美国 FBI 联邦调查局本周警告,被盗的电子邮件密码会用来劫持智慧家庭安全系统,进而对毫无戒心的使用者展开“诬报警”(Swatting)的报复性或玩笑性攻击。公告是在相关装置制造商向执法机构通报此问题后发布。
诬报警成为骇客远端看好戏、线上大放送的恶意消遣
诬报警(又称假报警,亦即向警方报假案)是极其危险的恶作剧,警方接到假冒紧急状况的报案电话后,会前来受害者家中处理。FBI 公告指出:“诬报警可能出于报复、骚扰或恶作剧等动机与理由,但此举无异于可能造成致命后果的严重犯罪行为。
透过存取目标家用安全装置,攻击者可向当局拨打求救电话,并在特警出现时远端全程看好戏。FBI 指出,透过真正的安全装置拨打求救电话,骇客不但可匿名,且看起来更真实。
“最近,犯罪份子一直透过受害者的智慧装置(包括具影音功能的家用监控装置)进行诬报警攻击。”FBI 公共服务公告写道。“为了获得智慧装置的存取权限,犯罪份子可能会在一些习惯将电子邮件密码重复使用于智慧装置的顾客找到可下手的漏洞。犯罪者使用窃取的电子邮件密码登录智慧装置,并劫持即时串流摄影机和内建喇叭等功能。”
联邦调查局解释,过去恶意攻击者会假冒电话号码,让电话看起来像来自受害者。如今这个全新手法会直接从受劫持装置拨打电话。“他们接着报警,通报受害者住所发生的犯罪,”FBI 声明指出:“当执法人员回应报案出动时,犯罪者会观看直播,并透过摄影机和喇叭与警察互动。在某些情况下,犯罪者还会在共享的线上社群平台直播经过。”
为了降低这类攻击的可能风险,今年初 Ring 于早就强制要求的双重身份验证之外,又推出附加的安全防护层,包括要求使用一次性 6 位数密码登录;一旦有人登录时会警示;控制存取第三方服务供应商(会有遭入侵的风险)的工具。Ring 也准备推出点到点视讯加密机制。
二线品牌家用安全装置漏洞百出,资讯保全公司视为“家庭 IoT 梦魇”
资讯保全公司 NCC 集团 12 月对二线品牌智慧门铃(包括品牌 Victure、Qihoo奇虎 360 和 Accfly)评估发现,安全漏洞使这些装置对使用者的危害远远超过帮助,并将这些流行的小工具归类为“家庭物联网的梦魇”。评估并未将 Ring、Nest、Vivint 和 Remo 等一线顶级智慧家庭安全品牌列入。
报告详细介绍许多未提及的功能,如 Qihoo 装置功能完备的 DNS 服务;由于通讯未支援加密功能,因此可瞬间解锁的数位锁;以及很容易被犯罪份子篡改的劣质硬件。相信买了这些装置的使用者有可能沦为受害者。
所幸,目前消费性装置开始出现更安全的趋势,亦即要求使用者装置设定过程必须设定自己专属的复杂密码,不再容许使用装置出厂的预设密码。Ring 一连串祭出多重认证(MFA)与其他安全防护措施,皆可视为家用安全装置开始迈向正确安全防护之路的努力。
- FBI Warn Hackers are Using Hijacked Home Security Devices for ‘Swatting’
(首图来源:Victure)
