skype

4 文章

网络骗子黑客入侵Skype,骗取受害人朋友约5000美元

编者注:本文作者Sergey Dolya是俄罗斯最受欢迎的博主之一。本文讲述的是他一个朋友的故事。受害人名叫Katya Turtseva,是一家国际性IT公司的高级职员。我们之所以要介绍受害人的背景,是想说明她对于网络安全常识也略知一二。 最近我一个朋友的Skype账号被盗了。这群网络骗子们决定好好利用这个机会,向她账号通讯录内的联系人骗取钱财。在短短一个小时内,他们就成功骗到了超过10万卢布(约合1500美元)! 由于受害人账户的通讯录内有大约300名联系人,因此这群网络骗子可谓”挖到了一座金矿”。他们决定向通讯录内的这些朋友假装借钱,而且金额都不大:15000卢布(约合250美元),并假意承诺第二天归还。而事实上,这恰好是Yandex Money(俄罗斯流行的支付系统)每次转账允许的最高限额。 他们的计划非常简单:假装’Katya’想要网购一些东西,但其Yandex Money账户内却没钱了。这一方法相当有可信度,成功让许多人都相信他们正在与受害人对话。他们决定在不打电话给受害人朋友的情况下要求转钱;其中有些人甚至还转了两次。 我们特意摘录的一段骗子(F)与其中一个受害人朋友之间的聊天记录: F:我就直接说重点了。我需要你的帮助。 V:发生什么事情了?快跟我说!然后发张照片给我。 F:我向问你借点钱,明天就还。 V:要多少?我可以转钱给你,只要我账号里钱够的话。 F:15000(卢布) V:好的,没问题。我怎么转给你? F: 谢谢 V: 我要怎么转给你? F:我需要用银行卡支付,但问题是我的账户里一分钱也没了。你能帮我付一下吗? V: 没问题 F:http.yandex….(支付页面链接) V:我需要收款人的银行账号 V:在给孩子换尿布 F:哦。给你账号:(网络骗子的账号) V:等会儿lull Vanya睡了,我就把发票的截图发你。他现在在哭。 F:好的,我一直在线。 F:哦,Lena,我想起来了。你还有15000卢布吗?没有的话也没关系,你已经帮我够多的了。如果你有的话,再帮帮我,我明天会把3万卢布以及帮忙费一起还给你的

安全网络即时通讯:这是谎言吗?

如今,几乎很少有人会不使用到网络即时通讯。单就WhatsApp来说,全球就有数以亿计的设备上安装了WhatsApp,每天的消息总量达到数百亿条。别忘了除此之外还有Skype、Viber、ICQ以及其他数十种流行度略低的即时通讯工具,包括Facebook、LinkedIn等社交网络中内置的即时通讯功能。然而,正因为即时通讯服务如此受欢迎,所以信息交换的隐私问题自然成为人们的关注焦点。就我们每天通过互联网随时共享的信息量而言,也许说加倍小心隐私问题听起来是很可笑的一件事,但确实在有些情况下,必须完全保证通信的隐私性,杜绝第三方侵犯隐私。那么我们能够在不被任何人窥探的情况下进行网上通信吗?下面我们将具体讨论这个问题。 前言 要着手处理这一问题,我们必须考虑信息链或语音通信会暴露给第三方的方式。暴露方式非常有限:第一,无论哪种性质的信息,包括文本、视频、照片或语音,都会记录在发送方和接收方系统上的本地存储卷中;第二,这些信息通过有线或无线网络传输;第三,由即时通讯服务的服务器处理这些信息(并非强制性的)。对于第一种情况,如果有人能在某种程度上控制对即时通讯历史记录的访问,则在此之后的信息传递过程将完全失控。当然,通过加密可以挽救局面,但并不能绝对保证安全:谁能保证协议肯定没有漏洞呢?尤其是使用通用加密算法的协议。 以Skype为例。不久前,人们还认为Skype是一款非常不错的私人即时通讯工具,是无懈可击的”堡垒”,没有人能攻破,无论是个人黑客还是强大的政府组织都不例外。但自从Skype公司被微软收购而失去独立性后,一切都变了,现在我们无法确保Skype即时通讯百分之百安全。 WhatsApp服务每天处理的消息数达到数百亿条;所以我们几乎没法认为所有消息都是安全的。每个月至少会有一起关于漏洞的新闻(即便只在安卓版中,不包括其他平台),新闻中含有丰富的细节,让我们感到强烈的不安。例如,最近对WhatsApp的一项研究证明,您的设备上存储即时通讯历史记录的加密文件,只需使用一个简单的脚本在几秒内就能被破解。另外要注意的一点是,近期Facebook收购WhatsApp的交易不能说是利于安全即时通讯的:事实上,Facebook创始人马克•扎克伯格斥资数十亿美元购买的是开发团队和技术,而不是用户数据,这是前所未闻的。 公正地说,其他免费即时通讯平台,从Viber到iMessage,都与上述服务一样存在着同样类型的问题。所有这些平台都允许采用相对容易的方法来获取对私人通信的访问。所以,从某种程度上来说,如果此类服务属于大公司的资产,并授权这些公司向政府和执法机构证明拥有这些信息可能还好些。幸运的是,对于某些行为,已经有了应对措施:我们周围有这么多不安全的即时通讯工具,难怪号称更安全的解决方案如雨后春笋般层出不穷。这些解决方案真的能解决重要的隐私问题吗?让我们来具体了解一下。但在此之前,首先必须确定哪种安全级别最适合您。 如今,谈到隐私问题时,日常即时通讯工具已经难以让人信任。当然,确实有一些更安全的替代工具,但这些工具真的能代替Skype和WhatsApp吗? “安全性剧场”是个非常有意思的词。它的含义不言而喻,表示表面上的安全措施,让人们错以为采取了行动,而不考虑行动的效率。如果要找个类比对象的话,公共交通设施的反恐安全措施可与之相提并论:只对有选择的车站进行可疑物体和人员排查。部署在无数住宅建筑中的室内对讲系统也是”戏剧化安全性”的写照。同样的特征也适用于软件领域,尤其是即时通讯。这不一定意味着一些即时通讯工具彻底没用:对隐私问题和高安全级别不挑剔的用户来说,它们不失为很棒的替代工具。毕竟,负责地铁站反恐检查的安保人员也能够提供一定级别的保护。所以话虽如此,我们必须得承认,用户仍可以使用一度曾出过问题的即时通讯应用,只要用户清楚自己需要保护的内容就行:是防范一个醋意十足的热情交友者读取自己的私人信息,还是防范热衷于拦截发送方到接收方之间流量的人员。是的,我们并未将侵犯隐私者正是对话对象这一事实考虑在内:对于这种情况,没有任何高级软件能够保护你。所以,如果你不信任对话者,就不要和他进行即时通信!下面我们将讨论两种类别中提供的流行方案。 安全错觉 我们将以下类型的即时通讯工具归类在此列表中:达不到预期安全级别的即时通讯工具,或无法保证通信不在传输过程中被拦截(中间人攻击)的即时通讯工具。 Confide 从某种意义上说,这是一种独一无二的即时通讯工具:所有通过Confide传入的消息都会用一个矩形盒将文本隐藏起来,只有手指滑过矩形盒时文本才会显示。此外,该应用不会长期存储信息历史记录,所以即便犯罪分子拿到你的手机,他也没法发现你的通信。用户尝试对消息截屏时,会将用户推送回联系人列表,同时对话方也将获得相应的通知。这些功能被应用开发者极力推崇:用户可以阅读信息但无法保存。但唯一的问题是,用户要记录信息时,没法进行截屏,而必须改用相机来逐字记录通信过程。从这方面来说,该应用可以分类为执行”戏剧化安全性”的程序:最新的即时通信和保护和截屏禁用功能只提供安全错觉。它可能适用于希望执行秘密服务代理程序的用户。 Wickr 此应用在设计上并不是很精美,但野心勃勃,将自己定位成不在设备上留下通信痕迹的解决方案:它会同时擦除(有些情况下无法撤销)设备内存和服务器上的信息历史记录,通过政府级安全算法来保护信息,为接收方提供控制存储时效的方法,并禁用信息复制。此应用类似于上一个应用,也依赖于智能手机功能的技术限制。 Telegram 谈到安全即时通讯工具时,我们怎么能忽略Telegram,大概这是最广为人知的以”安全”为品牌口号的即时通信工具了。为什么我们会把它包含在”戏剧化安全性”即时通信工具列表中呢?因为该应用的开发人员声称的”前所未有的”安全性从未得到过客观方面的证实,而这正是其遭人诟病之处。 许多人告诉我们,该解决方案的创建者曾宣称,若有人能入侵Telegram的MTProto协议,将给予20万美元的奖励。事实下,对于大多数人来说,这种自信本身就会导致人们对该即时通信工具的可靠性产生强烈质疑。但是拦截此即时通信程序的工具最初效率低下,也无法对协议进行压力测试。cryptofails.com创始人在指出这一事实的同时还评论说,MTProto是一种极不安全、也不可靠的算法,”它忽略了近20年来发布的所有意义重大的信息加密研究成果”,他建议开发者应该聘用真正的信息加密专家来审核Telegram。 另一个令人好奇的细节是:无论Telegram是基于哪种复杂协议,对于直接的应用攻击来说都脆弱无比。我们在此讨论的并不是流量拦截,而是与此相比简单得多的情况。即在注册时,用户会通过手机收到一条文本信息,用户必须输入收到的安全代码后才能激活应用。但如果黑客控制了受害者的文本信息,即可以使用他人的代码来激活自己的应用副本,结果他就可以接收发送给受害者的所有信息。假设默认情况下”安全聊天”功能未启用,那么通信隐私会在很大程度上受到影响。 Telegram的优点是速度快:信息几乎能实现即时收发,速度明显快于其他即时通信工具。所以,这是一款高速即时通信工具吗?回答是肯定的。安全吗?只能说是相对安全。 真正安全 此类别包括满足以下条件的应用和服务:具有一定安全级别,与官方宣称的特点相符,基本能够保护通信,阻止第三方对通信进行访问攻击。 Threema 这是一个瑞士项目,在宣布收购WhatsApp后,越来越受到人们的欢迎。开发人员承诺保证通信的安全性:首先,此软件能对传输中的数据进行可靠加密;其次,添加新联系人时,它会通过面对面确认来保护用户隐私。第二个措施是假设对方用户必须亲自见面,并从彼此的手机中扫描QR码,这种方法从安全角度来说是可取的,但在许多情况下实施起来却极为复杂。当然,你可以用老式方法,即通过手动输入用户标识来添加新联系人,但在这种情况下,安全级别会降低。值得注意的是,开发人员并未夸大其辞地证明自己的即时通信工具能够提供”前所未有”的安全级别,也没有作出任何虚假承诺。没错,此外,此应用的价格为2美元,只用付一次钱。 Silent Circle 这是知名信息加密权威开发的极少数项目之一。开发团队中就有PGP加密技术的开发者Phil Zimmerman。与Telegram类似,Silent Circle服务也同样依赖于专用算法SCIMP。这种算法优点在于它能完全擦除已发送信息,完全不留痕迹:不管是发送方还是接收方都无法在自己的设备上恢复通信的任何部分。这种功能可通过手动或自动方式启用:信息发送后经过一段特定的时间,即被自行删除。但此即时通信工具的主要优点在于此软件具有强大的通信流量加密功能,所以即便信息被拦截也没用。另外,此解决方案假设传输的是经过加密的包含文本、视频和音频信息的流量。至于其他方面,很遗憾此即时通信工具仍存在一些弱点。从含糊的注册流程到较高的价格:Silent Circle的年费为100美元。 TextSecure