問:蔡英文近日宣誓就職成為中華民國總統,不少中國網民都可能有興趣瀏覽民進黨網站。但近日有保全公司發現,懷疑由中國派來的黑客,竟然引導網民去假網站來意圖騙取資料,到底是怎樣的一回事?
李建軍:根據保全公司Fireeye的資料,中國有關的黑客集團APT16,在4月7日攻擊民進黨網站,當網民訪問被攻擊的民進黨網站時,會被引導到表面內容一樣的假網站,乘機植入木馬資料,意圖令中國政府掌握民進黨支持者,或有興趣研究民進黨的人的網絡信息。
由於中共當局經常都想用旁門左道的地方,取得異見人士和支持者的資料,因此,瀏覽網站時務必小心,特別要留意瀏覽器上網址部分,有沒有顯示一些不尋常的網址。例如這次黑客會引導網民到wxw.dpp-org.com,而並非正常的。而我翻查過WHOIS紀錄,dpp-org.com的擁有人,是一間廣州的公司。
問:其實怎樣查閱一些奇怪的網域名的擁有人?
李建軍:其實網域名擁有人的登記機制是相當透明,透過部分像Godaddy等公司提供的WHOIS服務,或作業系統應用程式提供的WHOIS查詢服務,打入網域名稱,就可以知道這些網域在ICANN的登記紀錄,偽冒網站的登記資料通常很古怪,例如民進黨網站網域不可能由中國人和公司所擁有,但如果你查到的資料顯示,相關域名由中國人所擁有,那就肯定涉及偽冒網站。懂得查網站是否偽冒,對防止自己招惹釣魚電郵,或瀏覽假網站有相當大的幫助。
有部分知名企業的網域,擁有人登記資料正常而言,都是相關的企業,以及代表人,如果你發現知名企業網域的擁有人,出現刻意隱藏擁有人資料的奇怪情況,你都可以很容易斷定,有關網域是有心人登記用作混淆視聽之用,瀏覽這類網站時,必須提高警覺,以免有任何資料上的損失。這些網站刻意隱藏擁有人身份的真正目的,就是防範執法機關的追查。
這集翻牆問答,會有片段示範以Godaddy的主機,翻查個別奇怪網址的登記資料,歡迎各位瀏覽本台網站收看。
問:除了翻查WHOIS登記資料,還有什麼方法,來判斷是假網站?
李建軍:利用翻查網域相連IP位址的lookup服務,知道相關主機的IP位址,再查IP的WHOIS資料,都可以很容易查出假網站。例如民進黨的假網址,主機設在香港公司的VPS內,而民進黨作為台灣政黨,主機一般放在台灣公司的主機,甚至自設主機,這對判斷假網站與否十分有幫助。用戶防範於未然,這是最重要。
問:聯想所出產的電腦,不論在中國還是在海外銷售的型號,都被發現內藏木馬。而最近聯想出產的電腦,又被發現有問題,聯想要求客戶解除隨機附送部分應用程式的安裝,請問詳情如何?
李建軍:這次聯想發生保全問題的程式,安裝在絕大部分使用Windows10作業系統的電腦,只有Think系列的電腦因未有安裝相關程式而不受影響。這次聯想要求客戶解除安裝的程式,主要用作加速聯想的應用程式之用,但由於這個加速程式會在未加密的情況下,連接不知名的主機,有可能造成資料外泄的問題。
由於聯想隨機附送的程式,經常被發現有保全問題,因此,不論你的聯想電腦在那一個國家買,其實如無必要,都應考慮解除安裝聯想公司附送的各類應用程式,以策安全。
