克劳迪·韦伯(Claudie Weber)是美国国务院的高级项目顾问。她在 5 月份通过电子邮件与我取得联系,希望讨论“最近的发展”并抄送她的几位部门同事。
这对我这一行的人来说并不罕见。稍微不那么常见的是,“Claudie”不存在,她的任何拥有国务院地址的同事也不存在。这种方法是闯入我的 Gmail 帐户的周密计划的一部分。它似乎已经成功了。
对于像我这样的专业俄罗斯观察者来说,成为不受欢迎的网络关注的对象是一份工作。黑客攻击和网络钓鱼的粗暴尝试或多或少是持续的,我们时不时会遇到一些真正新颖或聪明的东西。
早在 2019 年,我就揭发了使用 LinkedIn 的在线欺骗活动,这是第一个记录在案的深度伪造生成的面孔被用作此类作的一部分的实例。几年后,一次精心设计的网络钓鱼尝试让我在半秒钟内点击了一个欺骗性链接,该链接似乎是我真正的配镜师的预约提醒。
但 Claudie 的努力又有所不同。这个名字背后的作者仔细、煞费苦心地汇集了许多不同的合理性支柱,与以往不同,他们没有犯错。
例如,他们显然知道我做的第一件事就是给她的 state.gov 地址的“同事”回信,看看他们是否存在——但他们也知道(我不知道)美国国务院的电子邮件服务器接受所有传入的邮件,如果你写信给不存在的人,它不会向你显示错误。
接下来是一个缓慢、耐心且最终成功的过程,指导我为我的所有电子邮件打开后门。
多伦多大学公民实验室(Citizen Lab)详细描述了我的电子邮件帐户遭到黑客攻击的情况,该组织致力于保护公民社会免受此类国家运动的攻击,您可以在他们的报告中阅读一些带有“Claudie”字样的电子邮件流量。谷歌的威胁情报小组也报告了这次行动,并将其与他们暂时与俄罗斯外国情报局有联系的其他行动联系起来。
这次攻击使用了 Gmail 和其他应用程序中一种称为应用程序特定密码 (ASP) 的功能。这是一种创建特殊密码的方法,这样你仍然可以使用不支持现代安全协议的较旧或不太安全的应用程序。
这就是问题所在:ASP 是一种广泛可用的方法,可以绕过我们都被如此坚持地告知以确保到位的所有安全预防措施,例如将验证码发送到我们的手机。当其他安全系统无法正常工作时,Microsoft、Apple、Google 和其他平台都支持该功能,作为一种看似常规的技术解决方法,几乎没有关于此类工具的危险性的用户友好警告。
重要的是,黑客攻击没有利用软件中的某些技术漏洞。正如 Google 所指出的,“Gmail 本身没有缺陷”;相反,“攻击者滥用了合法功能”。
没错:ASP 设置完全按预期工作。这次攻击通过说服我设置一条进入我帐户的路由来发挥作用,该路由是设计内置的,而不是通过智取安全人员并闯入。从最字面的意义上讲,我们电子邮件帐户的后门不是一个错误,而是一个功能。
但这是有问题的。事实上,有一个广泛可用的选项可以绕过今天的安全预防措施并打开您的帐户,这不仅对我是一个意外的发现,而且对我与之交谈过的任何不熟悉网络安全业务的人来说都是一个意外的发现。
因此,对于 Google 来说,“不存在与 Google 的应用程序特定密码相关的漏洞”在技术上是正确的,但在 ASP 被利用的难易程度方面可能非常具有误导性——正如我的案例以及现在可能有的许多其他案例所证明的那样。(我似乎是第一个公开表示自己以这种方式成为目标的人,但我确信我不会是最后一个。
正如 Google 还指出的那样,当用户创建其中一个密码时,他们会收到一封通知电子邮件。但是,当您已经知道自己设置了一个时,无论您是否被欺骗这样做,这都非常有用。
因为一切都按预期进行,所以我无法看到任何不对劲。值得称赞的是,正是 Google 的安全系统最终注意到了问题所在,导致我的帐户被冻结。
恢复我的帐户后,我在安全设置中发现了一条深藏在安全设置中的通知,内容是关于从可疑地址登录的通知——日期是 Google 在没有警告的情况下锁定我的帐户的八天前。
这些平台加强了数字安全,同时保留了使用 ASP 进行连接的选择,这就像为您的前门投资了沉重的新锁,但为没有钥匙的人留下了侧门。因为它涉及一种可能影响几乎任何人的聪明的新攻击,所以我的案子在专门研究网络安全的媒体上引起了相当多的关注。
除了 Google 之外,其他组织自然也更愿意认识到安全问题。正如另一家网络安全公司 Sophos 在 6 月 18 日向客户发出的警告中礼貌地指出的那样:“在创建过程中,创建应用程序密码并将其提供给第三方的潜在影响并未明确说明。
换句话说,真正有帮助的是在设置 ASP 的过程中发出警告,说明它们到底是什么以及它们做什么,这会提醒我发生了什么。Google 已经正确地指出,在他们的帮助文件中有一条警告。但是,如果您不访问这些帮助文件,那将无济于事,因为就像我的情况一样,您的攻击者已经好心地提供了他们自己的真实手册来指导您完成整个过程。
这个故事的真正英雄是在公民实验室——尤其是隐私和安全专家约翰·斯科特-莱尔顿。是约翰和路透社记者拉斐尔·萨特(Raphael Satter)和詹姆斯·皮尔森(James Pearson)一起帮助我拼凑出发生的事情,当时我只能看到谷歌冻结了我的账户(有一次,他告诉我这是因为“违反政策”)。
正是他们利用他们在 Google 的专业关系试图帮助我重新获得控制权。
公民实验室自称是一个“跨学科实验室”,专注于信息技术和人权研究。但是,他们对针对公民社会的数字间谍活动的调查,以及他们针对公司和国家机构保护公民隐私和其他权利的努力,对于像我这样将矛头指向俄罗斯政府等恶人但没有强大政府或机构支持的人来说,是无价的。
有几个人问我是否担心攻击者会如何处理他们从我的账户复制的消息。预计下一步是,从该帐户中窃取的任何电子邮件都将被用于黑客-伪造-转储攻击,黑客将它们传递给俄罗斯的西方代理人或同情者,作为旨在诋毁莫斯科对手的“泄密”发布。
早在 2023 年,当苏格兰议员和俄罗斯批评家斯图尔特·麦克唐纳 (Stewart McDonald) 成为类似的目标时,在他宣布自己被俄罗斯黑客入侵后不到 48 小时,英国活动家克雷格·默里 (Craig Murray) 就吹嘘他获得了麦当劳的电子邮件。
所谓的泄漏通常是真实消息和文件的混合物,其中一些已被更改,另一些只是虚构的——此外,通常还有恶意软件和病毒,以感染任何好奇心足以下载它们的人。
目的可能是将我和我合作的机构描绘成江湖骗子、新纳粹分子、间谍、风流浪子、滥用药物或小狗,或以上所有的人。但这意味着,担心我的电子邮件中任何可能令人尴尬的内容都没有什么意义——如果黑客没有找到他们想要的东西,那么他们无论如何都会编造它。
目前,俄罗斯在社交媒体上的喷子和喉舌已经忙于他们关于我是谁和发生了什么的说法。有一个一致的模式,即在事情发生后 24 小时,他们的故事情节才会被传播出去——之后,相同的台词几乎在不同的媒体和不同的语言中逐字重复。
俄罗斯业务中的一些现实生活中的人物也对这种“搞笑”的黑客攻击感到高兴。但这与我这一行中某人认为理所当然的谎言和辱骂的背景噪音没有太大区别。
在这种情况下,更重要的是,世界上有多少其他人可能面临相同的安全风险,但对此一无所知。现在,该工具的强大功能已经得到证明,网络研究人员预计它会得到更广泛的使用。这意味着它不仅可能被滥用于在俄罗斯树敌的人,比如我自己,还可能被滥用于那些可能不认为自己处于危险之中的普通用户。这可能是针对网络犯罪、低级窥探或只是结算分数。
就我而言,攻击者投入了大量的时间、精力和耐心来构建骗局。无论出于何种原因,他们认为我是值得的——或者他们只是在这么多年之前失败的努力之后感到沮丧。
但是,任何不像我那样自动谨慎的人——也许是因为他们不在经常看到他们成为目标的工作中——可能会被一个远不那么复杂的欺骗活动所欺骗。
我们可能都有朋友和亲戚,尤其是年长的朋友和亲戚,他们被骗了,事后看来,这些骗局似乎很明显。
如果他们知道怎么做,那么读者应该检查他们的账户上是否设置了这种密码。如果他们担心,有一些选项,例如 Google 的高级保护计划,它可以阻止这种攻击方法和其他一些方法。但无论如何,谷歌和其他公司都应该确保普通用户更广泛地了解此帐户功能的风险。
当攻击成功时,让更多人站出来发声也很重要。可以理解的是,以这种方式被骗的人有时不愿意站出来分享细节。任何比我脸皮薄的人都会感到尴尬——并为被智取而感到有点愚蠢。但必须尽可能多地分享。我们的集体安全比一个人的个人尴尬更有价值。