原文链接:https://wall101.com/status/security/
我自己在资讯领域也打滚了好一阵子,不时会听到一些资料被盗用、电脑被拿来挖矿、甚至银行帐户不知道为什么变成了人头黑户这类消息。就我所知这些被害者通常都是通过下载某些特殊应用造成电脑讯息被窃取。前阵子我在「最好用的VPN」写到了免费翻墙软件可靠么,各位不妨可以回去参考一下过去我朋友的经验。
我不确定「免费」的提供商是透过什么方式维持其伺服器的运作,对客户最友善的方式就是提供免费但是限制网路速度、限制流量的方案,等客户习惯使用后发现流量不够使用而购买付费服务。
为什么选择VPN下手
众多的木马程式,钓鱼软件选择VPN下手一个很重要的原因是VPN程序会建立一个新的和其他服务器的网络连接。而且所有的流量都会通过这个通道,那这也给了各类的犯罪分子可乘之机。想象一下,当用户愿意建立VPN连接的时候,就是在裸奔。如果没有良好的保护措施,所有的浏览信息和隐私记录都会直接暴露在VPN软件的目光下。
在这个时候,用户所有的数据,可以说是主动送上门来的。是你主动下载了免费的VPN,是你主动让VPN管理你全部的网络流量。VPN就真的可以为所欲为。这也就难怪为什么木马和病毒会集中在免费VPN当中了。
另外一个情况是很多时候,大家会忽略系统对VPN软件的警报。因为我们知道就算是正常的VPN软件很多时候也会主动让操作系统发出警报。这时候,对大部分人来说,他们很难确定操作系统发出警报是因为软件是“VPN”还是这个软件内藏有危险的程式和代码。
再加上VPN往往会请求系统较高层面的授权。例如Windows中的“以管理员身份运行”。当用户以为较高层面的授权是为了在系统的网络设置中增加VPN的设置,殊不知,各类黑客和木马程式也是借助用户的主动授权,获取了控制操作系统的能力。这相较网络控制更加可怕,网络流量的查看只是针对你的浏览记录来说,当木马可以掌控操作系统的时候,可以这样说,电脑已经属于黑客了。
最常见的【免费陷阱】
这里我们列出几个常见的免费VPN陷阱,也请大家多加留意。
挖矿程式
我们知道虚拟货币在市场上流通一天高达千亿美元,任何人都可以利用电脑资源「挖矿」换取虚拟货币进入市场交易,通常挖矿程序会让您的电脑不论是处理器、显示卡在不知情的情况下偷偷运转,消耗客户电脑寿命、产生的多余电费、甚至导致电脑效能严重降低,免费VPN 提供者透过您的电脑挖矿产生的利润维持其伺服器运作,而且赚取高额的利润。
网络上这样的例子层出不穷。下面看起来是一篇普通的论坛文章👇,但实际上,这是一个穿了VPN外衣的挖矿程式。
如果打开这个软件运行,通过查看软件内部,我们发现它在利用CPU资源,来挖取加密货币领域非常出名的货币-- 门罗币。
这边可以多说一下,我也在区块链,加密货币领域研究了蛮久的。门罗币是一个注重隐私的加密货币,所有的转账记录都无法判断转出者和收款人。通过这种方式,黑客既保证了自己的金流不被监控。同时因为用户选择使用VPN,而VPN在中国大陆是被禁止的。绝大多数的用户也不会进行举报这种系统被强制挖矿的行为,自己的安全也得到了保证。
这类挖矿程式的代码植入并不困难,这种低风险,超高收益也导致大量的用户通过不知不觉的挖矿,帮助黑客赚取了超高的利润。而我们要注意,这只是一个开始,下面还有很多种方法黑客还能从现有的用户中获得其他的收益。
空壳程序
很多的免费VPN并没有对用户的数据进行加密,因为成本的限制,VPN厂商是不可能选择国外的无日志伺服器,而是进入政府相关网路安全单位的监控。这类的程序有时也由政府安全部门释出,您「感觉」翻墙了,不过实际上仍受到很多讯息的屏蔽,甚至因为违法证据确凿而面对高额罚款。
窃取讯息
这类是最糟糕的免费软件,他们不透过您的电脑赚取虚拟货币获取利润,而是直切取得您的重要资料,例如身分证件资料、地址银行帐单资料。当然,就像我们在上面所说的,黑客也可能既开启挖矿程式,又窃取用户的机密资料,这两者并不相互干扰。
其实就算没有直接取得您的金融帐户,也可以透过这些资料在金融机构进行「开户」,进行各类的违法犯罪交易。所以过去我们听到一些新闻,有人在完全不知情的情况下,变成了人头帐户甚至引来牢狱之灾,这类千万要小心。
金融骇客
这类是所有「陷阱」中最危险的,他们摆明就是要您银行的钱。这类骇客通常会大量购买【知名】VPN 授权,在程序中加以串改,利用免费、破解软件之宣传方式让您以为真的免费下载到了国际大厂VPN,实际上该软件会在您的电脑后台监控任何金融交易资讯,包括支付宝、网银、信用卡等资讯。等资讯到手后再复制您的帐户进行交易获利。
免费VPN安全么
以最出名的蓝灯VPN为例,其实蓝灯完全不是VPN。蓝灯是由Brave New Software开发的美国政府资助的开源代理服务、于2013年问世。简单来说它是一种【通过开源对等网络工作的代理】,这与VPN 强调保户用户隐私的功用整好相反。简单来说蓝灯的网路协议是透过SOCKS代理,帮助使用者绕过网路防火墙的屏蔽。
如果您查看蓝灯官网的官方问答区,可以发现官方针对安全性并没有特别的强调,简单来说它是一个提供我国网友简单翻墙的一个方式,并不像是ExpressVPN, NordVPN 等大厂提供了最完善的安全保障。
我这样说,对于那些使用ExpressVPN, NordVPN 的人而言,他们是购买了「全世界最安全的连网服务附带翻墙功能」,而就蓝灯而言,他仅提供了「翻墙功能」 。
所以这一切还是看使用者的用途决定,像是我自己必须要主持跨国会议、处理线上金流等,我选择ExpressVPN是为了安全,附带了翻墙功能。 如果您平时联网仅是看看YouTube搞笑影片,不透过网路处理金融、不做线上交易或是观看【敏感内容】,那蓝灯可以满足您的需求。
付费VPN就一定安全么?
但如果很多的免费软件都不安全的话,是不是付了💰,就能买到心安呢?
事情也并不是这样的。
没有加密的VPN
- 最近对来自澳大利亚联邦科学与工业研究组织的研究人员对Google Play商店中的283个移动VPN进行了深入分析后,发现大多数产品服务的隐私和安全都存在着严重缺陷。
- 其中18%的移动VPN虽然都创建了专用网络,但都没有对其进行加密,从而将用户流量暴露给偷窃者或中间人攻击。与此同时,84%的应用程序未正确加密网络流量,也没有使用最新版本的互联网协议。
CSIRO Data61研究员Dali Kaafar说:
- 我们所检测的这些应用程序目前正被全世界的数千万人使用。
大量没有被加密的VPN在市场上流通,而用户是非常难判断哪些VPN有做加密处理,哪些没有。
其实我也可以很快写出一个好用的VPN软件,但从我在大厂多年的工作经验来说,我「很难」写出一个安全的VPN软件。安全这类的问题不是普普通通的程序员能够解决的。道高一尺,魔高一丈。随着网路安全的发展,黑客的攻击手段也是越来越高明,而操作系统和各类APP,软件也变得越来越复杂。网络安全还是需要专业的网络安全专家来处理。
如何选择可靠的VPN,还是要从“有信誉”,“知名度高的大厂里面选择”。如果有需要的话,可以参考本站作出的评测
没有评论:
发表评论