前言

作為一個快畢業的菜狗，最近在給學校社區新人做入門培訓的PPT。群里問了一圈，大部分同學對如何保護個人隱私這個話題比較感興趣。于是，我通過分享一些和隱私相關的安全事件,去讓更多對安全感興趣的同學，知道隱私保護的重要性。

我們生活在個人信息泛濫的網絡時代下，這就使得"灰黑人員"可以輕松這些隱私信息，并利用它們來謀取利益。隱私泄露在任何時間、任何地點都存在。因此，隱私保護就像一場漫長的馬拉松，對每個人來說都是一場漫長的"持久戰"。

隱私

說到隱私保護，我們要明白個人隱私泄露會造成什么樣的危害及怎么去保護我們的個人隱私。常見的個人隱私泄露，就是網上人們常說的"開盒"和身份欺騙，更深層次的隱私泄露就是攻防演練當中的"弱口令"和溯源。但是你會發現我們一旦開始注意隱私的保護后，也會出現一些讓我們感到頭疼的事情，這些我們放在后面說，我們需要先對這些名詞有一些概念。

• 什么是個人隱私?答：是指公民個人生活中不愿為他人(一定范圍以外的人)公開或知悉的秘密，且這一秘密與其他人及社會利益無關。判斷信息是否屬于個人隱私核心就在于，公民本人是否愿意他人知曉，以及該信息是否與他人及社會利益相關(列如：姓名、身份證號碼、家庭地址、電話號碼、電子郵件地址、社交媒體賬號、銀行賬戶信息、個人愛好.......)。
• 什么是身份欺騙?答：身份欺騙是指一個人故意偽裝成另一個人或冒用他人的身份，以獲取不法利益或進行欺詐行為的行為。這種行為通常涉及偽造身份文件、盜用他人的個人信息、冒用他人的身份進行交易或行為等手段。
• 什么是隱私保護?答：隱私保護是指保護個人的個人信息和私密信息不被未經授權的個人、組織或機構獲取、使用或泄露的一種措施和原則。隱私保護是一種基本的人權，旨在確保個人對其個人生活和信息的控制權，以及維護個人的尊嚴、自由和安全。隱私保護涉及到個人信息的收集、存儲、處理和傳輸等方面。

危害

我們先來講講大家都知道的身份欺騙，這個名詞說白了就是我們常說的詐騙。身份欺騙可以有多種形式。其中最常見的形式是利用他人的個人信息，例如：姓名、身份證號碼、聲音和相貌等，以冒充他人進行欺騙活動;另一種形式是偽造他人身份文件，例如：假造身份證、駕駛證、公檢法人員的執法證件等，進行非法活動;此外，還有一些更高級的手段，例如：社會工程學(即通過與個人交流、獲取信息、建立信任關系等方式)，獲取攻擊目標的敏感信息，以進行欺騙或攻擊。

生活當中最常見的案例是，2022年2月，江西省某市受害人洪某某下載了一款名為“京東.J. R”的仿冒App，受到“額度高”“利息低”等表述誘導，注冊賬戶并申請貸款。平臺謊稱其賬號異常，需轉賬到所謂的“銀保監會賬戶”進行驗證，洪某某先后多次轉賬，合計被騙5萬元。但是我們換一個角度，在攻防演練時期，們通過社會工程學(社會工程學)去誘導運維人員下載惡意的APP，也是一種不錯的思路。但是通常大家都軟件需要升級為名，給運維人員發送一個補丁，然后扔出一個祖傳火絨的"白加黑"DLL，大功告成。

接下來我們講一講攻防演練當中的弱口令和溯源問題。弱口令大家都知道，但是我要說的弱口令可不是這么簡單。

眾所周知，現在的安全軟件設置密碼都需要大小寫、數字、特殊字符混合，才可以注冊成功。相比于傳統的弱口令(例如：admin、123456、1qaz2wsx......)企業出現的弱口令，常常是和隱私信息相關的，比如"@"字符和企業大小寫會經常出現于運維人員設置的密碼當中，這個時候其他密碼片段就極有可能是由運維人員的隱私信息構成的。如果我們知道運維人員泄露的個人隱私和愛好，我們就可以輕松獲得密碼和提示詞(如下圖所示)。

攻擊者通常會使用如下方法，對目標企業進行身份欺騙攻擊(他們通常會使用OSNIT工具，不間斷的對企業人員泄露的信息進行收集和整理。這個過程一般會持續相當長一段時間)，通常攻擊者都會收到不錯的反饋效果。

例如：2021年4月，安全研究人員發現了一種商業電子郵件泄露(BEC)的釣魚攻擊，它會誘騙攻擊目標在其設備上安裝惡意代碼。 攻擊目標首先會收到一封空白電子郵件，其主題行涉及"某行業內幕"。該電子郵件包含一個看起來像 Excel 電子表格文件 (.xlsx) 的附件。實際上“電子表格”其實是一個偽裝的.html文件。 攻擊目標繼續打開(偽裝的).html文件后，將會被定向到包含惡意代碼的網站。該代碼會觸發彈出知，告訴用戶他們已從Microsoft 365注銷，并邀請他們重新輸入登錄憑據。最后攻擊者通過這種方式獲取了攻擊目標的Microsoft 365密碼，成功登錄微軟郵箱。

• 網絡釣魚：網絡釣魚電子郵件會誘騙個人隱私信息，例如密碼、信用卡號等。該網站看起來具有欺性，一旦輸入個人信息，攻擊者就可以利用這些信息來對目標進行攻擊。
• 社會工程：紅隊人員或者攻擊者會利用人們泄露個人隱私信息，誘騙該人提供密碼或其他敏感信息。
• 數據泄露：當網絡犯罪分子未經授權訪問計算機或移動設備并隨后利用安全漏洞時，就會發生數據泄露。然后，這種訪問會提供個人信息供犯罪分子利用。
• 惡意軟件：惡意軟件是網絡犯罪分子在用戶不知情或未經用戶同意的情況下安裝在計算機或手機上的惡意軟件。它可以竊取個人信息，例如：密碼、信用卡號、身份證號和銀行信息。

接下來我們講一講溯源，這是在攻防演練當中一個紅隊成員攻擊成功后，因自己的疏忽泄露個人信息，導致自己被成功"捕獲"的故事。該紅隊成員利用社會工程學技巧偽造正常郵件內容，繞過郵件網關的查殺，成功投遞到目標郵箱，誘騙用戶點擊郵件鏈接或下載附件文件。我們通過查看郵件原文，獲取發送方釣魚網站域名或惡意附件樣本等信息。接著我們利用相關聯的域名/IP進行追蹤后，再對釣魚網站進行反向滲透獲取權限，進一步收集攻擊者信息，最后通過對郵件惡意附件進行分析，利用威脅情報數據平臺尋找同源樣本獲取信息，進一步對攻擊者的畫像進行勾勒，成功溯源。這個時候如果攻擊者使用"一次性域名"(注冊域名的郵箱地址同樣也屬于個人隱私)，那么我們的溯源將會變得非常困難。

防護

隱私保護對于個人和企業來說是非常重要的。下面是一些關于隱私保護的，通過這些措施可以一定程度緩解個人和企業被身份欺騙的頻率，與此同時溯源工作也將變得困難：

(1) (個人)對于重要的網站和APP，密碼一定要設置獨立且不容易被猜測到。普通網站為了便于記憶可以使用簡單有規律的密碼，但如果你記憶力好的話，建議每個密碼都不一樣。也可以考慮使用密碼管理軟件如1Password來幫助記憶密碼。

(2) (個人)不隨意透露身份證號碼、銀行賬戶等敏感信息，定期檢查自己的賬戶和信用報告。

(3) (個人)在陌生網絡中，訪問https網站是相對可靠的，但前提是要足夠警惕瀏覽器是否出現任何異常情況。不要在陌生的電腦上輸入密碼等敏感信息，如果必須使用，輸入完后要清除記錄。在瀏覽器上輸入密碼時，記得使用隱身模式。

(4) (個人)對于不太可信的軟件，如果你使用虛擬機，可以安裝在虛擬機中，推薦使用VMwareWorkstation Pro。支持正規渠道下載軟件，包括Windows、Office等，因為盜版和破解的軟件很難保證沒有安全問題。

(5) (個人)手機鎖屏建議使用密碼，避免使用圖形密碼，因為圖形密碼容易被陌生人窺視。使用安卓手機，盡量避免Root操作。

(6) (企業)保持電腦的安全性，定期打補丁，并使用可信的安全軟件。盡量避免使用IE瀏覽器，除非某些情況下必須使用，推薦使用Firefox或Chrome瀏覽器。可以在Firefox或Chrome上安裝Adblock Plus插件，它不僅可以屏蔽廣告，還可以防止被一些不良Cookies跟蹤。

(7) (企業)避免在公共場所使用公共無線網絡，最好使用自己的流量。如果必須使用公共無線網絡，要注意不要登錄賬號等隱私信息?？梢允褂脼g覽器的隱身模式進行簡單的瀏覽。在外出時，手機和筆記本要關閉Wi-Fi功能，防止連接到陌生的Wi-Fi網絡中。如果發現連接到陌生Wi-Fi網絡，要保持警惕。

(8) (企業)在訪問https網站時要小心，需要確認瀏覽器URL的準確性。并且，不要過分依賴云同步，對于一些非常私密的信息，如果沒有加密保護的話，上傳到云端是不太可靠的，容易造成信息泄露。

(9) (企業)實施多重身份驗證 (MFA) ，在授予任何訪問權限之前要求除密碼之外還需要另一種形式的驗證，從而為您的帳戶添加了額外的安全層。這可能是發送到您的手機或電子郵件的代碼，也可能是指紋或面部識別掃描。

對抗

隱私泄露的代價很大，例如：2021年4月，英國鐵路運營商 Merseyrail 的幾名員工收到了一封來自老板電子郵件帳戶的電子郵件，這封非同尋常的電子郵件由冒充默西鐵路公司董事的攻擊者發送。目前尚不清楚 Merseyrail 的電子郵件系統是如何遭到破壞的(安全專家懷疑是魚叉式網絡釣魚攻擊)，攻擊者還獲取了公司系統的訪問權限?！癓ockbit”團伙不僅竊取了 Merseyrail 的個人數據，并索要贖金才能釋放這些數據。

當然，為了防止身份欺騙攻擊，個人和企業可以采取一系列的措施解決(但是這會導致工作效率大大降低)。但是，魔高一尺，道高一丈，我們可以通過下列一個或多個標準，評估我們是否受到攻擊。

• 非辦公時間段日志記錄，出現密集通信或者活動
• 態勢感知提示存在未經授權的活動
• 源IP地址不正確或者頻繁切換
• 頻繁收到二次驗證碼
• 郵件出現"xx緋聞"、"績效"、"公司內部福利"

點評

隱私保護不光需要我們個人的努力，也需要企業和政府的參與。企業可以加強身份驗證措施，如使用雙因素認證、人臉識別等技術，以確保用戶身份真實可靠。政府部門也應加強對黑灰產的打擊力度，防止個人信息被倒賣。

我們要知道所有人都可能成為身份欺騙的被害者。我希望通過今天的分想，讓大家知道隱私保護的重要性。希望本文中提到的案例可以給大家啟發并做好自己和企業的隱私保護。

參考鏈接：

• https://www.infosecurity-magazine.com/news/identity-scams-2021-record-year/
• https://evilcos.me/yinsi.html
• https://geekplux.com/posts/internet-privacy
• https://tmp.bearblog.dev/how-i-stay-reasonably-anonymous-online/
• https://paper.seebug.org/1273/#2