從 iCloud 疑遭入侵,好萊塢 A 咖女星裸照外流事件,學到的五件事

2014年爆發史上最大藝人裸照外洩事件,包含奧斯卡影后珍妮佛勞倫斯(Jennifer Lawrence)在內因遭駭客盜取帳號,多達60張艷照火速流傳,甚至登上當日 Google 熱門搜索第一名。正在流傳的照片從有穿衣服對著鏡子自拍到不堪入目的都有。受害者還包括了愛莉安娜·格蘭德(Ariana Grande),凱特·阿普頓(Kate Upton)和維多利亞·嘉絲蒂(Victoria Justice)。

提醒好奇的網友們,很顯而易見地,現在如果點入「明星裸照」連結或打開電子郵件附加檔案都會是個「非常」糟糕的主意,因為不法份子馬上就會利用這個大好的機會。事實上在事件發生後沒幾天,就出現了相關詐騙:想看iCloud被駭明星影片,請先分享到fb?! 搜尋被駭明星關鍵字,當心病毒守株待兔

想看iCloud被駭明星影片,請先分享到fb?! 外流私密照騙局趁火打劫,搜尋被駭明星關鍵字,當心病毒守株待兔

這些照片首先出現在惡名昭彰的4chan圖片討論區,作者聲稱還有更多的照片,甚或是影片資料。這些都偷自 iCloud 帳號,而且價高者得。當然,這些照片的發布也造成許多假照片的出現,但出現這許多照片的事實(某些已經被受害者的經紀人所證實)帶給所有使用iCloud而想保持隱私的人一個不舒服的問題…我的雲端儲存安全嗎?

趨勢科技分析,本次事件有以下5種可能的發生原因:

1 –被駭者都用弱密碼:所有受影響的明星都因為容易被猜到的弱密碼而被駭。駭客只要找出來就可以登入。針對裸照外流事件,蘋果發出新聞稿指稱他們不認為iCloud有漏洞,可能是這些女星帳號的密碼設定得太簡單。

過去發生的名人帳號被駭事件,簡單密碼確實是主要被駭原因,以下舉兩個例子:

演出”復仇者聯盟”之”綠巨人浩克”一角的馬克魯法洛推特被駭後,駭客留言表示:「我要睡了,希望你能取回密碼,你的帳號被入侵,因為密碼設定太蠢了。」

英國媒體取得被敘利亞反對派攔截的敘利亞總統三千多封電子郵件,其中包括他和妻子的私密對話,還有他向伊朗請益的證據。還意外地發現總統大人下載不少的遊戲和電影,被看光的原因是敘利亞總統信箱密碼竟是在歷年帳密被盜事件中都會入榜的超虛弱密碼「12345」。

2 –受害者未啟用iCloud的雙向認證:如果攻擊者知道受害者iCloud的電子郵件地址,假設受害者沒有啟用iCloud的雙向身份認證,攻擊者就可能透過「忘記密碼」功能進行密碼重置。如果沒有雙向身份認證,密碼重置會採用傳統的「安全問題」作法,因明星多數個資可從網路取得,包括寵物名稱等等,大幅提升帳號被駭的可能性。

過去的名人被駭/病毒事件,因為密碼提示問題而被入侵帳號的名人:歐巴馬、小甜甜布蘭妮, 莎瑪.海耶克、莎拉裴林,請看相關文章

延伸閱讀:密碼提示問題如何設定才不會被猜中?其實答案很簡單:答非所問

粉絲建議:
「你母親的姓氏?」我覺得還不錯啊…但我設定的答案是…”卡好”。
「我寵物的名字?」我都寫我老婆英文名字。

3 – 攻擊者侵入另一較弱安全性或密碼的關連帳號,也許是用來接收iCloud密碼重置郵件的網頁郵件帳號。

4 – 密碼重複使用。太多人都喜歡在多個服務都使用相同的密碼。因為最近有太多人都受到大型資料外洩事件的影響,所以只要使用被竊認證資訊服務即可。網路上銷售這些的服務越來越多,但同時被竊資料的價格也因為供過於求的關係而開始下跌。所以如果受害者在iCloud使用跟已經被駭或外洩帳號相同的密碼,那iCloud之門等於已經被打開。

5 – 網路釣魚。這是老招了,但仍然有效。針對性釣魚郵件發送給許多明星,引誘她們輸入自己的iCloud認證資訊到假的登入畫面,這樣的效果跟進行更複雜的駭客攻擊一樣的好。


加密勒索病毒最大宗的攻擊方式:網路釣魚信件

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載


 

我們可以從這裡學到的五件事 

  1. 如果任何網路服務提供你加強安全性的選項,那就加以啟用。即使你覺得啟用雙向身份認證可能會造成你在登入時的些許不便,我敢說如果你數位生活的核心服務被駭將會造成更大的不便。
  1. 切勿重複使用密碼。在多個網站使用相同的密碼並不是個好主意,所以盡量在每個網站上都使用唯一的密碼,更好的是使用密碼管理程式,為你提供只需記住單一密碼的便利,卻又做到每個服務都有唯一密碼的安全性。
  1. 你是唯一知道密碼重置問題的人至於安全或密碼重置問題,要考慮到問題的答案是否真的安全。安全指的是你是唯一知道問題答案的人。可以的話就選擇自己建立的問題,但如果你只能選擇使用制式的標準問題,如「第一所學校」或「第一隻寵物」,記得答案並不一定要是真的,只要是你可以記住的東西就行了。
  1. 刪除並不一定真的代表刪除,就跟其中一些受害者所發現的一樣。要熟悉你所使用的網路服務,看看是否有備份或陰影複製(shadow copy),以及它們如何進行管理。
    在這次的案例中,似乎有些受害者認為從自己的手機刪除照片就可以了,她們或許忘了Apple的照片串流。icloud2
  1. 噢,還有一件事,不要再自拍裸照了
    從 iCloud 疑遭入侵,好萊塢 A 咖女星裸照外流事件,學到的五件事

 

@本文參考改寫來源:Naked celebrities revealed by “iCloud hack”

再次提醒:

三大爛密碼

趨勢科技資深技術顧問簡勝財提醒:「網路犯罪者常利用熱門話題或新聞事件進行不法活動,使用者應避免下載來路不明的檔案或網路連結,避免遭惡意程式或遭到網路釣魚而不自知。趨勢科技建議使用者,採用網路服務商提供的加強安全性選項如啟用雙項認證,切勿在多個網站重複使用密碼,並可使用具密碼管理功能的資安防護軟體加強防護,如趨勢科技趨勢科技PC-cillin 2014雲端版密碼管理通。此外,部分網路服務具有備份功能,刪除檔案時,也必須注意資料是否已有備份或陰影複製(shadow copy),也呼籲使用者勿拍攝私密照以降低資料外洩風險。」

 

同場加映:

設定密碼常見的錯誤

設定密碼常見的錯誤

髒話密碼

使用髒話當密碼有加倍的壞處,不僅因為這是種弱密碼,而且當密碼外流時也會讓使用者丟臉。你不會想用罵老闆的話當成密碼的,這種密碼可能會讓你需要用LinkedIn去找另一份工作!而且罵人的話也通常都在暴力破解字典的前端

別用網站屬性關聯詞
很多使用者的密碼跟網站有關,這是種糟糕的作法。從LinkedIn案例來看,「link」、「work」、「job」、「connect」和「career」在我們的分析裡排在常見密碼的前20位。而且如果你用七個字母的相關單字做密碼,而平均密碼長度是八個字母時,你就糟糕了。

宗教聯想詞
講到密碼時,別碰宗教是件好事。像是「god」、「angel」和「jesus」是前15名的常用單字。我們之前看到當人們在宗教附屬網站選擇密碼時,常常會落入這一模式。現在也還是一樣。

密碼至少要包含四個單字,要隨機卻也要很容易記住的。許多密碼跟傳統短密碼一樣,像是用「ilove」做密碼開頭。如果密碼是「ilovejen」,那攻擊者基本上只要破解三個字母就好了。

使用排序數字也是個問題。

許多人就好像還在芝麻街學數數一樣,「1234」、「12345」、「123456」、「654321」和「1234567」都出現在前30名常用密碼。

密碼至少要包含四個單字

許多密碼跟傳統短密碼一樣,像是用「ilove」做密碼開頭。如果密碼是「ilovejen」,那攻擊者基本上只要破解三個字母就好了。

Love 不輕易說出口
當跟家人或所愛的人在一起時,「I love [中間有空格]」是完全適當的字眼。但跟它相關的任何字詞對我來說都是該禁用的密碼。像是「ilove」和「iloveyou」。

關於密碼:LOVE不要輕易說出口

延伸閱讀:

Angel是被盜密碼排行榜常客

密碼管理通,再多的密碼也不用記小抄(含七個密碼帳號管理小秘訣)
< 情到濃時,也不要共用帳密 > 把隱私和密碼視作你的最後一塊錢一樣防衛!
Angel、 Michael….被盜密碼排行榜常見英文名字
密碼別再12345,521314(我愛你一生一世)了~PE_MUSTAN.A 病毒鎖定 246 組弱密碼刪除檔案
1位副總統候選人,2位總統 , 3位大明星,猜猜哪位用 12345 當密碼?(含12個保護密碼實用的祕訣)
臉書當萬用帳號,到處網購超方便?!幫好友回撥新門號,竟成網拍人頭戶 !….網拍購物安全小秘訣

 

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數 從 iCloud 疑遭入侵,好萊塢 A 咖女星裸照外流事件,學到的五件事 從 iCloud 疑遭入侵,好萊塢 A 咖女星裸照外流事件,學到的五件事 從 iCloud 疑遭入侵,好萊塢 A 咖女星裸照外流事件,學到的五件事