以下内容转载自:阮一峰 科技爱好者周刊(第 392 期) – axios 投毒与好莱坞式骗术
上周,著名软件库 axios 被投毒了。黑客拿到了发布令牌,直接发了一个新版本,里面加入了木马。
软件投毒不是新鲜事,新鲜的是发布令牌怎么泄漏的。背后的故事简直是好莱坞电影,根本防不胜防。
axios 属于使用最广泛的 JS 软件库之一,每周下载量接近1亿次,所以这次投毒的感染面很大。
而且,木马的恶性程度很高。根据官方的清除说明,如果不幸中毒,机器上所有的密钥、令牌和凭证都要作废。这个木马会扫描所有目录,收集密钥,然后发出去。
大家要知道,像 axios 这种超级流行的软件库,每个环节都有完整防护,每一行代码都被严格审查。这次攻击完全是一场精心策划的社会工程,把这些防护都攻破了。
攻击目标选定首席维护者 Jason Saayman。据本人透露,事件过程是这样的。
他们根据我的情况量身定制了这一流程,具体做法如下:
- 他们冒充某公司的创始人联系我,不仅克隆了该公司创始人的外貌,还克隆了该公司本身。
- 他们随后邀请我加入一个真实的 Slack 工作区。这个工作区使用了该公司的品牌标识,名称也十分可信。Slack 的工作区设计得非常精巧,他们设有专门的频道来分享 LinkedIn 上的帖子。我猜这些 LinkedIn 帖子最终会发布到该公司的真实账号上,整体效果非常逼真。他们甚至还创建了一些我推测是该公司团队成员以及其他一些开源软件维护者的虚假账号。
- 他们安排了一次与我的会面,目的是进行沟通。会议是在微软 Teams 上进行的。参会人员似乎是一群人。
- 会议指出我系统上的某些东西过时了。我以为是和 Teams 有关,就安装了缺失的组件,结果发现是远程木马(RAT)。
- 一切都安排得井井有条,看起来很正规,而且做事方式也很专业。
可以看到,这个攻击是有剧本的,每一步都经过了策划,充分准备和排练,完全为你度身定制,就等你落入圈套。
行骗者非常耐心,投入了巨大的前期成本。首先,假冒某公司的创始人联系你,为了提升可信度,还做了假的公司网站;然后,邀请你加入他们的 Slack 工作区,里面有各种讨论、项目文档、宣传物料,看上去就像真的一样;最绝的是,他们还让你在 Teams 软件上参加公司的视频会议,一群骗子亲自露面,陪你一起开会。
会议开始后不久,主持人突然说:”奇怪,你的系统怎么跟我们不一样,是不是微软的插件过时了,我发你一个最新版。”你就这样收到了传过来的安装包,看到别的与会者都在等你,你也就没有多想,直接双击执行了。哦喔,就这样中招了,发布令牌一秒钟就泄漏了。
作假到这种程度,让人叹服。
这让我联想到不久前看到的一条印度新闻,作假程度有过之而无不及,也是如同好莱坞电影。
去年圣诞节,一位印度新德里的77岁老太太,收到了”警察局”的 Whatsapp 视频电话。视频右下角居然还有手语翻译。
警察跟她说,银行发现她的账户有洗钱记录,必须对她进行调查,如果不配合,账户资金将被没收,通知她远程出席法院的调查听证会。
媒体后来披露了”警察局”的布景照片,大家看看多么逼真。
前三张照片是印度警察局,最后一张是巴基斯坦警察局,它们在一栋楼里,房间紧邻着。要知道这两个国家在现实中是对立的,但是不妨碍骗子两边都骗。
再回到案子本身,几天后,老太太参加了线上听证会,在一个法院里举行,由”法官”亲自主持。他查看了资金记录,听取了”警察”的证词,向老太太询问了一些问题。
最后,”法官”告诉老太太,当局需要核实她的所有资产是否合法。她必须每天都跟警察局连线,回答问题,直到查清为止。
下面就是这个案件最精彩的部分,一连16天,老太太每天开着摄像头连线,大家看看骗子演到了什么程度。
在这16天里,老太太渐渐喜欢上了在假警局轮班的警官们。她开始称他们为自己的孩子们。而他们也反过来称她为”母亲”。
晚上,她和最年轻的军官一起阅读印度教宗教经典,这位军官请她把她觉得特别感人的段落发给他。
“他们就像家人一样,”老太太回忆说。”他们说,’女士,我们想尽快把事情解决。我们日夜为您工作。'”
天哪,骗子从早到晚演了16天,跟老太太促膝长谈,一起读经典,请教人生问题,直到深夜。这要是拍成电影,该有多动人。
老太太没有丝毫疑心,心甘情愿卖掉了自己的投资,累计九次向假警察局的账户总共转出了160万美元。
第二天,她再跟”警察局的孩子们”连线,就连不上了。
从上面两个案例,大家可以看到,现在的互联网骗局可以演到什么程度,完全是精准投放的”剧本杀”,成功率极高。要是再加上 AI 的加持,几乎不可能分辨真假。
网站开发有一条规则:客户端的每一个请求都不可信任,必须假定是恶意请求。以后,现实生活恐怕也是这样:每一个陌生人都不可信任,必须假定是恶意骗局。
留言