s2.
@sakura26eq
Tue, Sep 24, 2024 3:10 AM
119
88
朋友來求助說手機裝了不該裝的被駭客入侵,威脅要把私密照發給家人同事與公開,對方給了阿里雲駭客工具上的資料截圖跟通訊錄,並且通過語音聯繫,這種就不用心存僥倖,對方確實的握著你的把柄。
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Tue, Sep 24, 2024 3:12 AM
蠻有趣的,是 ios 還是 Android 啊?
放浪朽木的耕田信長
@lb_ioan
Tue, Sep 24, 2024 3:13 AM
卡後續
s2.
@sakura26eq
Tue, Sep 24, 2024 3:17 AM
這種情況就不要說怎麼後續處理了,資料都擄在對方手上,怎麼都不會善終
但,我們可以做一些事前預防
1. 請把你的資料區分成「可公開」「私密」兩種,可以的話公務再分一種(我大陸相關的又分一支),這些資料請物理儲存在不同的地方(如手機)上
2. 基於你的裝置的私密性,請用不同的安全策略去對應,私密手機就請讓他單純不要亂戳、該更新的就更新,不要作危險的事情; 拿來作危險事的手機就永遠不要留下個資或任何可以追蹤你的方式
3. 你應該要有自己的離線備份機制
s2.
@sakura26eq
Tue, Sep 24, 2024 3:19 AM
讓自己的資料像潛水艇一樣,一個地方燒起來要能隔離的開,不要一個地方爆了整個人就沈了,尤其是在座各位手機多少會有隱私照片與聯繫方式的,駭客一直都在
例如樓上(?
放浪朽木的耕田信長
@lb_ioan
Tue, Sep 24, 2024 3:21 AM
s2.
:
s2.
@sakura26eq
Tue, Sep 24, 2024 3:22 AM
4. 盡量避免使用中國的資訊產品、App與程式,因為政府要求與民情,官方後門對他們來說是基本一定有的,對漏洞的處理態度也很差,如果要用,建議還是選歐美大廠如apple的裝置比較好。這次出事的手機是三星
芥龍@移民海拉爾
@song374561
Tue, Sep 24, 2024 3:36 AM
之前朋友也遇過類似的事情,流程大概是這樣
1. 在推特上找網黃合作,放 tg 連結說是「私密群」有免費好康的,這種推文的特色就是不開放留言
2. 加入群組後,會要求你下載一個 app,如果是 iOS 的話會用 TestFlight 下載(因為可以繞過 app store 的限制);如果是 Android 會給 apk
3. 下載後打開 app,它就會拿相簿、通訊錄之類的權限上傳,然後再用 tg 威脅你
芥龍@移民海拉爾
@song374561
Tue, Sep 24, 2024 3:38 AM
我之前分析過那個 apk,混淆到他奶奶都不認得(?)
不過我有找到一些 1day,他們會用一些 exploit 嘗試獲取權限,如果真的要不到(例如有定期更新系統)的話會直接跟你索取
iOS 雖然會擋非經授權的 app 挖相簿,但是沒有更新到最新版本的話有可能被 1 day 拿到相簿,所以不要太信賴那個(?
芥龍@移民海拉爾
@song374561
Tue, Sep 24, 2024 3:39 AM
然後,收到這個訊息就不要鳥他就好,因為他其實沒那個時間真的把威脅你的材料交出去
他真的交出去,你也沒辦法阻止他就是
芥龍@移民海拉爾
@song374561
Tue, Sep 24, 2024 3:41 AM
以上言論的樣本數:2 人,剛好 Android 跟 iOS 各一,兩個人都用非最新系統
綠葉✩皮諾丘E-11,12
@caranrod
Tue, Sep 24, 2024 4:00 AM
這種東西就算你真的交錢他也不一定會乖乖守約不擴散出去...
躺平不要鳥他算了
感覺他亂槍打鳥應該會優先去處理那些有回信求他不要散布的人
s2.
@sakura26eq
Tue, Sep 24, 2024 4:12 AM
綠葉✩皮諾丘E-11,12
: 這個case就不是亂槍打鳥的階段了,資料已經上傳了。
ミ京
@tfortopaz
Tue, Sep 24, 2024 4:52 AM
老實說就不要加tg看黃圖,新聞都報了一堆犯罪跟性霸凌的敗類噁男在tg裡面,做個人不要二次傷害別人,看到圖都先當非法的吧
風音冴
@kazenesae
Tue, Sep 24, 2024 5:01 AM
如果交涉將資料跟贖金分成四等份,先部分支付讓對方證明會確實刪除的話,能降低被騙的風險嗎?
s2.
@sakura26eq
Tue, Sep 24, 2024 6:15 AM
ミ京
: 不是只有TG是受害管道,很多企業攻擊是來自Line / Email與各種手段。中國的駭客是做事不擇手段的
s2.
@sakura26eq
Tue, Sep 24, 2024 6:18 AM
風音冴
: 首先你沒辦法證明對方刪除了你的資料,其次是對方很可能不只勒索你一次 / 勒索同一種方式,現在他勒索你的資料,下次他威脅說要傳給你父母,下次說你不付錢就讓你丟工作,作為受害者你沒有任何反擊手段
你只有兩條路:踩硬腳步不付錢,接受這個代價; 或者盡力交涉,接受這個「不可信」的承諾
或者,一開始就保護好自己
s2.
@sakura26eq
Tue, Sep 24, 2024 6:20 AM
芥龍@移民海拉爾
: 感謝情資,再次證明使用安全修補的裝置很重要
而android常常想要更新都沒的更新
ミ京
@tfortopaz
Tue, Sep 24, 2024 6:50 AM
s2.
: 了解中國北韓駭客是不擇手段的(當然了畢竟他們連政府都是不擇手段出名的,也不只他們啦)。我是在回覆上面tg黃圖群組的分享案例,樣本的行為本身不可取
THE
@Alihi
Tue, Sep 24, 2024 10:41 AM
這是不是可以找政府的專業機構或婦團協助,例如衛福部性影像處理中心、勵馨?
放浪朽木的耕田信長
@lb_ioan
Tue, Sep 24, 2024 1:30 PM
THE
: 我不確定這些機構實際偵測的方式 , 但如果有心散佈影像或圖片 , 其實不是很容易 , 稍微加個浮水印或弄點線條什麼的 , 就可以破壞特徵
放浪朽木的耕田信長
@lb_ioan
Tue, Sep 24, 2024 1:31 PM
如果真的到這步.. 還是不用太相信這些專業機構技術能力
THE
@Alihi
Tue, Sep 24, 2024 1:51 PM
放浪朽木的耕田信長
: 咦!不好意思想請教您,那這篇報導所說的,「美國兒少性剝削影像資料庫的雜湊值,就像影片的指紋」,其實會因為加浮水印和線條等而改變嗎?
【青春煉獄番外篇】數位性暴力猖獗 專家呼籲成立專責單位及犯罪者資料庫 - 鏡週刊 Mirror Medi...
s2.
@sakura26eq
Tue, Sep 24, 2024 3:16 PM
THE
: 沒用的,第一是當事人很可能不願意走法律途徑,走了就相當於自我揭露
第二是法律只能管到自己公權力所及,這個案例駭客在中國,就算走了也無用
第三當隱私被公開於網路就像潑入大海的墨,就算使用公權力也難以收回
s2.
@sakura26eq
Tue, Sep 24, 2024 3:18 PM
至於那個資料庫,第一是影像被修改之後可能就可以規避,第二也是要該平台「有做這個比對」才能協助阻擋,駭客只要散佈到沒有做這個的海外平台就擋不住
THE
@Alihi
Tue, Sep 24, 2024 3:31 PM
s2.
: 瞭解了QQ 謝謝您的解說和推廣提醒🙏
Reco
@Reco_F
Wed, Sep 25, 2024 12:01 AM
感謝,防範意識真的很重要
載入新的回覆
但,我們可以做一些事前預防
1. 請把你的資料區分成「可公開」「私密」兩種,可以的話公務再分一種(我大陸相關的又分一支),這些資料請物理儲存在不同的地方(如手機)上
2. 基於你的裝置的私密性,請用不同的安全策略去對應,私密手機就請讓他單純不要亂戳、該更新的就更新,不要作危險的事情; 拿來作危險事的手機就永遠不要留下個資或任何可以追蹤你的方式
3. 你應該要有自己的離線備份機制
例如樓上(?
1. 在推特上找網黃合作,放 tg 連結說是「私密群」有免費好康的,這種推文的特色就是不開放留言
2. 加入群組後,會要求你下載一個 app,如果是 iOS 的話會用 TestFlight 下載(因為可以繞過 app store 的限制);如果是 Android 會給 apk
3. 下載後打開 app,它就會拿相簿、通訊錄之類的權限上傳,然後再用 tg 威脅你
不過我有找到一些 1day,他們會用一些 exploit 嘗試獲取權限,如果真的要不到(例如有定期更新系統)的話會直接跟你索取
iOS 雖然會擋非經授權的 app 挖相簿,但是沒有更新到最新版本的話有可能被 1 day 拿到相簿,所以不要太信賴那個(?
他真的交出去,你也沒辦法阻止他就是躺平不要鳥他算了
感覺他亂槍打鳥應該會優先去處理那些有回信求他不要散布的人
你只有兩條路:踩硬腳步不付錢,接受這個代價; 或者盡力交涉,接受這個「不可信」的承諾
或者,一開始就保護好自己
而android常常想要更新都沒的更新
第二是法律只能管到自己公權力所及,這個案例駭客在中國,就算走了也無用
第三當隱私被公開於網路就像潑入大海的墨,就算使用公權力也難以收回