DC:又到本周翻墙问答的时间。有部分网民,由本周三登入Gmail时,会见到由谷歌提供的警告,指你的GMail可能遭到某些政治组织,或国家资助的攻击,到底是什么一回事,是否代表我的户口已经被黑客攻入?
李:当你收到这个警告时,你的GMail依然安全,黑客未成功攻入你的电脑或Gmail户口,,只不过你有需要在日常上网时提高警觉,避免成为黑客的目标。
谷歌方面会根据本身的纪录,例如你收过电邮的附件类型,由一些奇怪IP意图登入的活动,甚至户口拥有人的身份,去判断这些攻击是否与个别政党或政府有关。但可以肯定,你有可能因参与维权活动,或与一些敏感人物有联系,成为了中共国安、国保之类的监视目标。
DC:当收到这种警告时,又可以怎样做,避免自已的GMail户口被黑客成功攻入?
李:首先,一如之前多集翻墙问答所强调,不要乱开不明来历的附件,像RAR压缩档、Word文件档,以及PDF都是这些国家资助黑客热门使用的传播木马病毒媒介。通常无法透过GoogleDoc预视的PDF或Word档案,有病毒之类东西的机会都相当大。
另一方面,那些怀疑国家资助黑客,经常会宣称你的GMail被锁之类,然后要求你按下电邮中貌似Gmail登入的网址,其实那些网址都是用来骗取密码,切勿上当。应该立即将这类密码,或企图在你电脑内植入木马的电邮向谷歌举报,谷歌的技术人员会分析这些电邮,以避免其他人受害,以至向其他国家执法机关举报。
而经常更新Windows、浏览器之类软件亦相当重要,因为这些国家资助黑客,经常利用一些过时软件造成的保安漏洞来偷资料。当然,一如我们长期强调,请尽量翻墙去官方网站更新软件,不要在中国的不知名网站更新软件,因为你很难判断这些网站提供的更新软件,到底有没有混入木马,或刻意保留个别保安漏洞,以方便那些黑客工作。
在特定情况下,例如你有海外手机预付卡,可以考虑使用谷歌提出的两步认证服务,令这些国家资助黑客纵使成功偷取密码,由于无你的手机,所以仍然偷不到他们想偷的资料。
DC:谷歌指两步验证可以避免黑客容许取得你的帐户使用权,因为黑客必须要取得你的手机。但由于中国的电讯公司全是国营的,那两步验证又是否百分百安全?
李:针对一般无国家政府支持的黑客,两步验证已经足以杜绝黑客偷取你的户口,因为黑客除了要取得你的原有登入密码,还要取得你的手机,才能知道透过短讯发出的第二个密码。所以在海外,两步认证是绝对安全可靠。
但由于中国的电讯公司全部由国家控制,如果你的手机并非使用匿名的预付卡,而是用实名制预付卡,或月费户口,中国当局国安人员除非以其他手段,从而取得由短信发出的第二密码。因此两步验证在国家资助攻击下,并非百分百安全。
我们建议你在海外,例如香港取得一个可在中国漫游,可在网上透过信用咭增值,或容易买到增值卡的预付卡号码,并且利用网络供应商为中国移动,或中国联通以外的香港的号码进行两步验证,而进行两步验证的号码,平日不应作其他用途,以免被中国当局有机可乘。这样情况下的两步验证,很可能是最安全可靠。因为在香港,所有预付卡都不用登记个人资料,而号码只要在香港开通,就可以随时随地使用。
纵使是香港号码,我们都不建议买中国国有电讯公司的预付卡,因为我们并不清楚,他们在海外的分公司,包括在香港分公司会否与那些黑客合作。
李:多谢你李建军,在下周同样时间,我们会继续有翻墙问答,回应各位有关翻墙的技术问题,欢迎各位收听。你们亦可以将翻墙时遇到的问题向我们提出,我们要尽力研究,并且提供解答。在下周同样时间再会,再见。
原文:自由亚洲电台
细节的力量 