8 月 26 日,這個陽光明媚的日子裡,皇傢馬德裡俱樂部的官方推特發佈瞭一個宇宙爆炸級的消息:梅西加盟皇馬!
按道理說這個官宣可以刷新全世界所有體育媒體的頭條,但事實上所有球迷都面無表情地看著官推發瘋,甚至還有點想笑,沒有人相信這是真的。
原因很簡單,就在這之前的三天,老對手巴塞羅那的官推發佈瞭一條 " 迪瑪利亞加盟巴薩 " 的消息。因為這件事還相對可信,世界各地的體育媒體還紛紛第一時間報道此事。結果幾分鐘之後一個叫 OurMine 的黑客組織在巴薩官推上發佈瞭消息,證明官推被盜。所謂的官宣隻是他們的惡作劇。
按下球迷們被狼來瞭的故事戲耍暫且不表,我們今天要關註的是這個叫 OurMine 的黑客組織到底何方神聖。其實,關註科技公司新聞和歐美娛樂新聞的朋友,應該對這個名字一點不陌生。
從科技大佬到熱門影視劇,這個神秘黑客組織在各個社交網絡賬號上留下瞭 " 到此一遊 "。他們究竟是誰,又為何無法阻擋?我們希望從已知信息中最大化還原這朵黑客界的奇葩。
一個似乎無法阻擋的盜號組織
OurMine 這個名字開始浮現在公眾視野中,源自去年 6 月該組織攻陷瞭 Facebook 創始人馬克 · 紮克伯格的推特。當時占據瞭紮克伯格賬號的黑客們發佈瞭大量黑小紮同學的內容,並且嘲諷他用瞭 "dadada" 這個過分簡單的賬號,甚至還分享瞭一系列盜取紮克伯格賬號的心得。
有趣的是,當人們驚異於科技大佬安全意識如此之低時,OurMine 似乎希望證明是自己手藝高,而非目標防范差。在 2016 年 6 到 8 月,他們接連盜取瞭谷歌 CEO 桑達爾 · 皮查伊、推特創始人兼 CEO 傑克多爾西、Pokemon GO 開發商 Niantic CEO 約翰 · 漢克等等科技界最知名的高管與企業傢的社交媒體賬號,還順便黑進瞭匯豐銀行的美國與英國網站。
似乎是這樣獲得的快感並不強烈,去年年底開始,OurMine 開始將 " 事業重心 " 由科技圈轉向瞭大眾更加關心的東西。去年 12 月,OurMine 接連攻陷瞭索尼 PS、索尼唱片的社交媒體,並且盜取瞭漫威旗下大量電影 IP 的社交媒體賬號,同時開啟瞭盜號 + 造謠惡作劇的模式。比如他們使用索尼唱片的號發過 " 佈蘭妮去世 " 的消息,還用鮑勃 · 迪倫的賬號進行瞭哀悼 ......
進入 2017,這幫善於給自己加戲的黑客們並沒有偃旗息鼓。8 月他們攻陷瞭 HBO 旗下《權力的遊戲》等熱播劇的推特賬號,隨後又開始戲耍巴薩皇馬,算是進軍瞭體育界。
時至今日,國際科技界對這夥完全沒有收手意願的黑客並沒有什麼辦法,對他們的真實身份也所知不多。好在他們雖然在盜號的路上屢屢得手,似乎要橫掃天下推特,但又似乎並不打算做什麼大規模破壞。
一般來說,他們僅僅是在盜取賬號後發佈一條消息,然後再發一條 " 嗨,我們是 OurMine,正在測試您的安全,請訪問我們的主頁 ourmine.org(或者請聯系我們)"。
這好比你回到傢裡,發現自己傢的門鎖被人開瞭,但屋子裡分文未少,隻是多瞭一張紙條:你傢的鎖不安全,我們這有質優價廉的新鎖,需要請聯系號碼 13xxxxxxxx。
我相信大部分人對此的第一反應都會是:" 臥槽有病吧?"
一群腦洞清奇且莫名其妙的賊
如果要給 OurMine 做一個側寫畫像的話,這群人的第一個特征應該是:一群技術非常好但商業思路爛到傢的賊(也說不定背後隱藏著什麼驚天陰謀)。
這夥黑客跟大部分主動進行襲擊並留名的 " 網絡恐怖主義黑客 " 不同,他們不宣傳任何攻擊性的字樣,也不改動密碼,甚至盡量控制可能帶來的負面影響。
當然,他們也不宣稱自己是黑客,而是認為自己是一傢網絡安全小組。每一次驚天盜號之後,他們都要借機宣傳一下自己提供的網絡賬號安全服務,並將用戶引導到他們的官方網站。
沒錯,這幫貨還建瞭一個蠻漂亮的官網。
進入官網有動畫效果,官網首頁上寫著 " 你是否在管理著一傢公司?請雇傭我們保障貴公司的網絡安全吧,服務一個月起步 ";功能欄裡分有 " 新聞、服務介紹、捐贈、聯系我們、關於我們 ",在關於我們裡寫著對自己公司的定位是專業、全能、白帽子、服務公眾 .......
有沒有感覺到一種撲面而來的熟悉氣質?沒錯,這完全是一個科技創業企業官網的樣子,毫厘不差!而且這傢 " 企業 " 提供的服務還挺便宜的,1000 美元檢查網站安全,5000 美元檢查企業全部系統,堪稱業界良心。
但問題是,一幫臭名昭著黑客的服務誰敢用啊?雖然在接受匿名采訪時,OurMine 表示已經賺到瞭一部分資金,但在談到具體客戶時卻支支吾吾,甚至給出瞭疑似 PS 過的轉賬憑據。
目前來看,這種以盜號為入口,以網絡安全服務為核心的商業模式並沒有得到驗證。畢竟很難有人相信現役的賊會老老實實幫你防盜。
OurMine 的另一個特征,是非常喜歡搞事情,熱愛蹭熱點,也喜歡召集粉絲互動。比如他們在巴薩陷入轉會困境時出來搞瞭一個大新聞,再比如他們曾經號召推特用戶把 "HBO 被黑 " 刷上頭條。
這夥黑客似乎還有些奇怪的幽默感,總是陶醉在並不好笑的笑話裡。同時,他們在推特上留言的方式似乎表現出他們英語不好。有科技公司根據 IP 追蹤判斷他們來自沙特阿拉伯,但被 OurMine 成員否認瞭,也沒有其他確實的證據。
總之,OurMine 的基本特征是一群自我感覺良好,並且自認為有幽默感的盜號者。他們大概來自第三世界國傢,專精於社交網絡密碼破解,渴望被科技圈關註,超喜歡給自己加戲,人數不會很多(OurMine 成員接受匿名采訪時說團隊有三個人,國內有媒體稱其有四萬人,應該是看錯瞭英語新聞並且不加分析)。
認識瞭又聰明又笨,有點莫名其妙的賊之後,我們應該正視的問題來瞭:他們究竟是如何做到的?
為什麼 OurMine 總能成功?
所有關於 OurMine 盜號手段的討論,都離不開一個詞:撞庫。
所謂撞庫,簡單來說就是利用人總是把不同平臺設置成同一個密碼的習慣,借由已經得到的某一個平臺資料,去撞擊其他社交網站,從而獲得主要賬號的使用權。
撞庫的基礎是獲得某一平臺的數據。而 OurMine 獲取這些數據主要有兩種已知的方式:第一是購買暗網流出的信息,比如黑紮克伯格推特的時候,OurMine 就宣稱使用瞭領英泄露出的賬號密碼數據,而其公佈的數據顯示紮克伯格確實在兩個平臺使用瞭一樣的密碼。
OurMine 盜取紮克伯格推特賬號的時候,正好是領英數據在暗網被大肆售賣之後。所以有專傢認為這兩件事內部有一定聯系。換句話說,通過暗網,黑客之間組成瞭各取所需的產業鏈。
其二,是 OurMine 會利用一些網站的漏洞,使用 DDoS 等分佈式服務攻擊來過載某一個數據庫,從而占領數據主機,再用攻擊獲得的數據去撞庫其他平臺。最終獲得特定推特的使用權。
這種手法已經被 OurMine 多次使用並證明瞭有效性,因為推特這種核心社交媒體平臺常常會鏈接各種各樣的其他平臺,所以竊取瞭一個數據庫就相當於打開瞭你的推特大門。
換言之,推特的安全不是由其本身決定的,而是由與之關聯的安全性最低的平臺決定的——總有更不安全但用戶需要關聯的平臺,對不對?
以上手法並沒有多麼高明,在還沒有信息證明 OurMine 使用更復雜技術手段的時候。從以上內容中可以得出 OurMine 黑客活動中具備的特點:
首先是精準,他們隻要特定用戶的推特,不附帶其他目的,也不需要大量數據,所以其攻擊難度會下降很多,對設備的要求也比較低。
其次他們利用的核心路徑,是大部分人都懶得使用不同密碼,並且習慣於使用關聯平臺帶來的便捷體驗。於是 OurMine 可以靈活的從關聯推特和與用戶相關的各種數據庫下手,找到最弱的環節就贏得瞭一切。
另外,OurMine 特點是很謹慎,即使建設官網、接受采訪、留下專屬記號,他們的行蹤也依然處在高度保密狀態。可能因為行為確實太欠揍瞭,其成員表示他們會兩小時更改一次 IP 地址,預備對付可能尾隨而至的追蹤。
總體來看,OurMine 看似無人能擋的攻擊行為其實並不復雜,也並非沒有辦法預防。想要保護自己的社交媒體賬號安全,隻需要謹記四條就夠瞭:
不要在多個賬戶之間使用同一個密碼;
設置盡量多的雙向安全認證;
每兩到三周更改密碼;
註意關聯賬戶可能帶來的風險;
有意思的是,這四條不是筆者總結的,也不是網絡安全專傢告訴我的,而是 OurMine 自己在盜號之後,經常提醒廣大社交網絡用戶應該註意的事項。