么他至少能拿走一半资财。他的贪婪还表现在他不肯以略高于市场的价格一次完成比特币的兑换,而是在市场价格走高的情况下不断加价,分批兑换,结果花了十五分钟才完成全部兑换。此时再想把比特币转出,却碰到我来踢场子。这个黑客让人想起阿里巴巴故事里被大盗们杀死在藏宝洞里的高西木。 黑客事件的结局如此,主因是我傻人有傻福,黑客从9:29AM开始在我的交易账户里倒换比特币,而我恰好就在九点左右起了床,又恰好有起床就上网查询交易账户的习惯,才这么巧而又巧地发现了黑客的行径。黑客闯入了我的电邮,却因为这电邮账户和AT&T的一段特殊的历史渊源而无法改变电邮密码,再加上他封闭我的IP地址过晚,总而言之,黑客是乘兴而来、败兴而归,而我虽然开门揖盗,却因为运气特好,又抱着亡羊补牢的信念和黑客大战一番,终于因祸得福,凭空多得了数千元。 但是好运气可一不可再,从事件所得更多的是教训:网上安全不可不注意!黑客事件发生没几天,我就在网上读到,眼下有上亿的电邮账户密码在俄罗斯这种地方的黑市上叫卖,不难想象,侵入我账户的黑客眼下应该就正在中国的某个地方兴致勃勃地攻击着其他人的邮箱。 一个人的电子邮箱密码,在很多情况下就好像这个人家的大门,一旦密码被人窃取,就等同大门被贼人攻陷,后患无穷。所以希望大家都能充分提高警惕,注意网上安全。黑客事件发生后,我已经为自己的电邮和交易账户等等都设置了二元认证。 对了,黑客之所以能绕过交易账户的二元认证之谜后来也大致解开了。 我在恢复了对账户的掌控后重新设置二元认证,结果发现网站已不再使用电子短信二元认证,而是统统改成了谷歌认证(Google Authenticator)。鉴于我在黑客事件发生之前两个月最后一次做交易时还是短信认证,结论只能是网站的这个改变就发生在那两个月中的某个时间。按理网站一定会给所有客户发出通知,让大家能及时应变,由短信二元认证过渡到谷歌认证,维持安全系数。如果确实如此,那么就是我自己忽略了网站的通知,没有及时顺应改变设立新的二元认证。 也就是说,当黑客试图闯入交易账户时,账户的大门上并没有挂上二元认证这把锁。于是当时的情形就是,我的电邮和交易账户都没有二元认证,真正是开门揖盗。 下面是我前几天才从一个网站收到的友情提醒,其中关于二元认证也需要不时更新的建议很值得注意,放在这里供大家参考: Hello XXX, This email is to inform you that we're seeing an increase in attempts to gain unauthorized access to XXX.org user accounts. The attackers are probably trying to exploit password weakness and password reuse, especially in the light of the many recent breaches in other websites which have granted hackers access to large collectionsof account data. We here at XXX.org are committed to protecting the security of our users. We have already received a few reports of hacked accounts, and for this reason we encourage all users to change their account password and to take advantage of two-factor authentication. For optimal security, 2FA users should also remember to periodically reset their secret key by disabling and immediately re-enabling two-factor authentication. (为维持安全计,二元认证的密匙也应不时更新。更新的办法是取消二元认证并立即重设。) If you have reason to believe that your account was compromised, you should reset your password as soon as possible.......
|