雖然你常常聽到各種勒索軟體攻擊事件,但是為什麼身邊的人好像比想像中少被攻擊? 這是因為駭客的攻擊目標通常是大型企業,尤其是科技公司或是重要機構(電力或石油供應商等),所以一般人比較少被針對,畢竟一般人付出贖金的可能性也比較小。
不過,即使你不是直接的攻擊目標,也有可能間接成為受害者,例如前面提到的企業遭到攻擊時,駭客取得裡的個資甚至是帳號密碼。那麼,你是否就該直接認命? 真的成為受害者的時候,除了等待這些企業與攻擊者協商以外,可能真的無解,但是如果還沒被攻擊,卻有很簡單的方式可以防禦這種攻擊!
你可能會想,我的資料都在這些企業的伺服器上,要怎麼主動防禦? 這有辦法的,但是在了解怎麼做之前,必須先學習駭客的操作模式。如果你像我一樣常常在暗網上到處看看,可能偶爾會看到有人在販售他們的戰利品。雖然這些資料價格普遍十分昂貴,我沒有實際買過,但是有透過資安研究者等管道接觸過,大多數賣家也會為了證明資料真實性而提供片段樣本。
這些樣本的內容完全不重要,但是關鍵就在這些資料的儲存形式。這些資料常常被以CSV(Comma-separated values;逗號分隔值)儲存,也就是沒有任何排版,直接將不同筆資料以逗號區隔開來,有點像程式語言裡的一些用法。你可能會想,說不定攻擊者在自己的電腦上使用不同的儲存形式,但是實際上這些攻擊都是透過自動化程式執行,所以很多程式的預設輸出都是CSV格式。
看到這裡,你可能已經猜到這個簡單預防密碼外洩的方式是什麼了。沒錯,就是在密碼裡加入逗號這了簡單。如此一來,即使密碼外流,雖然儲存時它確實是你的完整密碼,但是要讀取時卻會把它當作兩筆資料。也就是說,假設你的密碼是”abc,123″,讀取時會判定為兩組密碼,分別是”abc”與”123″,而不是一組密碼”abc,123″。不用擔心,如果你的帳號密碼真的被攻擊者(或買下外流資料的買家)拿來利用,通常也是使用自動化程式,不會發現這個問題。
那麼,這個標題不是騙人的。我知道你可能有很多不同平臺的號密碼,但是10分鐘應該就能把密碼換過一輪,從此對大部分的帳密外流免疫。補充一個建議: 請在不同平臺使用不同密碼,否則只要一組密碼被知道,所有平臺’盎號都有很大的遭殃風險!