北京網(wǎng)警近期緊急發(fā)布預(yù)警，一種名為AiTM的釣魚(yú)攻擊正在網(wǎng)絡(luò)空間被不法分子利用。這種攻擊的危險(xiǎn)之處在于，它不再單純騙取用戶的密碼，而是在用戶和真實(shí)網(wǎng)站之間搭建起一個(gè)“中轉(zhuǎn)站”。它能實(shí)時(shí)轉(zhuǎn)發(fā)賬號(hào)、密碼乃至我們一直認(rèn)為非常安全的手機(jī)驗(yàn)證碼，最終竊取登錄憑證。

浙江桐鄉(xiāng)警方近期破獲了一起特大“游戲盜版案”。犯罪團(tuán)伙正是利用了與此同源的“中間人攻擊”技術(shù)，截獲并篡改通信數(shù)據(jù)，偽造購(gòu)買(mǎi)憑證，讓游戲平臺(tái)誤以為用戶已正版入庫(kù)。當(dāng)?shù)卿涷?yàn)證環(huán)節(jié)被不法分子盯上，普通用戶究竟如何防范？

浙江桐鄉(xiāng)警方此前發(fā)現(xiàn)，一種名為“假入庫(kù)”的游戲服務(wù)正在網(wǎng)上悄然興起，用戶只要花上幾塊到幾十塊錢(qián)，就能玩官方售價(jià)數(shù)百元的游戲。

桐鄉(xiāng)市公安局網(wǎng)絡(luò)安全保衛(wèi)大隊(duì)網(wǎng)絡(luò)空間安全中隊(duì)政治指導(dǎo)員姚鋮陽(yáng)：有人來(lái)報(bào)案稱(chēng)他在電商平臺(tái)上買(mǎi)了一個(gè)東西，感覺(jué)電腦中木馬了。然后我們發(fā)現(xiàn)它其實(shí)是電商平臺(tái)上在賣(mài)游戲盜版的情況，它有個(gè)專(zhuān)業(yè)的名詞叫作假入庫(kù)，比如說(shuō)你要買(mǎi)這款游戲，你要先付錢(qián)對(duì)吧？那么假入庫(kù)的意思就是相當(dāng)于它做了技術(shù)破解，你可以花非常低價(jià)錢(qián)，比如說(shuō)一款游戲300塊錢(qián)，你花20塊錢(qián)就可以直接去下這款游戲。

犯罪團(tuán)伙實(shí)現(xiàn)“假入庫(kù)”，正是利用了DLL注入和“中間人攻擊”技術(shù)。

桐鄉(xiāng)市公安局網(wǎng)絡(luò)安全保衛(wèi)大隊(duì)網(wǎng)絡(luò)空間安全中隊(duì)政治指導(dǎo)員姚鋮陽(yáng)：所謂“中間人攻擊”，就是攻擊者將原本用戶與游戲平臺(tái)之間的數(shù)據(jù)交互，劫持到了自己的服務(wù)器上。打個(gè)比方，就像我和你在打電話，嫌疑人把通話劫持到他的電話上。表面上看，好像是我在跟你通話，實(shí)際上是我先跟他通話，再由他把信息傳遞給你，這樣就構(gòu)成了中間人攻擊。游戲平臺(tái)以為消費(fèi)者已經(jīng)購(gòu)買(mǎi)了游戲，但實(shí)際上在游戲公司那邊，并沒(méi)有真正的購(gòu)買(mǎi)記錄和入庫(kù)。用戶雖然暫時(shí)能下載和游玩，但只要換一臺(tái)電腦或過(guò)一段時(shí)間，游戲就會(huì)失效。

除了利用中間人攻擊制造游戲“假入庫(kù)”，警方還擔(dān)心這一技術(shù)被用于搭建仿冒的志愿填報(bào)、查分或錄取查詢系統(tǒng)。例如，首都網(wǎng)警昨天（22日）在其官方微博發(fā)布預(yù)警指出，一條看似正規(guī)的“志愿填報(bào)入口”鏈接，背后可能隱藏著中間人攻擊（AiTM）陷阱。其手法是，在用戶與真實(shí)網(wǎng)站之間搭建一個(gè)隱蔽的“中轉(zhuǎn)站”，將考生輸入的賬號(hào)、密碼乃至短信驗(yàn)證碼實(shí)時(shí)轉(zhuǎn)發(fā)給真實(shí)網(wǎng)站，從而在用戶毫無(wú)察覺(jué)的情況下完成登錄并竊取登錄憑證，嚴(yán)重威脅考生的個(gè)人信息安全。

網(wǎng)絡(luò)安全技術(shù)專(zhuān)家 黑鳥(niǎo)：這種行為基本屬于釣魚(yú)詐騙。比如，攻擊者向?qū)W生群體發(fā)送大量短信，聲稱(chēng)填報(bào)志愿需注意安全事項(xiàng)，并附上鏈接，要求學(xué)生點(diǎn)擊查看或通過(guò)該鏈接申報(bào)志愿，以此偽造官方通知。有時(shí)，用戶訪問(wèn)的網(wǎng)站也會(huì)被劫持，攻擊者將頁(yè)面跳轉(zhuǎn)到自己搭建的虛假網(wǎng)站上，誘導(dǎo)學(xué)生填寫(xiě)個(gè)人信息，從而實(shí)施詐騙。

另一位不愿透露姓名的網(wǎng)絡(luò)安全技術(shù)專(zhuān)家表示，AiTM的核心在于偷走系統(tǒng)的“通行證”，這也使得我們默認(rèn)為更安全的手機(jī)號(hào)加驗(yàn)證碼登錄方式形同虛設(shè)。

網(wǎng)絡(luò)安全技術(shù)專(zhuān)家：現(xiàn)在很多App或網(wǎng)站，為了讓用戶登錄更方便，都支持用手機(jī)號(hào)和驗(yàn)證碼登錄。你登錄成功一次之后，后面很長(zhǎng)一段時(shí)間都不用再輸密碼、驗(yàn)證碼，這是因?yàn)橄到y(tǒng)會(huì)在你的手機(jī)或?yàn)g覽器里放一張“臨時(shí)通行證”。AiTM攻擊的最關(guān)鍵地方，就是想辦法騙你到一個(gè)“假的登錄入口”里完成登錄。這個(gè)假入口看起來(lái)很像真的，比如假冒銀行、快遞、郵箱、公司系統(tǒng)，甚至?xí)屇阏］斎胧謾C(jī)號(hào)、驗(yàn)證碼或密碼。一旦攻擊者拿到這張“通行證”，在它還沒(méi)失效之前，就有可能繞過(guò)密碼和驗(yàn)證碼，冒充你進(jìn)入賬號(hào)。所以，AiTM并不是把驗(yàn)證碼“破解”了，而是騙你在假入口里完成了一次真實(shí)登錄，然后偷走了登錄成功后的“通行證”。

也就是說(shuō)，這種攻擊的危害遠(yuǎn)不止于竊取一次登錄信息，更可能引發(fā)連鎖的個(gè)人信息泄露和財(cái)產(chǎn)損失風(fēng)險(xiǎn)。專(zhuān)家指出，AiTM攻擊偷走的“通行證”，相當(dāng)于把賬號(hào)的臨時(shí)控制權(quán)直接交到了攻擊者手中。攻擊者不僅能冒用考生身份，還可能進(jìn)一步利用獲取的個(gè)人信息，實(shí)施精準(zhǔn)詐騙，比如假冒高校或教育部門(mén)，以“發(fā)放助學(xué)金”“核實(shí)錄取信息”等名義，對(duì)考生和家長(zhǎng)進(jìn)行二次詐騙。

桐鄉(xiāng)市公安局網(wǎng)絡(luò)安全保衛(wèi)大隊(duì)網(wǎng)絡(luò)空間安全中隊(duì)政治指導(dǎo)員姚鋮陽(yáng)：這類(lèi)黑灰產(chǎn)行為危害巨大。電商平臺(tái)上統(tǒng)計(jì)顯示，涉案商家多達(dá)120余家，幾乎覆蓋了該游戲平臺(tái)上的所有游戲。開(kāi)發(fā)商投入數(shù)億元研發(fā)的游戲，通過(guò)這種破解方式無(wú)法獲得正當(dāng)收入，所有收益均流向了盜版商家。更嚴(yán)重的是，用戶下載到電腦上的破解程序，本質(zhì)上可能暗藏木馬。攻擊者可以在其中植入任意惡意代碼，讀取用戶的電腦信息，甚至盜取賬號(hào)、隱私密碼等敏感數(shù)據(jù)。這不僅損害了游戲公司的合法權(quán)益，也對(duì)用戶的網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)重威脅。

面對(duì)這種能夠在無(wú)形中截獲信息的攻擊手法，普通人該如何防范？

網(wǎng)絡(luò)安全技術(shù)專(zhuān)家 黑鳥(niǎo)：要管好網(wǎng)絡(luò)環(huán)境，拒絕貪圖便宜，不下載不明鏈接。尤其不要連免費(fèi)Wi-Fi或者公共Wi-Fi，可以使用手機(jī)熱點(diǎn)去連接筆記本電腦的方式去進(jìn)行填報(bào)志愿，這樣是最安全的。在填報(bào)志愿的過(guò)程中，先確定好是不是真實(shí)、正確的填報(bào)志愿網(wǎng)址，要去看瀏覽器的窗口有沒(méi)有彈出警告信息。比方說(shuō)提示這個(gè)網(wǎng)站的證書(shū)不安全，如果有提示這個(gè)情況的話，不要填報(bào)，換一個(gè)網(wǎng)絡(luò)環(huán)境下去填報(bào)。