2024年4月10日
07:44
至少两名在社交媒体平台X上的中文异见博主称最近收到了平台上其他用户发来的钓鱼链接。他们表示这些链接的目的疑似在于挖取用户的IP地址等其他个人信息。
这种网络攻击手法很像此前泄露的中国安洵公司的内部文件所描述的内容,那份文件揭露了这家向政府提供服务的科技公司如何通过钓鱼链接获取X平台上用户的个人信息。
颇具影响力的X博主“李老师不是你老师”4月6日发文表示,一位此前向他投稿的用户给他发来了一个链接,称链接里是合肥市红星路上纪念去世的前总理李克强的情况。
但“李老师”透露这位用户此前被警察讯问过,已经无法再使用该账号。所以他怀疑发来链接的人其实是中国警察,目的可能是为了获取他的IP地址。
“这是目前第一次发生投稿人账号被警察盗用的情况,”他在X上写道。他还公布了之前收到的两封带有疑似钓鱼链接的邮件。其中一条链接看似是中国视频网站哔哩哔哩的网址,但存在拼写错误。另一条则看似是社媒软件电报(Telegrah)的网址,但拼写并不完整。
“李老师”转发了一位叫做“编程也想”的博主对这几条链接的测试和分析。该博主在一篇文章里称这两条链接都采取了伪装手段,为的是博取信任。而链接的真实目的是获取点击者的真实IP地址,包括点击者的微博账号信息等。
因为在当时还叫做推特的X平台上帮助传播了2022年底中国各地出现的反对严格新冠管控措施的街头抗议,并此后持续发布中国各地发生的未被报道的新闻,过去一年多以来“李老师”的影响力不断增长,他目前在X上拥有超过140万的粉丝。
而人在意大利的他也不断受到疑似是来自中国的网络攻击。2022年的抗议后不久,X上就出现了不少仿冒他的账号。他的账号也一度从X的搜索结果里消失。最近,大量似乎是机器人的账号在平台上发表了攻击他的言论。
2月底,他在X上表示中国的公安正在排查他的粉丝,试图确认这些粉丝的真实身份。
“李老师”没有回复美国之音就这次钓鱼事件发出的采访请求。
“李老师”并不是唯一最近收到疑似钓鱼链接的中国异见人士。一个不久前才建立的、粉丝数只有三百多的账号称他们也收到了可疑账号发来的链接。
这个叫做“隐秘抵抗记录者”的X账号3月才创建,目前为止发布了一些据称是中国各地出现的反对北京当局的标语和海报,内容包括对新冠疫情管控措施和对当局专制统治的批评。
“我们希望能够记录下这些逆权行为,无论多么微小,即使仅是在公厕中写了几个字,也能够被记录下来,然后得到传播,来感染更多的人,也让感到孤单的人不在失望孤单,”账号背后的运营者之一Daniel告诉美国之音。
Daniel表示,“隐秘抵抗记录者”4月3日收到了一条来自一个叫做“John
Smith Wilson”的账号的私信。这个账号希望“隐秘抵抗记录者”转发一个链接,内容是一个对上海疫情封城两周年的纪念项目。
Daniel说,在转发该链接后,一些用户向他们反映链接无法打开。而且他发现这个叫做“John
Smith Wilson”的账号曾贴出过一个和“李老师”曝光的一个疑似钓鱼链接相同的网址。
这一切都让Daniel感到担心。他怀疑这个账号和试图钓鱼李老师的人来自同一个团队,于是赶紧删除了转发的链接。他表示自己没有点开过那个链接,目前为止也没有听说有用户因为点开了链接而遭到中国警察骚扰。
但Daniel还是表示这件事让他感到担心。“虽然截至目前还没有听说被喝茶,但是担心这件事像危险信号,担心这个账号已经被他们(中国)那边放进攻击名单之类的,”他在文字采访中表示。
美国之音发现,这个叫做“John
Smith Wilson”的账号使用的头像是美国导演拉什德·埃内斯托·格林(Rashaad
Ernesto Green)。账号建立于2022年8月,主页显示他的所在位置是美国的蒙大拿州。而他用作页面背景的图片其实是来自一位台湾的用户在社媒平台慕德(MOOD)上发布的照片。除了发布那条疑似钓鱼链接外,该账号没有发过言。
美国之音尝试了联系该账号,但未收到回复。
“个人感觉这些账号非常善于伪装,他们甚至会故意转发批评当局的文章,来博取信任,这是之前从来没想到的,”Daniel告诉美国之音,“感觉这种有组织行为背后的财力和技术绝非是普通黑客所为吧。”
手法颇似泄露安洵文件内容
美国之音尚无法确认发送钓鱼链接的人的身份和来历。但“李老师”和Daniel的遭遇和此前泄露的一份中国文件描述的网络攻击方式及其相似。今年2月,中国科技公司安洵的一份文件遭到泄漏,内容包括该公司是如何对中国异见人士以及世界多国政府和组织的数据进行监控和盗取。该公司服务的对象包括中国各个地方政府和警务机构。
人脉、酒、色:安洵文件泄露事件暴露中国黑客行业如何与政府打交道
文件显示,安洵开发的一款系统可以生成针对推特平台的“取证链接”。当“目标”点击该链接后,其IP归属地、设备类型、浏览器版本等信息都能被获取。此外,被攻击的用户近30天的私信内容也能够被查看。
文件显示,安洵也开发了针对邮箱的攻击系统,使用者同样可以通过钓鱼链接获取邮箱的收件箱、发件箱、联系人等数据。
美国网络安全公司Sentinel
One专注研究中国的顾问达科塔·卡里(Dakota Cary)告诉美国之音,通过钓鱼链接获取他人的IP地址并不困难,也非常普遍。
他指出,钓鱼链接一般是为一个人设计的,“如果一个独特的链接被发给了一个人,发送者就可以知道那个独特页面所获得的IP地址一定就属于那个打开了它的接收者。”
卡里表示,没有提前侦测出某个链接是不是钓鱼链接的方法,用户唯一的防范措施就是保持警惕。
“如果一个链接带你去的网站或者博客是你没听说过的,发给你链接的人你也私下里并不认识,那么那个链接就更有可能带有风险,用户应当小心行事,” 他在文字采访中写道。
社媒平台X在4月4日宣布将对平台上的机器人账号进行整治。美国之音就平台上存在发送钓鱼链接的可疑账号以及外国政府利用该平台攻击异见人士对X发出了询问请求,但仅收到回复:“现在在忙,请稍后再试”。
(对华援助协会特别转载自美国之音)