北京网警近期紧急发布预警，一种名为AiTM的钓鱼攻击正在网络空间被不法分子利用。这种攻击的危险之处在于，它不再单纯骗取用户的密码，而是在用户和真实网站之间搭建起一个“中转站”。它能实时转发账号、密码乃至我们一直认为非常安全的手机验证码，最终窃取登录凭证。

　　浙江桐乡警方近期破获了一起特大“游戏盗版案”。犯罪团伙正是利用了与此同源的“中间人攻击”技术，截获并篡改通信数据，伪造购买凭证，让游戏平台误以为用户已正版入库。当登录验证环节被不法分子盯上，普通用户究竟如何防范？

　　浙江桐乡警方此前发现，一种名为“假入库”的游戏服务正在网上悄然兴起，用户只要花上几块到几十块钱，就能玩官方售价数百元的游戏。

　　桐乡市公安局网络安全保卫大队网络空间安全中队政治指导员姚铖阳：有人来报案称他在电商平台上买了一个东西，感觉电脑中木马了。然后我们发现它其实是电商平台上在卖游戏盗版的情况，它有个专业的名词叫作假入库，比如说你要买这款游戏，你要先付钱对吧？那么假入库的意思就是相当于它做了技术破解，你可以花非常低价钱，比如说一款游戏300块钱，你花20块钱就可以直接去下这款游戏。

　　犯罪团伙实现“假入库”，正是利用了DLL注入和“中间人攻击”技术。

　　桐乡市公安局网络安全保卫大队网络空间安全中队政治指导员姚铖阳：所谓“中间人攻击”，就是攻击者将原本用户与游戏平台之间的数据交互，劫持到了自己的服务器上。打个比方，就像我和你在打电话，嫌疑人把通话劫持到他的电话上。表面上看，好像是我在跟你通话，实际上是我先跟他通话，再由他把信息传递给你，这样就构成了中间人攻击。游戏平台以为消费者已经购买了游戏，但实际上在游戏公司那边，并没有真正的购买记录和入库。用户虽然暂时能下载和游玩，但只要换一台电脑或过一段时间，游戏就会失效。

　　除了利用中间人攻击制造游戏“假入库”，警方还担心这一技术被用于搭建仿冒的志愿填报、查分或录取查询系统。例如，首都网警昨天（22日）在其官方微博发布预警指出，一条看似正规的“志愿填报入口”链接，背后可能隐藏着中间人攻击（AiTM）陷阱。其手法是，在用户与真实网站之间搭建一个隐蔽的“中转站”，将考生输入的账号、密码乃至短信验证码实时转发给真实网站，从而在用户毫无察觉的情况下完成登录并窃取登录凭证，严重威胁考生的个人信息安全。

　　网络安全技术专家 黑鸟：这种行为基本属于钓鱼诈骗。比如，攻击者向学生群体发送大量短信，声称填报志愿需注意安全事项，并附上链接，要求学生点击查看或通过该链接申报志愿，以此伪造官方通知。有时，用户访问的网站也会被劫持，攻击者将页面跳转到自己搭建的虚假网站上，诱导学生填写个人信息，从而实施诈骗。

　　另一位不愿透露姓名的网络安全技术专家表示，AiTM的核心在于偷走系统的“通行证”，这也使得我们默认为更安全的手机号加验证码登录方式形同虚设。

　　网络安全技术专家：现在很多App或网站，为了让用户登录更方便，都支持用手机号和验证码登录。你登录成功一次之后，后面很长一段时间都不用再输密码、验证码，这是因为系统会在你的手机或浏览器里放一张“临时通行证”。AiTM攻击的最关键地方，就是想办法骗你到一个“假的登录入口”里完成登录。这个假入口看起来很像真的，比如假冒银行、快递、邮箱、公司系统，甚至会让你正常输入手机号、验证码或密码。一旦攻击者拿到这张“通行证”，在它还没失效之前，就有可能绕过密码和验证码，冒充你进入账号。所以，AiTM并不是把验证码“破解”了，而是骗你在假入口里完成了一次真实登录，然后偷走了登录成功后的“通行证”。

　　也就是说，这种攻击的危害远不止于窃取一次登录信息，更可能引发连锁的个人信息泄露和财产损失风险。专家指出，AiTM攻击偷走的“通行证”，相当于把账号的临时控制权直接交到了攻击者手中。攻击者不仅能冒用考生身份，还可能进一步利用获取的个人信息，实施精准诈骗，比如假冒高校或教育部门，以“发放助学金”“核实录取信息”等名义，对考生和家长进行二次诈骗。

　　桐乡市公安局网络安全保卫大队网络空间安全中队政治指导员姚铖阳：这类黑灰产行为危害巨大。电商平台上统计显示，涉案商家多达120余家，几乎覆盖了该游戏平台上的所有游戏。开发商投入数亿元研发的游戏，通过这种破解方式无法获得正当收入，所有收益均流向了盗版商家。更严重的是，用户下载到电脑上的破解程序，本质上可能暗藏木马。攻击者可以在其中植入任意恶意代码，读取用户的电脑信息，甚至盗取账号、隐私密码等敏感数据。这不仅损害了游戏公司的合法权益，也对用户的网络安全构成了严重威胁。

　　面对这种能够在无形中截获信息的攻击手法，普通人该如何防范？

　　网络安全技术专家 黑鸟：要管好网络环境，拒绝贪图便宜，不下载不明链接。尤其不要连免费Wi-Fi或者公共Wi-Fi，可以使用手机热点去连接笔记本电脑的方式去进行填报志愿，这样是最安全的。在填报志愿的过程中，先确定好是不是真实、正确的填报志愿网址，要去看浏览器的窗口有没有弹出警告信息。比方说提示这个网站的证书不安全，如果有提示这个情况的话，不要填报，换一个网络环境下去填报。

　　转自丨央视新闻