通過(guò)綁定郵箱破入手機(jī) 黑客勒索機(jī)主索要“辛苦費(fèi)” 專(zhuān)家建議千萬(wàn)別裝陌生軟件

　　近期，廣州市民劉太一覺(jué)醒來(lái)發(fā)現(xiàn)，iPhone中記錄著自己家寶寶成長(zhǎng)歷程的珍貴照片被刪除了，還收到攻擊者“三天后聯(lián)系你解鎖”的勒索信息，原來(lái)劉太 蘋(píng)果 賬號(hào)使用的是 網(wǎng)易 郵箱，結(jié)果賬號(hào)被盜，賬號(hào)密碼被盜，信息也被刪除。面對(duì)飛來(lái)橫禍，劉太緊急采取措施，向網(wǎng)易申訴，對(duì)方回復(fù)需要公安部門(mén)才能調(diào)取相關(guān)資料。在蘋(píng)果客服的幫助下，劉太找回了賬號(hào)密碼，但照片無(wú)法恢復(fù)。劉太認(rèn)為，蘋(píng)果方面有過(guò)失，一方面未能及時(shí)告知用戶(hù)賬號(hào)被修改等異常情況，另外通過(guò)郵箱就能改密碼抹掉手機(jī)信息的機(jī)制存在安全隱患。蘋(píng)果客服對(duì)此解釋說(shuō)，蘋(píng)果默認(rèn)掌握賬號(hào)密碼者就是該iPhone的主人。

　　原本為保護(hù)手機(jī)丟失防止泄露機(jī)主信息的icloud功能卻被不法分子利用。IT安全專(zhuān)家表示，攻擊者會(huì)通過(guò)暴力登錄接口、木馬等方式盜取用戶(hù)賬號(hào)，建議用戶(hù)icloud賬號(hào)密碼不要和別的網(wǎng)站通用，如果手機(jī)“越獄”了，不要裝陌生的軟件。

　　文/廣州日?qǐng)?bào)記者 李華

　　實(shí)習(xí)生/何志榮

　　郵箱賬號(hào)被盜

　　iPhone信息遭抹除

　　劉太清早發(fā)現(xiàn)自己的iPhone恢復(fù)到了出廠狀態(tài)，通訊錄、照片全沒(méi)了。她打開(kāi)關(guān)聯(lián)了蘋(píng)果賬號(hào)的網(wǎng)易郵箱，發(fā)現(xiàn)凌晨?jī)牲c(diǎn)半收到幾份郵件，郵件記錄了一連串的操作過(guò)程，包括劉太的蘋(píng)果賬號(hào)密碼被修改、找回iPhone程序被啟動(dòng)、iPhone被確認(rèn)丟失、iPhone信息被抹除等。此外，還有一封郵件寫(xiě)著“三天后聯(lián)系你解鎖”。

　　劉太想起了最近朋友賬號(hào)被盜遭遇黑客勒索的經(jīng)歷，想不到自己也“中招”了。原來(lái)劉太的蘋(píng)果賬號(hào)綁定了網(wǎng)易郵箱，黑客破解了她的郵箱密碼，半夜三更通過(guò)網(wǎng)易郵箱修改了她的蘋(píng)果賬號(hào)密碼，然后遠(yuǎn)程刪除了她iPhone上的通訊錄、照片等重要信息。

　　劉太趕緊聯(lián)系蘋(píng)果的客服，在客服幫助下找回了賬號(hào)密碼和通訊錄，但是手機(jī)上的照片被抹掉，連上傳了云端的照片也被刪除，無(wú)法找回來(lái)。幸虧劉太沒(méi)有給賬號(hào)綁定銀行卡，暫時(shí)還沒(méi)有遭遇錢(qián)財(cái)損失。真是飛來(lái)橫禍，一覺(jué)醒來(lái)，記錄著自己家寶寶成長(zhǎng)歷程的珍貴照片就這樣被刪除了，還要面臨黑客的勒索。

　　劉太一邊報(bào)警，一邊去找網(wǎng)易客服申訴自己被盜號(hào)了，希望能拿到關(guān)于黑客的登錄信息。

　　網(wǎng)易的回復(fù)卻讓劉太大失所望，“網(wǎng)易承認(rèn)他們可以監(jiān)控異常ID，但是他們明確告訴我，就算有異常登錄信息，他們沒(méi)有義務(wù)提供給我，讓我找公安部門(mén)來(lái)調(diào)取相關(guān)資料�！钡�是公安部門(mén)至今仍無(wú)回音�！翱赡芄�安認(rèn)為我只是丟了照片，手機(jī)被黑了，就覺(jué)得沒(méi)什么損失，那有什么好管的”。劉太坦言：“損失已經(jīng)造成了，我沒(méi)辦法，現(xiàn)在希望不法分子被繩之以法。”

　　劉太認(rèn)為蘋(píng)果方面也有過(guò)失，直接通過(guò)郵箱就能改密碼抹掉手機(jī)信息的機(jī)制存在很大的安全隱患，“我當(dāng)初開(kāi)啟定位手機(jī)功能的時(shí)候，它就應(yīng)該給我充分的提示，比如要我綁定一個(gè)手機(jī)號(hào)碼，如果有人要抹掉我的手機(jī)信息，就必須填那個(gè)手機(jī)上的驗(yàn)證碼。但是它沒(méi)有提醒我，我都沒(méi)意識(shí)到有這么大的安全隱患�！弊寗⑻�哭笑不得的是，蘋(píng)果客服告訴她黑客刪她的信息是為了向她勒索錢(qián)財(cái)，劉太認(rèn)為“蘋(píng)果可以遠(yuǎn)程刪除手機(jī)的這個(gè)漏洞相當(dāng)于給了黑客一個(gè)勒索的平臺(tái)，而且這個(gè)情況蘋(píng)果是知道的”。

　　一周時(shí)間過(guò)去了，公安、網(wǎng)易、蘋(píng)果甚至黑客都沒(méi)有再聯(lián)系劉太，她很希望網(wǎng)絡(luò)反黑能受到各方面的重視，以保障消費(fèi)者權(quán)益。

　　蘋(píng)果回應(yīng)

　　建議開(kāi)啟相關(guān)安全功能

　　關(guān)于通過(guò)綁定郵箱就可以繞過(guò)安全問(wèn)題改蘋(píng)果賬號(hào)密碼的疑問(wèn)，蘋(píng)果客服解釋說(shuō)，修改蘋(píng)果賬號(hào)密碼有兩個(gè)途徑，一是通過(guò)綁定的郵箱找回密碼；另一個(gè)是通過(guò)安全問(wèn)題找回密碼。對(duì)于第一個(gè)途徑，客服建議用戶(hù)設(shè)置救援郵箱，即找回密碼的郵件會(huì)發(fā)到用戶(hù)設(shè)置的救援郵箱，而不是綁定了賬號(hào)的主郵箱。這樣就算主郵箱被盜，也不會(huì)被篡改蘋(píng)果賬號(hào)密碼。如果還不放心，還可以開(kāi)啟兩步驗(yàn)證，即綁定一個(gè)手機(jī)號(hào)碼和獲得一個(gè)固定的密鑰。開(kāi)啟兩步驗(yàn)證后，用戶(hù)要修密碼就必須同時(shí)提供由用戶(hù)自己保管的密鑰和蘋(píng)果官方發(fā)到綁定手機(jī)號(hào)上的驗(yàn)證碼，缺一不可。

　　另外蘋(píng)果客服也承認(rèn)，掌握蘋(píng)果賬號(hào)密碼之后無(wú)須其他驗(yàn)證操作就可以遠(yuǎn)程抹掉手機(jī)信息，因?yàn)樘O(píng)果默認(rèn)掌握賬號(hào)密碼者就是該iPhone的主人。

　　IT專(zhuān)家

　　不要共用密碼別裝陌生軟件

　　長(zhǎng)亭科技聯(lián)合創(chuàng)始人陳宇森向記者解釋?zhuān)琲cloud有一個(gè)功能是防止手機(jī)丟了之后個(gè)人信息泄露，它有權(quán)限來(lái)遠(yuǎn)程鎖定手機(jī)并且抹去綁定設(shè)備上的所有信息。所以問(wèn)題的關(guān)鍵是攻擊者怎么獲取到用戶(hù)的icloud賬號(hào)密碼的（也就是蘋(píng)果賬號(hào)密碼）。

　　他解釋說(shuō)，大概有三種情況：往前追溯的話，最早icloud出的安全問(wèn)題是某個(gè)登錄接口可以暴力登錄，就是用大量不同的密碼去嘗試登錄同一個(gè)賬號(hào)，這個(gè)是導(dǎo)致之前好萊塢一系列女星艷照泄露的問(wèn)題。不過(guò)蘋(píng)果很快修復(fù)了這個(gè)漏洞。

　　第二個(gè)是，很多用戶(hù)會(huì)用一些個(gè)人郵箱注冊(cè)為icloud賬號(hào)，這些郵箱作為賬號(hào)和密碼的組合，同時(shí)在別的網(wǎng)站使用，而且被泄露了，所以導(dǎo)致他的icloud賬號(hào)被盜。第三種就是一些用戶(hù)的iPhone進(jìn)行了越獄，然后可能會(huì)中一些木馬什么的，導(dǎo)致賬號(hào)被竊取。

　　如果蘋(píng)果賬號(hào)被盜，其危害是可想而知的。有什么辦法保護(hù)手機(jī)上的信息呢?陳宇森坦言：盡量保證賬號(hào)不要被盜；覺(jué)得賬號(hào)密碼可能泄露但密碼還沒(méi)被更改的時(shí)候，即時(shí)修改密碼；賬號(hào)已經(jīng)被盜走，密碼也被改了的話，只有自求多福了。因?yàn)橘~號(hào)被盜后，不僅手機(jī)的所有信息會(huì)被刪除，手機(jī)還可以被遠(yuǎn)程鎖定，變成磚頭，還會(huì)遭遇黑客的敲詐。

　　“蘋(píng)果要提供幫助的難度就在于難以確認(rèn)（求助者）是不是真的機(jī)主。”陳宇森道出了身份確認(rèn)的難題。

　　陳宇森也表示，這種盜取用戶(hù)賬號(hào)、密碼，再遠(yuǎn)程操控iPhone有一定技術(shù)門(mén)檻。比如針對(duì)越獄設(shè)備的木馬盜號(hào)，寫(xiě)木馬的人要有較高的技術(shù)水平。“一般來(lái)說(shuō)，iPhone手機(jī)的安全性還是不錯(cuò)的�！标愑钌�建議，普通用戶(hù)，要提高用戶(hù)安全意識(shí)， icloud賬號(hào)密碼不要和別的網(wǎng)站通用，如果是“越獄”用戶(hù)的話，不要裝陌生的軟件。

　　此外，蘋(píng)果的注冊(cè)密碼不要過(guò)于簡(jiǎn)單，或者有規(guī)律性，盡量比較復(fù)雜一些。否則，黑客就有可能通過(guò)頻繁“撞庫(kù)”的方式來(lái)不斷測(cè)試用戶(hù)的密碼。此前，就有用戶(hù)的密碼因?yàn)檫@種方式被盜。一旦用戶(hù)手機(jī)綁定銀行卡等，損失將非常慘重。