問:近年不少保安專家都指出,有黑客建立一種名為影子網域(Domain Shadowing)的網站,利用DNS劫持技術將網絡流量送到不明來歷的地方,而背後涉及的黑客甚至得到國家政府支持。到底影子網域是怎樣的一回事?而一般網民又可以如何預防?
李建軍:所謂影子網域,那就是黑客成功劫持DNS後,並未有完全篡改一些知名網站的主網域,而是建立一些子網域,裝成知名網站旗下子網站,再引誘網民前往這些由黑客建立的子網站,再偷取資料。
如果在中國的情況,就有可能是中國當局建立一個恍如谷歌新服務的網站。平時,你使用GMail之類服務時,並不會受影響,仍然連接正宗的網站。只不過,一旦黑客利用假子網域發出電郵,聲稱有新服務要你試,而用戶假如不慎登入這些網站,你的谷歌戶口登入名稱和密碼就會遭到盜竊。
在西方國家,這類影子網域本來已經很難偵測,只有大概十分一的影子網域被查出來,而在中國就更難查,因為中國本來就是DNS污染的重災區,背後原因是中國當局使用DNS劫持技術達致網絡審查的目的,因此,在中國的聽眾,只能儘量翻牆上網,再使用谷歌、Cloudflare等公司的可靠公共DNS服務,才能將自己被劫持的機會減到最低。
問:針對中國的特殊國情,網民有甚麼方法自保?又甚至即使不慎進入有問題的網站,並且讓黑客成功套取到帳戶名稱和密碼等重要資料,如何能夠將損失減至最低。
李建軍:你的登入名稱和密碼是通往你其他個資的大門,因此黑客對它們最感興趣。但假如你能再加上一層保安,那麼黑客的黑手將不能伸向你的其它資料。不少知名網站及網上服務有提供硬件二步認證功能,那麼你可儘量使用硬件二步認證功能,並且設定為每次登入都要求硬件二步認證。因為只要二步認證硬件,例如USB金鑰仍然在你手上,黑客即使盜取了你的登入名稱和密碼仍然得物無所用,唯有派人強搶或偷走你的二步認證硬件才會令整件事破功,而一般黑客不會採取這兩種手段,首先,要偷走你的二步認證硬件並非易事,單單要知道你身上有甚麼物件具備有關功能就不容易,因為現時無論Andorid手機、iOS手機都具備二步認證能力,而硬件USB金鑰,外貌與USB「手指」差不多。所以,幾乎只有公安強搶,並嚴刑迫供的情況下,才可能搶走正確用作登入之用的二步認證硬件。
硬件二步認證雖有不便,但建議大家要避免使用手機短信作二步認證,手機短信二步認證在西方世界已經公認不安全,尤其在中國就更不安全,因為中國所有電訊公司都是國有企業,只要當局成功騙得你的密碼,以及知道你的手機號碼,再進一步透過電訊公司對二步認證作出攔截,就可以將你的帳戶偷走,或成功進入你的戶口偷資料。
中國有手機實名制,公安要知道你的手機號碼並非一件困難的事情,除非你的手機是長期使用海外漫遊。至於手機應用程式產生的一次性密碼,肯定比手機短信安全,但如果你手機被偷仍然會是十分之麻煩。
問:以上建議可以幫助我們預防被黑客透過影子網域盜取個資,但我擔心自己可能早已中招,有甚麼途徑可以自測?既然影子網域利用的是DNS騎劫技術,我是否可以通過了解自己所處電訊網絡的DNS紀錄進行求證?
李建軍:其實你可以去一些大型的DNS查詢網站,輸入主域名查閱完整的DNS紀錄,再利用自己電腦裡面與DNS有關的指令或程式,比照同一主域名在你身處電訊網絡的紀錄,如果你身處的電訊網絡紀錄,出現一些不尋常的子域名,或者子域名被指到中國一些古怪IP,你幾乎可以百分百肯定,你身處的電訊網絡DNS一定有問題,必須先翻牆再利用翻牆主機本身DNS來解讀網域。只不過,這種核對紀錄的方法,只適用於對作業系統,以及基本互聯網概念有認識的人,而且這需要人手一步一步做,這並非每一個人有這個技術以至能力,去檢查當局有否在一些大網站上「加料」,建立一系列根本用作釣魚用途的偽主機。因此,使用谷歌、Cloudflare等公司提供的公共DNS是最洽當。