通过绑定邮箱破入手机 黑客勒索机主索要“辛苦费” 专家建议千万别装陌生软件
近期,广州市民刘太一觉醒来发现,iPhone中记录着自己家宝宝成长历程的珍贵照片被删除了,还收到攻击者“三天后联系你解锁”的勒索信息,原来刘太苹果账号使用的是网易邮箱,结果账号被盗,账号密码被盗,信息也被删除。面对飞来横祸,刘太紧急采取措施,向网易申诉,对方回复需要公安部门才能调取相关资料。在苹果客服的帮助下,刘太找回了账号密码,但照片无法恢复。刘太认为,苹果方面有过失,一方面未能及时告知用户账号被修改等异常情况,另外通过邮箱就能改密码抹掉手机信息的机制存在安全隐患。苹果客服对此解释说,苹果默认掌握账号密码者就是该iPhone的主人。
原本为保护手机丢失防止泄露机主信息的icloud功能却被不法分子利用。IT安全专家表示,攻击者会通过暴力登录接口、木马等方式盗取用户账号,建议用户icloud账号密码不要和别的网站通用,如果手机“越狱”了,不要装陌生的软件。
邮箱账号被盗
iPhone信息遭抹除
刘太清早发现自己的iPhone恢复到了出厂状态,通讯录、照片全没了。她打开关联了苹果账号的网易邮箱,发现凌晨两点半收到几份邮件,邮件记录了一连串的操作过程,包括刘太的苹果账号密码被修改、找回iPhone程序被启动、iPhone被确认丢失、iPhone信息被抹除等。此外,还有一封邮件写着“三天后联系你解锁”。
刘太想起了最近朋友账号被盗遭遇黑客勒索的经历,想不到自己也“中招”了。原来刘太的苹果账号绑定了网易邮箱,黑客破解了她的邮箱密码,半夜三更通过网易邮箱修改了她的苹果账号密码,然后远程删除了她iPhone上的通讯录、照片等重要信息。
刘太赶紧联系苹果的客服,在客服帮助下找回了账号密码和通讯录,但是手机上的照片被抹掉,连上传了云端的照片也被删除,无法找回来。幸亏刘太没有给账号绑定银行卡,暂时还没有遭遇钱财损失。真是飞来横祸,一觉醒来,记录着自己家宝宝成长历程的珍贵照片就这样被删除了,还要面临黑客的勒索。
刘太一边报警,一边去找网易客服申诉自己被盗号了,希望能拿到关于黑客的登录信息。
网易的回复却让刘太大失所望,“网易承认他们可以监控异常ID,但是他们明确告诉我,就算有异常登录信息,他们没有义务提供给我,让我找公安部门来调取相关资料。”但是公安部门至今仍无回音。“可能公安认为我只是丢了照片,手机被黑了,就觉得没什么损失,那有什么好管的”。刘太坦言:“损失已经造成了,我没办法,现在希望不法分子被绳之以法。”
刘太认为苹果方面也有过失,直接通过邮箱就能改密码抹掉手机信息的机制存在很大的安全隐患,“我当初开启定位手机功能的时候,它就应该给我充分的提示,比如要我绑定一个手机号码,如果有人要抹掉我的手机信息,就必须填那个手机上的验证码。但是它没有提醒我,我都没意识到有这么大的安全隐患。”让刘太哭笑不得的是,苹果客服告诉她黑客删她的信息是为了向她勒索钱财,刘太认为“苹果可以远程删除手机的这个漏洞相当于给了黑客一个勒索的平台,而且这个情况苹果是知道的”。
一周时间过去了,公安、网易、苹果甚至黑客都没有再联系刘太,她很希望网络反黑能受到各方面的重视,以保障消费者权益。
苹果回应
建议开启相关安全功能
关于通过绑定邮箱就可以绕过安全问题改苹果账号密码的疑问,苹果客服解释说,修改苹果账号密码有两个途径,一是通过绑定的邮箱找回密码;另一个是通过安全问题找回密码。对于第一个途径,客服建议用户设置救援邮箱,即找回密码的邮件会发到用户设置的救援邮箱,而不是绑定了账号的主邮箱。这样就算主邮箱被盗,也不会被篡改苹果账号密码。如果还不放心,还可以开启两步验证,即绑定一个手机号码和获得一个固定的密钥。开启两步验证后,用户要修密码就必须同时提供由用户自己保管的密钥和苹果官方发到绑定手机号上的验证码,缺一不可。
另外苹果客服也承认,掌握苹果账号密码之后无须其他验证操作就可以远程抹掉手机信息,因为苹果默认掌握账号密码者就是该iPhone的主人。
IT专家
不要共用密码别装陌生软件
长亭科技联合创始人陈宇森向记者解释,icloud有一个功能是防止手机丢了之后个人信息泄露,它有权限来远程锁定手机并且抹去绑定设备上的所有信息。所以问题的关键是攻击者怎么获取到用户的icloud账号密码的(也就是苹果账号密码)。
他解释说,大概有三种情况:往前追溯的话,最早icloud出的安全问题是某个登录接口可以暴力登录,就是用大量不同的密码去尝试登录同一个账号,这个是导致之前好莱坞一系列女星艳照泄露的问题。不过苹果很快修复了这个漏洞。
第二个是,很多用户会用一些个人邮箱注册为icloud账号,这些邮箱作为账号和密码的组合,同时在别的网站使用,而且被泄露了,所以导致他的icloud账号被盗。第三种就是一些用户的iPhone进行了越狱,然后可能会中一些木马什么的,导致账号被窃取。
如果苹果账号被盗,其危害是可想而知的。有什么办法保护手机上的信息呢?陈宇森坦言:尽量保证账号不要被盗;觉得账号密码可能泄露但密码还没被更改的时候,即时修改密码;账号已经被盗走,密码也被改了的话,只有自求多福了。因为账号被盗后,不仅手机的所有信息会被删除,手机还可以被远程锁定,变成砖头,还会遭遇黑客的敲诈。
“苹果要提供帮助的难度就在于难以确认(求助者)是不是真的机主。”陈宇森道出了身份确认的难题。
陈宇森也表示,这种盗取用户账号、密码,再远程操控iPhone有一定技术门槛。比如针对越狱设备的木马盗号,写木马的人要有较高的技术水平。“一般来说,iPhone手机的安全性还是不错的。”陈宇森建议,普通用户,要提高用户安全意识, icloud账号密码不要和别的网站通用,如果是“越狱”用户的话,不要装陌生的软件。
此外,苹果的注册密码不要过于简单,或者有规律性,尽量比较复杂一些。否则,黑客就有可能通过频繁“撞库”的方式来不断测试用户的密码。此前,就有用户的密码因为这种方式被盗。一旦用户手机绑定银行卡等,损失将非常惨重。