今天一早,我收到學校寄來的隔離信有一封勒索信件要來向我敲詐比特幣,我看到這封郵件有一些有趣的點想要分享,我們就來分享。
誰寄給我?
這一封信件是「obuguef@asdooeemail.net」寄給我的,而值得留意的是asdooeemail.net這一個電子郵件的地址。我們知道Gmail的網域是gmail.com,而這一個網域asdooeemail.com是一個「暫時性的」電子郵件網域,這個郵件地址在過了一段時間就會註銷名為「obuguef」的這個帳號。我們可以去GitHub、其他郵件查詢網址得知哪些是暫時性的電子郵件。
- List of disposable email providers。GitHub。網址:https://gist.github.com/fnando/192a2e708c022f74091c53b036191145
- asdooeemail.net——Disposable email data。Gatekeepr。網址:https://gatekeepr.io/disposable-email-data/asdooeemail.net
信件內容
這裡我就毫不避諱的展示信件內容。在學校寄來的隔離信,點擊信件主旨「请求一次交易」就可以去到學校提供隔離信的讀取平臺。(這封隔離信的網址我就不給了,有需要再私下聯繫,這是學校提供的安全平臺,基本上有網址就可以查看這封隔離信,但就不知道可以保留多久)
我們就來簡單反駁、(外行地)分析一下(我推薦可以看一下趨勢科技的這一篇:〈小心黑函與性愛勒索電子郵件〉)- 關於第一句話,「駭入了了我的操作系統」,如果對方知道我的操作系統,應該會直接講出來,而且要知道我用什麼操作系統,其實滿簡單的,因為我的部落格都有寫,像是我昨天發佈的那一篇文章提到我目前用的是Debian 13.5+Linux 7.x內核(我用的是backports倉庫)
- 「我也拥有您账号的完整访问权限。」這句話要留意的是,這個「帳號」是指什麼帳號?考慮到這一封信是寄到我的學校電子郵件信箱,硬要說大概就是我學校電子郵件的密碼,這部分我可能得要記得去修改一下密碼,且考慮到還有學校這一層資安的防護,儘快改密碼應該是可以的。倘若說,是知道我電腦的Root權限的使用權限(假設對方是指我的Linux,畢竟我已經一年以上沒有正經使用過Windows,頂多一、兩個月一次切去Windows更新一下我的系統,其他時間我都留在Linux),這部分值得留意的是,我的電腦沒有設定root密碼(因此沒有人可以登入我的root帳號,除非是$ sudo su),因為我是用sudo(Ubuntu上還是Rust寫得sudo-rs),最近都在用run0,在Linux上,一般來說,如果要獲取系統的完整權限、執行惡意程式的權限,是需要root的,這裡就點出一個問題,我的sudo有沒有漏洞?老實說,這還真不好說,要不然Canonical也不會用Rust重寫sudo了。但我仍然有相對的信心表示問題不大,因為我很常去更新我的Debian,並且都有去接收安全性更新,而且我還用ufw(防火牆的一種前端),封鎖所有連入連線、允許所有連出連線、僅允許ssh(之前我連ssh都不允許)、限制ssh的連續訪問的頻率(以免暴力破解)、僅允許KDE Connect會使用到的端口,如果這個駭客恰好使用KDE Connect的端口,那我也認了。
- 「因为您访问过的一个成人网站,您的电脑已经感染了恶意软件。」這一句話也是很有問題。要注意,單純訪問成人網站等網頁,基本上是不會中毒的!除非你下載甚至執行了帶有病毒的可執行文件!所以這一句話對我而言沒什麼說服力。這也提到了我這半年時常在說的、提倡的,你應該遵守「the Debian Way」,我安裝程式都是使用官方倉庫安裝,中毒的機率不大,而且我主要是使用常見的、主流的、還有在維護更新的軟體,要真的有漏洞,或許這陣子應該會出現公告關於CVE多少多少的病毒。(推薦看看羽的影片:〈
一點連結就中勒索病毒?到底怎麼回事?只點了網址真的會中毒嗎?原來系統會中毒都是這樣來的! 〉) - 「木马病毒能够让我获得某台电脑或其它设备的完整访问权限。」這一句話大概可以得知,對方想說的是已經獲取我的電腦的root權限,「这意味着,我能在您不知道的情况下,看到您屏幕上的所有东西,并打开您的摄像头和麦克风。」這一句話想說打開了我的攝影機鏡頭。前句我就不多說了,後句我有話要說,我的筆電的攝影機鏡頭是有物理防偷窺的開關,我平常都是把撥片蓋上的(我甚至是家裡喜歡叮嚀家人記得關上攝影機到他們有時都覺得我恨煩的那種),而且要是有攝影機,我的指示燈是有機會亮的,麥克風的話,這我就不確定了,但至少我的桌面沒有出現麥克風調用的提示。而且,要是我的麥克風被調用,那麼桌面合成器要背點鍋,我目前、一直以來都是用wayland顯示環境。這一個顯示協議的最大的理由之一就是安全性,由桌面合成器負責外設的調用溝通,因此真心建議可以考慮少用X11,還可以避免鍵盤側錄的風險。(可以看看Ivon大大的這一篇:〈比較X11與Wayland。2026年了,你是否該切換到Wayland,拋棄X視窗系統 〉、揮棒成功大大的這一篇〈【心得】Linux 出專欄啦! (14):桌面環境系列=〉x11 和 wayland ,談技術債與財源問題(厲害吧!!)〉)
- 再補充一點,我目前為止只有手動使用chmod來允許可執行文件的執行,第一個是Tracker的.run安裝器(官網下載),第二個是我之前修正telegram自啓動問題寫得腳本。切記,少用chmod +777,這會允許程式任意執行讀寫文件的能力。
- 「我还能看到您所有的联系人信息和您所有的邮件往来。」這部分我語帶保留,但我可以大膽地說,我沒有用Gmail、學校電子郵件註冊成人網站,也沒有收到相關信件。倒是部落格收到色情網站的推廣留言

行行好,留一個正常的吧。 - 「为什么您的杀毒软件没有检测到恶意软件呢?解答:我使用的是基于驱动的恶意软件,我每隔四个小时会更新一次它的签名,所以您的杀毒软件无法检测到它的存在。」這一句話我更是覺得沒有說服力,我的電腦是用Debian,而Linux已經包含很多驅動了,我的其他non-free驅動是從Debian官方的倉庫下載的(Debian因為有這些閉源驅動的官方倉庫,而被FSF列為非自由操作系統),而且Linux基本也不需要手動下載驅動並安裝驅動,所以我也沒用什麼一鍵驅動安裝工具,我覺得這部分的禍因真的不大。(可以看看我是怎麽解決閉源驅動的文章,〈Debian + btrfs安裝指南(Windows雙系統指南)〉提到我是用通用Linux內核來解決電腦大部分驅動,〈Linux優化雜談:主要面向Debian和Fedora〉裡面提到我是怎麽安裝閉源驅動的)。
- 至於「我制作了一部视频,这部视频的左半边显示的是您正在取悦您自己的场景,而它的右半边显示的则是您当时正在观看的视频。」我那時還在找有沒有影片連接,但是沒有,要是有,理論上應該要講一下,而且,
我看片是不取悅自己的。但這裡我比較害怕的是,最近AI還蠻發達的,難保對方用我的照片進行深僞(deep fake),而且我的照片在facebook上應該是有機會搜的到的(我不是很信任meta的資安,但因有mesenger等通訊工具有需求,就得過且過了) - 「只要点击一下鼠标,我就能把这部视频发给跟您有来往的所有邮箱地址,以史您社交网络上的所有联系人。我还可以公开您所有的电子邮件和您使用的聊天软件上的聊天记录。」我最常來往的是學校eeclass和elearn這兩個系統的電子郵件,它們每週都會寄來叫我交作業、
告知恐怖的學期成績,而這些系統是無人回覆的(因為是自動寄出的信件),希望上帝(微積分教授)不會誤會到我(因為上帝是我少數有寄信的老師)。 - 「如果您不想发生这样的事情的话, 那么就请将价值1450美金的比特币汇入我的比特币账户(如果您不知道如何操作的话,只需在谷歌上搜索:“购买比特币”)。我的比特币账户信息(比特币钱包)为: 1KcpVw4zf3BkvaaDcCSoyZCkkproG8ohQF」這一句話把這個詐騙的目標顯露地明明白白,千萬不要理他,送了錢就要不回來了且對方怎麽可能會守信用?我覺得會守信用的人應該也不會來勒索、敲詐才對。我想說一個玩笑話,網路上有很多價值連城的比特幣錢包,可以去拿,我身上沒半毛、還是個學生、是個普通老百姓,找我真的不划算。
- 「在收到钱款后,我会马上删除此视频,并永远从您的生活中消失。请在50个小时(超过2天)内完成付款。 在您看到这封邮件后,我会立即收到一个提示,而50个小时的倒数计时也将开始。找人投诉是完全没有意义的,因为跟我的比特币账户一样,这封邮件是无法被追踪的。」這段話我也覺得怪怪的,我看到這一封郵件,對方要怎麼知道我有打開?學校先幫我攔截,我也不是用我電腦上的雷鳥查看信件,而是學校的隔離信收信網頁,這個時間要怎麼算?再者,我沒有寄出回復,對方也不大可以知道我是否讀了這封信。如果對方是有看到我的部落格,要怎麼知道它這一封信是寄給誰的?上面的收信者是學校的某一信箱(這就類似郵件轉寄),難不成全校只有寄給我,我覺得不是太真實。
- 「我是非常谨慎的,从不犯错。如果我发现您与其他人分享了此邮件,那么我将立即公开那部视频。」第一句話我不是很贊同,俗話說「神仙打鼓有時錯(臺語俗諺)」,我就不予置評,倘若對方真的如此,我也祝對方人生順風順水。關於後者,這早就要公開了,因為看到這一封信的第一人是學校系統(幫我篩選),廣義來說,我也來不及支付贖金了,所以再強調一次:「千萬別理他!千萬別付贖金!」。
- 值得一提的是,郵件標頭「Received-SPF: none(c94.net.nthu.edu.tw: domain of asdooeemail.net does not provide an SPF record)
receiver=c94.net.nthu.edu.tw; client-ip=196.190.60.196; helo=[196.190.60.196]」,可以得知,這是一封詐騙郵件的理由之一是沒有提供SPF。(可以參考:〈郵件 SPF 設定是什麼?如何設定 SPF?〉)
我的處理
我收到這一封信件,我是先Google一下,看了下臺大、趨勢科技講解之後,我再打電話到蔽校的計通中心詢問,對方是告訴我這類隔離信不要理會即可,我還問對方關於報警的事情,對方說這部分看我。我是暫不打算報警,一來是我覺得這封信可以反駁的地方是有的,再來是知道這一封是來自disposable的域名,因此我對於追蹤所抱持的希望不大。但是寫這一篇文章怕的是有人認為我是在挑釁壞人,這部分我實在沒膽,我主要是想要藉此來告訴大家不要輕易受騙。有任何疑問,就撥打165!



沒有留言:
張貼留言